openvpn vs ipsec vs wireguard ikev2


Kaj so protokoli VPN in zakaj morate razumeti različne možnosti?

Pri večini ponudnikov VPN, ki ponujajo različne protokole VPN, je dobro poznati prednosti in slabosti teh različnih možnosti, da lahko izberete najboljše, ki ustrezajo vašim edinstvenim potrebam.

V tem priročniku bomo primerjali dva najbolj priljubljena protokola VPN - OpenVPN proti IPSec - ter L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP in SSTP. To naj bi vam omogočilo kratek pregled prednosti in slabosti vsakega protokola VPN.

Torej, pojdimo noter.

Kakšni so različni protokoli VPN?

Kaj je protokol VPN?

Protokol VPN je niz navodil za vzpostavitev varne in šifrirane povezave med vašo napravo in strežnikom VPN za prenos podatkov.

Večina komercialnih ponudnikov VPN ponuja številne različne protokole VPN, ki jih lahko uporabljate znotraj odjemalca VPN. Na spodnjem posnetku zaslona na primer preizkušam ExpressVPN in imam možnost izbrati OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec in PPTP.

openvpn l2tp sstp pptpTo so različni protokoli VPN v odjemalcu ExpressVPN.

Zdaj si bomo podrobneje ogledali različne protokole VPN.

OpenVPN

OpenVPN je vsestranski, odprtokodni protokol VPN, ki ga je razvila OpenVPN Technologies. Je verjetno najbolj varen in najbolj priljubljen protokol VPN, ki se danes uporablja in je opravil različne varnostne preglede tretjih oseb.

OpenVPN na splošno velja za industrijski standard, če je pravilno implementiran in uporablja SSL / TLS za izmenjavo ključev. Zagotavlja popolno zaupnost, avtentikacijo in celovitost, poleg tega pa je zelo prilagodljiv pri različnih primerih uporabe.

openvpn

Nastaviti: OpenVPN uporablja posebno programsko opremo za odjemalce, ne pa da je vgrajena v različne operacijske sisteme. Večina storitev VPN ponuja aplikacije OpenVPN po meri, ki jih je mogoče uporabljati v različnih operacijskih sistemih in napravah. Namestitev je običajno hitra in preprosta. OpenVPN lahko uporabljate na vseh glavnih platformah prek zunanjih strank: Windows, Mac OS, Linux, Apple iOS, Android in različnih usmerjevalnikov (preverite, ali je vdelana programska oprema združljiva).

Šifriranje: OpenVPN za šifriranje uporablja knjižnico OpenSSL in protokole TLS. OpenSSL podpira številne različne algoritme in šifre, vključno z AES, Blowfish, Camellia in ChaCha20.

Varnost: OpenVPN velja za najbolj varen protokol VPN, ki je na voljo, če je pravilno izveden. Nima nobenih znanih večjih ranljivosti.

Izvedba: OpenVPN nudi dobre zmogljivosti, še posebej, če teče nad UDP (User Datagram Protocol), ne pa nad TCP (Transmission Control Protocol). OpenVPN je tudi stabilen in zanesljiv, ne glede na to, ali se uporablja v brezžičnih ali mobilnih omrežjih. Če imate težave s povezavo, lahko uporabite OpenVPN s TCP, ki bo potrdil vse poslane pakete, vendar bo počasneje.

Pristanišča: OpenVPN lahko uporabljate na katerem koli pristanišču z uporabo UDP ali TCP.

Razsodba: Zelo priporočljivo.

IPSec - Varnost internetnega protokola

Kaj je IPSec?

IPSec je varen paket omrežnih protokolov, ki overja in šifrira podatkovne pakete, poslane po IP omrežju. Zavzema se za varnost internetnih protokolov (IPSec), razvila pa jo je skupina za inženiring v internetu. Za razliko od SSL-ja, ki deluje na aplikacijski ravni, IPSec deluje na omrežni ravni in ga je mogoče uporabiti izvirno pri številnih operacijskih sistemih. Ker večina operacijskih sistemov izvorno podpira IPSec, ga je mogoče uporabljati brez drugih aplikacij (za razliko od OpenVPN).

