openvpn לעומת ipsec לעומת ikev2 מגן


מהם פרוטוקולי VPN ומדוע אתה צריך להבין את האפשרויות השונות?

עם מרבית ספקי ה- VPN המציעים מגוון פרוטוקולי VPN לבחירה, טוב לדעת את היתרונות והחסרונות של אפשרויות שונות אלה, כך שתוכלו לבחור את ההתאמה הטובה ביותר לצרכים הייחודיים שלכם..

במדריך זה נשווה בין שני פרוטוקולי ה- VPN הפופולריים ביותר - OpenVPN לעומת IPSec - וכן L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP ו- SSTP. זה נועד לתת לך סקירה קצרה של היתרונות והחסרונות של כל פרוטוקול VPN.

אז בואו נצלול פנימה.

מהם פרוטוקולי ה- VPN השונים?

מהו פרוטוקול VPN?

פרוטוקול VPN הוא ערכת הוראות להקמת חיבור מאובטח ומוצפן בין המכשיר שלך לשרת VPN להעברת נתונים.

מרבית ספקי ה- VPN המסחריים מציעים מגוון פרוטוקולי VPN שונים שבהם תוכלו להשתמש בתוך לקוח ה- VPN. לדוגמה, במסך המסך שלמטה אני בודק ExpressVPN ויש לי אפשרות לבחור OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec ו- PPTP.

openvpn l2tp sstp pptpאלה הפרוטוקולים השונים של VPN בלקוח ExpressVPN.

כעת נסקור מקרוב את פרוטוקולי ה- VPN השונים.

OpenVPN

OpenVPN הוא פרוטוקול VPN קוד רב-תכליתי שפותח על ידי OpenVPN Technologies. ניתן לטעון כי מדובר בפרוטוקול ה- VPN המאובטח והפופולרי ביותר הנמצא בשימוש כיום ועבר ביקורת אבטחה של צד שלישי.

OpenVPN נחשב בדרך כלל לתקן בתעשייה כאשר הוא מיושם כראוי ומשתמש ב- SSL / TLS לצורך החלפת מפתחות. זה מספק סודיות מלאה, אימות ויושרה, והוא גם גמיש מאוד במקרי שימוש שונים.

openvpn

להכין: OpenVPN דורשת שימוש בתוכנת לקוח מיוחדת במקום להיות מובנית במערכות הפעלה שונות. מרבית שירותי ה- VPN מספקים אפליקציות OpenVPN מותאמות אישית, בהן ניתן להשתמש במערכות הפעלה ומכשירים שונים. ההתקנה לרוב מהירה ופשוטה. ניתן להשתמש ב- OpenVPN בכל הפלטפורמות העיקריות באמצעות לקוחות צד ג ': Windows, Mac OS, Linux, Apple iOS, Android ונתבים שונים (בדוק אם הקושחה תואמת).

הצפנה: OpenVPN משתמש בספריית OpenSSL ובפרוטוקולי TLS כדי לספק הצפנה. OpenSSL תומך במספר אלגוריתמים וצ'יפים שונים, כולל AES, Blowfish, Camellia ו- ChaCha20.

אבטחה: OpenVPN נחשב לפרוטוקול ה- VPN המאובטח ביותר שקיים, בתנאי שהוא מיושם כראוי. אין לו פגיעויות עיקריות ידועות.

ביצועים: OpenVPN מציע ביצועים טובים, במיוחד אם מפעילים את UDP (פרוטוקול Datagram למשתמש) ולא TCP (פרוטוקול בקרת שידור). OpenVPN הוא גם יציב ואמין אם משתמשים ברשתות אלחוטיות או סלולריות. אם אתה נתקל בבעיות חיבור אתה יכול להשתמש ב- OpenVPN עם TCP, אשר יאשר את כל המנות שנשלחו, אך זה יהיה איטי יותר.

נמלים: ניתן להשתמש ב- OpenVPN בכל יציאה באמצעות UDP או TCP.

פסק דין: מומלץ מאוד.

IPSec - אבטחת פרוטוקול אינטרנט

מה זה IPSec?