IPSec je postal zelo priljubljen protokol za uporabo z VPN-ji, ko je seznanjen z L2TP ali IKEv2, o čemer bomo razpravljali več v nadaljevanju.

IPSec šifrira celoten paket IP z uporabo:

  • Glava overjanja (AH), ki na vsak paket postavi digitalni podpis; in
  • Zaključni varnostni protokol (ESP), ki vključuje zaupnost, celovitost in pristnost paketa pri prenosu.

Predstavljena NSA predstavitev - Razprava o IPSec ne bi bila popolna brez sklicevanja na puščeno predstavitev NSA, ki obravnava NSA, ki ogroža protokole IPSec (L2TP in IKE). Težko je priti do kakršnih koli konkretnih zaključkov, ki bi temeljili na nejasnih navedbah v tej datumski predstavitvi. Kljub temu, če vaš model groženj vključuje ciljno nadzorovanje prefinjenih akterjev na državni ravni, boste morda želeli razmisliti o varnejšem protokolu, kot je OpenVPN. Pozitivno je, da protokoli IPSec še vedno veljajo za varne, če se pravilno izvajajo.

Zdaj bomo preučili, kako se IPSec uporablja z VPN, ko je seznanjen z L2TP in IKEv2.

IKEv2 / IPSec

Kaj je IKEv2 / IPSec?

IKEv2 je protokol za tuneliranje, ki je standardiziran v RFC 7296 in pomeni internetno izmenjavo ključev različice 2 (IKEv2). Razvit je bil kot skupni projekt med Cisco in Microsoftom. Za uporabo z VPN-ji za največjo varnost je IKEv2 seznanjen z IPSec.

Prva različica IKE (Internet Key Exchange) je izšla leta 1998, različica 2 pa je izšla sedem let pozneje decembra 2005. V primerjavi z drugimi protokoli VPN IKEv2 ponuja prednosti v smislu hitrosti, varnosti, stabilnosti, uporabe CPE-ja in možnost ponovne vzpostavitve povezave. To je dobra izbira za mobilne uporabnike, zlasti z napravami iOS (Apple), ki izvorno podpirajo IKEv2.

Nastaviti: Nastavitev je na splošno hitra in enostavna, zato morate uvoziti konfiguracijske datoteke za strežnike, ki jih želite uporabljati od ponudnika VPN. (Glej primer s popolno zasebnostjo.) IKEv2 je podprto v sistemih Windows 7+, Mac OS 10.11 ali novejši različici Blackberry in iOS (iPhone in iPad) ter nekaterih napravah Android. Nekateri operacijski sistemi podpirajo tudi funkcijo "vedno vklopljeno", ki sili ves internetni promet skozi tunel VPN, zato zagotavlja, da podatkov ne pušča.

Šifriranje: IKEv2 uporablja velik izbor kriptografskih algoritmov, vključno z AES, Blowfish, Camellia in 3DES.

Varnost: Ena pomanjkljivost IKEv2 / IPSec je ta, da je zaprti vir in sta ga razvila Cisco in Microsoft (vendar odprtokodne različice obstajajo). Pozitivno je, da IKEv2 velja za enega najhitrejših in najvarnejših protokolov, ki so na voljo, zato je priljubljena izbira pri VPN uporabnikih.

Izvedba: V mnogih primerih je IKEv2 hitrejši kot OpenVPN, saj je manj intenziven CPU. Vendar pa obstajajo številne spremenljivke, ki vplivajo na hitrost, tako da to morda ne velja v vseh primerih uporabe. Z vidika zmogljivosti pri mobilnih uporabnikih je IKEv2 morda najboljša možnost, saj dobro vzpostavi povezavo.