IPSec היא חבילת פרוטוקול רשת מאובטחת המאמתת ומצפינה מנות נתונים שנשלחות ברשת IP. זה מיועד לאבטחת פרוטוקול האינטרנט (IPSec) ופותח על ידי כוח המשימה להנדסה באינטרנט. שלא כמו ב- SSL, שעובד ברמה היישומית, IPSec פועלת ברמה הרשתית וניתן להשתמש בה באופן מקומי עם מערכות הפעלה רבות. מכיוון שרוב מערכות ההפעלה תומכות ב- IPSec באופן טבעי, ניתן להשתמש בה ללא אפליקציות צד שלישי (שלא כמו OpenVPN).

IPSec הפך לפרוטוקול פופולרי מאוד לשימוש עם VPNs בשילוב עם L2TP או IKEv2, עליהם נדבר יותר בהמשך..

IPSec מצפין את כל מנות ה- IP באמצעות:

  • כותרת אימות (AH), המניחה חתימה דיגיטלית על כל מנות; ו
  • Encapsulating Protocol (ESP), אשר סודיות, שלמות ואימות של המנה בהעברה.

מצגת של NSA שהודלפה - דיון ב- IPSec לא היה מושלם מבלי להתייחס למצגת NSA שהודלפה הדנה בפרוטוקולי ה- NSA המתפשרים (L2TP ו- IKE). קשה להגיע למסקנות קונקרטיות המבוססות על התייחסויות מעורפלות במצגת מיושמת זו. עם זאת, אם מודל האיום שלך כולל מעקב ממוקד מצד שחקנים מתוחכמים ברמת המדינה, מומלץ לשקול פרוטוקול מאובטח יותר, כמו OpenVPN. בנימה חיובית, פרוטוקולי IPSec עדיין נחשבים לביטוחים אם הם מיושמים כראוי.

כעת נבדוק כיצד משתמשים ב- IPSec עם VPNs בשילוב עם L2TP ו- IKEv2.

IKEv2 / IPSec

מה זה IKEv2 / IPSec?

IKEv2 הוא פרוטוקול מנהור המקובל ב- RFC 7296 והוא מיועד לגירסה 2 של Internet Key Exchange (IKEv2). זה פותח כפרויקט משותף בין סיסקו ומיקרוסופט. לשימוש ב- VPN לאבטחה מרבית, IKEv2 משויך ל- IPSec.

הגרסה הראשונה של IKE (Internet Key Exchange) יצאה בשנת 1998, כאשר הגרסה 2 שוחררה שבע שנים מאוחר יותר בדצמבר 2005. בהשוואה לפרוטוקולים של VPN אחרים, IKEv2 מציע יתרונות מבחינת מהירות, אבטחה, יציבות, שימוש במעבד, ו היכולת ליצור קשר מחדש. זה הופך אותה לבחירה טובה עבור משתמשי מובייל, במיוחד עם מכשירי iOS (Apple) התומכים באופן טבעי ב- IKEv2.

להכין: בדרך כלל ההתקנה מהירה וקלה, ומחייבת אותך לייבא את קבצי התצורה עבור השרתים שבהם תרצה להשתמש מספק VPN שלך. (ראה דוגמה עם פרטיות מושלמת.) IKEv2 נתמך באופן טבעי ב- Windows 7+, Mac OS 10.11+, Blackberry ו- iOS (iPhone ו- iPad), וכמה מכשירי אנדרואיד. מערכות הפעלה מסוימות תומכות גם בפונקציה 'תמיד פועל', שמאלצת את כל תעבורת האינטרנט דרך מנהרת ה- VPN, ולכן אינן מבטיחות דליפות נתונים..

הצפנה: IKEv2 משתמש במבחר גדול של אלגוריתמים קריפטוגרפיים, כולל AES, Blowfish, Camellia ו- 3DES.

אבטחה: חסרון אחד עם IKEv2 / IPSec הוא שהוא קוד סגור ופותח על ידי סיסקו ומיקרוסופט (אך קיימות גרסאות קוד פתוח). בנימה חיובית, IKEv2 נחשב לרבים מהפרוטוקולים המהירים והבטוחים ביותר הקיימים, מה שהופך אותה לבחירה פופולרית בקרב משתמשי VPN..

ביצועים: במקרים רבים IKEv2 מהיר יותר מ- OpenVPN מכיוון שהוא פחות אינטנסיבי ל- CPU. עם זאת ישנם מספר רב של משתנים המשפיעים על המהירות, ולכן יתכן וזה לא תקף בכל מקרי השימוש. מבחינת ביצועים עם משתמשים ניידים, IKEv2 עשוי להיות האפשרות הטובה ביותר מכיוון שהיא מצליחה ליצור חיבור מחדש.