Pristanišča: IKEv2 uporablja naslednja vrata: UDP 500 za začetno izmenjavo ključev in UDP 4500 za NAT prehod.

Razsodba: Priporočljivo.

L2TP / IPSec

Protokol tuneliranja nivoja 2 (L2TP), ki je povezan z IPSec, je tudi priljubljen protokol VPN, ki ga podpirajo številni operacijski sistemi. L2TP / IPSec je standardiziran v RFC 3193 in zagotavlja zaupnost, pristnost in celovitost.

Nastaviti: Nastavitev L2TP / IPSec je na splošno hitra in enostavna. Izvirno je podprt v številnih operacijskih sistemih, vključno z Windows 2000 / XP +, Mac OS 10.3 ali novejšimi operacijskimi sistemi. Tako kot pri IKEv2 / IPSec morate konfiguracijske datoteke preprosto uvoziti od ponudnika VPN.

Šifriranje: L2TP / IPSec dvakrat enkapsulira podatke s šifriranjem, ki prihaja po standardnem protokolu IPSec.

Varnost: L2TP / IPSec na splošno velja za varnega in nima večjih znanih težav. Tako kot pri IKEv2 / IPSec sta tudi Cisco in Microsoft razvila L2TP / IPSec, ki sproža vprašanja o zaupanju.

Izvedba: Glede na zmogljivost se lahko L2TP / IPSec resnično razlikuje. Enkratna enkripcija / dešifriranje se zgodi v jedru, poleg tega pa podpira multi-nitkanje, kar bi moralo izboljšati hitrost. Toda po drugi strani, ker dvakrat zaklepa podatke, morda ne bo tako hitro kot druge možnosti.

Pristanišča: L2TP / IPSEC uporablja UDP 500 za začetno izmenjavo ključev, pa tudi UDP 1701 za začetno konfiguracijo L2TP in UDP 4500 za NAT prehod. Zaradi tega zanašanja na fiksne protokole in vrata je lažje blokirati kot OpenVPN.

Razsodba: L2TP / IPSec ni slaba izbira, vendar se boste morda odločili za IKEv2 / IPSec ali OpenVPN, če so na voljo.

WireGuard - Nov in eksperimentalni protokol VPN

WireGuard je nov in eksperimentalni protokol VPN, ki si prizadeva za boljše delovanje in večjo varnost nad obstoječimi protokoli.

žična garda

Kot smo opisali v glavnem vodiču WireGuard VPN, ima protokol kar nekaj zanimivih prednosti glede zmogljivosti, vendar ima tudi nekaj pomembnih pomanjkljivosti. Glavne pomanjkljivosti so naslednje:

  • WireGuard ostaja v velikem razvoju in še ni bil revidiran.
  • Številne storitve VPN so izrazile pomisleke glede sposobnosti WireGuarda za uporabo brez dnevnikov (pomanjkljivosti zasebnosti).
  • Zelo omejena uporaba industrije VPN (vsaj za zdaj).
  • Ni podpore za TCP.

Nastaviti: WireGuard ni vključen v noben operacijski sistem. To se bo verjetno sčasoma spremenilo, ko bo vključeno v jedro za Linux, Mac OS in morda z nekaterimi mobilnimi operacijskimi sistemi. Zelo omejeno število VPN-jev podpira WireGuard - za navodila za nastavitev se obrnite na ponudnika.

Šifriranje: WireGuard uporablja Curve25519 za izmenjavo ključev, ChaCha20 in Poly1305 za preverjanje pristnosti podatkov in BLAKE2s za mešanje.

Varnost: Glavno varnostno vprašanje pri WireGuardu je, da še ni revidiran in da še vedno močno napreduje. Obstaja kar nekaj VPN-jev, ki WireGuard svojim uporabnikom že ponujajo za "testiranje", vendar glede na stanje projekta, WireGuard ne bi smel uporabljati, kadar sta zasebnost in varnost pomembni..