נמלים: IKEv2 משתמש ביציאות הבאות: UDP 500 להחלפת מפתחות ראשונית ו- UDP 4500 עבור חציית NAT.

פסק דין: מומלץ.

L2TP / IPSec

פרוטוקול Tunneling Layer (L2TP) בשילוב עם IPSec הוא גם פרוטוקול VPN פופולרי הנתמך באופן טבעי על ידי מערכות הפעלה רבות. L2TP / IPSec מתוקנן ב- RFC 3193 ומספק סודיות, אימות ויושרה.

להכין: הגדרת L2TP / IPSec בדרך כלל מהירה וקלה. זה נתמך באופן טבעי במערכות הפעלה רבות, כולל Windows 2000 / XP +, Mac OS 10.3+ ומרבית מערכות ההפעלה אנדרואיד. בדיוק כמו עם IKEv2 / IPSec, אתה פשוט צריך לייבא את קבצי התצורה מספק ה- VPN שלך.

הצפנה: L2TP / IPSec מכסה נתונים פעמיים באמצעות הצפנה המגיעה דרך פרוטוקול IPSec הרגיל.

אבטחה: L2TP / IPSec נחשב בדרך כלל למאובטח ואין בו בעיות ידועות. בדיוק כמו עם IKEv2 / IPSec, L2TP / IPSec פותח גם על ידי סיסקו ומיקרוסופט, מה שמעלה שאלות לגבי אמון..

ביצועים: מבחינת הביצועים L2TP / IPSec יכול מאוד להשתנות. מצד אחד ההצפנה / פענוח מצד אחד מתרחשת בגרעין והיא תומכת גם בהשחלה מרובה, מה שאמור לשפר את המהירות. אך מצד שני, מכיוון שהוא מכסה את הנתונים כפול, יתכן שהם לא יהיו מהירים כמו אפשרויות אחרות.

נמלים: L2TP / IPSEC משתמש ב- UDP 500 להחלפת מפתחות ראשונית וכן ב- UDP 1701 לצורך תצורת L2TP הראשונית ו- UDP 4500 למעבר NAT. בגלל הסתמכות זו על פרוטוקולים ויציאות קבועות, קל יותר לחסום את OpenVPN.

פסק דין: L2TP / IPSec אינה בחירה רעה, אך יתכן שתרצה לבחור ב- IKEv2 / IPSec או OpenVPN אם הם זמינים..

WireGuard - פרוטוקול VPN חדש וניסיוני

WireGuard הוא פרוטוקול VPN חדש וניסיוני שמנסה לספק ביצועים טובים יותר ואבטחה רבה יותר בפרוטוקולים קיימים..

מגן

כפי שסקרנו במדריך הראשי של ה- VPN של WireGuard, לפרוטוקול יש כמה יתרונות מעניינים מבחינת הביצועים, אך הוא מגיע גם עם כמה חסרונות ראויים לציון. החסרונות העיקריים הם כדלקמן:

  • WireGuard נותרה בפיתוח כבד ועדיין לא נבדקה.
  • שירותי VPN רבים העלו חששות מהיכולת של WireGuard להשתמש ללא יומנים (חסרונות בפרטיות).
  • אימוץ מאוד מוגבל על ידי ענף ה- VPN (לפחות לעת עתה).
  • אין תמיכה ב- TCP.

להכין: WireGuard אינו כלול בשום מערכת הפעלה. ככל הנראה הדבר ישתנה עם הזמן כאשר הוא נכלל בגרעין עבור לינוקס, Mac OS, ואולי עם כמה מערכות הפעלה סלולריות. מספר מצומצם מאוד של VPNs תומך ב- WireGuard - בדוק עם הספק הוראות התקנה.

הצפנה: WireGuard עושה שימוש ב- Curve25519 להחלפת מפתחות, ChaCha20 ו- Poly1305 לאימות נתונים ו- BLAKE2 לצורך חשיפה.

אבטחה: נושא האבטחה העיקרי עם WireGuard הוא שהוא עדיין לא מבוקר ונשאר בפיתוח כבד. יש קומץ VPN שכבר מציעים את WireGuard למשתמשים שלהם למטרות "בדיקה", אך בהתחשב במצב הפרויקט, אין להשתמש ב- WireGuard כאשר חשיבות לפרטיות ואבטחה.

ביצועים: WireGuard אמור להציע באופן תיאורטי ביצועים מצוינים מבחינת מהירות, אמינות, וגם צריכת סוללה. זה יכול להיות הפרוטוקול האידיאלי למשתמשים ניידים מכיוון שהוא מאפשר לעבור בין ממשקי רשת מבלי לאבד את החיבור. חיבור מחדש אמור לקרות גם הרבה יותר מהר מאשר עם OpenVPN ו- IPSec.

נמלים: WireGuard משתמש ב- UDP וניתן להגדיר אותם בכל יציאה. לרוע המזל, אין תמיכה ב- TCP, מה שמקל על החסימה.

פסק דין: טרם המליץ, אך אני עוקב אחר פיתוח הפרויקט.

PPTP - מיושן ולא מאובטח

PPTP מייצג את פרוטוקול המנהרה נקודה לנקודה והוא אחד הפרוטוקולים הוותיקים ביותר של VPN הנמצאים בשימוש כיום. זה פועל ביציאת TCP 1723 ופותח בתחילה על ידי מיקרוסופט.

PPTP מיושן כעת בעיקר בגלל פגיעויות אבטחה חמורות. לא נשקיע יותר מדי זמן בדיון ב- PPTP מכיוון שרוב האנשים אפילו לא משתמשים בזה.

PPTP נתמך באופן טבעי בכל הגרסאות של Windows ומרבית מערכות ההפעלה. אמנם זה מהיר יחסית, PPTP אינו אמין ואינו מתאושש במהירות מחיבורים שנשמטו כמו OpenVPN.

בסך הכל, אין להשתמש ב- PPTP בכל מצב בו חשיבות האבטחה והפרטיות. אם אתה פשוט משתמש ב- VPN כדי לבטל את חסימת התוכן, PPTP אולי לא מהווה בחירה גרועה, אבל ישנן אפשרויות בטוחות יותר שכדאי לשקול.

פסק דין: לא מומלץ

SSTP - פרוטוקול VPN עבור Windows, אך לא נפוץ במיוחד

בדומה ל- PPTP, SSTP אינו נמצא בשימוש נרחב בענף ה- VPN, אך בניגוד ל- PPTP, אין לו בעיות אבטחה חשובות ידועות..

SSTP מייצג פרוטוקול מנהרות שקע מאובטח והוא מוצר של מיקרוסופט הזמין למערכת Windows בלבד. העובדה שמדובר במוצר של מקור סגור של מיקרוסופט היא חיסרון ברור, אף כי SSTP נחשבת גם לבטוחה למדי.

SSTP מעביר תנועה דרך פרוטוקול SSL (Secure Socket Layer) דרך יציאת TCP 443. זה הופך את זה לפרוטוקול שימושי לשימוש במצבי רשת מוגבלים, למשל אם אתה זקוק ל- VPN לסין. יש תמיכה גם במערכות הפעלה אחרות, מלבד חלונות, אך היא אינה בשימוש נרחב.

מכיוון ש- SSTP הוא מקור סגור ונשאר כולו בבעלות ותחזוקה של מיקרוסופט, מומלץ לשקול אפשרויות אחרות. כמובן, SSTP עשוי עדיין להיות האפשרות הטובה ביותר אם כל הפרוטוקולים האחרים נחסמים ברשת שלך.

מבחינת הביצועים, SSTP עושה טוב והיא מהירה, יציבה ובטוחה. למרבה הצער, מעט מאוד ספקי VPN תומכים ב- SSTP. במשך שנים רבות ExpressVPN תמך ב- SSTP בלקוח Windows, אך הוא אינו נתמך עוד כיום.

פסק דין: SSTP עשוי להיות שימושי אם פרוטוקולי VPN אחרים נחסמים, אך OpenVPN תהיה אפשרות טובה יותר (אם קיימת). מרבית ה- VPNs אינם מציעים תמיכה ב- SSTP.

OpenVPN UDP לעומת OpenVPN TCP

כאשר OpenVPN הוא פרוטוקול ה- VPN הפופולרי ביותר, לרוב תוכלו לבחור בין שני זנים: OpenVPN UDP או OpenVPN TCP. אז איזה לבחור?

להלן אני בודק את NordVPN, שנותן לי את האפשרות לבחור פרוטוקולי TCP או UDP.

openvpn udp לעומת openvpn tcp

להלן סקירה קצרה של שני הפרוטוקולים:

  • TCP (פרוטוקול בקרת הולכה): TCP היא האפשרות האמינה יותר מבין השניים, אך היא מגיעה עם כמה חסרונות ביצועים. עם TCP, המנות נשלחות רק לאחר אישור החבילה האחרונה שהגיעה, ולכן מאטות את העניינים. אם לא יתקבל אישור, מנות פשוט תודחה מחדש - מה שנקרא תיקון שגיאות.
  • UDP (פרוטוקול Datagram למשתמש): UDP הוא המהיר מבין שתי האפשרויות. החבילות נשלחות ללא כל אישור, מה שמשפר את המהירות אך יכול להיות שאינן אמינות.

כברירת מחדל, OpenVPN UDP תהיה הבחירה הטובה יותר מכיוון שהיא מציעה ביצועים מעולים על פני OpenVPN TCP. עם זאת, אם אתה נתקל בבעיות חיבור, עבור ל- TCP לקבלת אמינות רבה יותר.

TCP משמש לעיתים קרובות לטשטוש תעבורת VPN כדי להיראות כמו תנועת HTTPS רגילה. ניתן לעשות זאת באמצעות OpenVPN TCP ביציאה 443, כאשר התנועה מנותבת בהצפנת TLS. ספקי VPN רבים מציעים צורות שונות של ערפול כדי להביס חסימות VPN, ורובם משתמשים ב- OpenVPN TCP.

מהו פרוטוקול ה- VPN הטוב ביותר?

כפי שצוין בסקירה שלי על שירותי ה- VPN הטובים ביותר, אין פיתרון אחד המתאים לכל אחד עבור כל אדם. זה חל על בחירת שירות VPN וגם על בחירת פרוטוקול VPN. הפרוטוקול הטוב ביותר למצבך יהיה תלוי בכמה גורמים שונים:

  • ה התקן אתה משתמש - מכשירים שונים תומכים בפרוטוקולים שונים.
  • שלך רשת - אם אתה נמצא במצב מוגבל של רשת, כמו בסין או עם רשתות בתי ספר ועבודה, יתכן ופרוטוקולים מסוימים לא יצליחו לעבור. חלק מספקי ה- VPN מציעים פרוטוקולי VPN ייעודיים למצבים אלה - עיין במדריך ה- VPN לסין לקבלת מידע נוסף על דיון בנושא זה..
  • ביצועים - פרוטוקולים מסוימים מציעים יתרונות גדולים מבחינת הביצועים, במיוחד במכשירים ניידים שנכנסים ויוצאים מחיבוריות.
  • מודל האיום - חלק מהפרוטוקולים חלשים ופחות בטוחים מאחרים. בחר בפרוטוקול ה- VPN הטוב ביותר לצרכי האבטחה והפרטיות שלך, בהתחשב במודל האיום שלך.

עם זאת, ככלל אצבע, OpenVPN ניתן לטעון פרוטוקול ה- VPN הטוב ביותר מסביב. זה מאוד מאובטח, מהימן, בשימוש נרחב בענף והוא מציע מהירות ואמינות טובה. אם OpenVPN איננה אפשרות למצבך, פשוט שקול את האלטרנטיבות.

עם רוב שירותי ה- VPN, OpenVPN הוא בדרך כלל פרוטוקול ברירת המחדל המשמש ביישומים שלהם, אם כי L2TP / IPSec ו- IKEv2 / IPSec נפוצים בקרב לקוחות VPN ניידים..

מסקנת פרוטוקולי VPN

מדריך פרוטוקולי VPN זה אמור לשמש סקירה בסיסית של פרוטוקולי ה- VPN העיקריים הנמצאים בשימוש כיום: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP ו- SSTP.

לקבלת מידע מעמיק יותר על כל פרוטוקול, אתה יכול לבחון הפניות מהמפתחים המתאימים.

מדריך זה ימשיך להיות מעודכן ככל שהפיתוח יימשך עם פרוטוקולי VPN שונים אלה.

עודכן לאחרונה ב- 13 באוגוסט 2019.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me