Izvedba: WireGuard bi moral teoretično ponuditi odlične zmogljivosti glede hitrosti, zanesljivosti in tudi porabe baterije. Morda je idealen protokol za mobilne uporabnike, saj omogoča preklapljanje med omrežnimi vmesniki, ne da bi pri tem izgubili povezavo. Ponovno povezovanje naj bi se zgodilo tudi veliko hitreje kot pri OpenVPN in IPSec.

Pristanišča: WireGuard uporablja UDP in ga je mogoče konfigurirati na katerem koli pristanišču. Na žalost ni podpore za TCP, kar olajša blokado.

Razsodba: Še (še) ni priporočljivo, vendar bom spremljal razvoj projekta.

PPTP - zastarel in ni varen

PPTP pomeni protokol Tunneling od točke do točke in je eden najstarejših protokolov VPN, ki se še danes uporablja. Poteka na vrata TCP 1723 in ga je sprva razvil Microsoft.

PPTP je zdaj v bistvu zastarel zaradi resnih ranljivosti varnosti. Ne bomo porabili preveč časa za razpravljanje o PPTP, ker ga večina ljudi sploh ne uporablja več.

PPTP je izvorno podprt v vseh različicah Windows in večini operacijskih sistemov. Čeprav je relativno hiter, PPTP ni tako zanesljiv in se ne povrne tako hitro od padlih povezav kot OpenVPN.

Na splošno se PPTP ne sme uporabljati v nobeni situaciji, kjer sta pomembni varnost in zasebnost. Če samo uporabljate VPN za deblokiranje vsebine, PPTP morda ni slaba izbira, vendar obstajajo bolj varne možnosti, ki jih je vredno razmisliti.

Razsodba: Ni priporočljivo

SSTP - VPN protokol za Windows, vendar ni zelo pogost

Tako kot PPTP tudi SSTP ni široko uporabljen v industriji VPN, vendar za razliko od PPTP tudi on nima večjih znanih varnostnih težav.

SSTP pomeni Protokol varnega tuneliranja vtičnic in je Microsoftov izdelek, ki je na voljo samo za Windows. Dejstvo, da gre za Microsoftov izdelek z zaprtim virom, je očitna pomanjkljivost, čeprav velja, da je SSTP tudi precej varen.

SSTP prenaša promet prek protokola SSL (Secure Socket Layer) prek vrat TCP 443. Tako je uporaben protokol za uporabo v omejenih omrežnih situacijah, na primer, če potrebujete VPN za Kitajsko. Poleg Windows obstaja tudi podpora za druge operacijske sisteme, ki pa se ne uporabljajo pogosto.

Ker je SSTP zaprt vir in je v celoti pod lastništvom in vzdrževanjem Microsofta, boste morda želeli razmisliti o drugih možnostih. Seveda je SSTP še vedno najboljša možnost, če se vsi drugi protokoli blokirajo v vašem omrežju.

Glede na zmogljivost SSTP deluje dobro in je hiter, stabilen in varen. Na žalost zelo malo ponudnikov VPN podpira SSTP. Dolga leta je ExpressVPN v odjemalcu Windows podpiral SSTP, vendar danes ni več podprt.

Razsodba: SSTP je lahko uporaben, če se drugi protokoli VPN blokirajo, vendar bi bila OpenVPN boljša izbira (če je na voljo). Večina VPN-jev ne nudi nobene podpore za SSTP.

OpenVPN UDP proti OpenVPN TCP

Ker je OpenVPN najbolj priljubljen protokol VPN, lahko običajno izbirate med dvema sortama: OpenVPN UDP ali OpenVPN TCP. Torej katero izbrati?

Spodaj preizkušam NordVPN, ki mi omogoča izbiro protokolov TCP ali UDP.

openvpn udp vs openvpn tcp

Tu je kratek pregled obeh protokolov:

  • TCP (Protokol za nadzor prenosa): TCP je zanesljivejša od obeh možnosti, vendar ima nekaj pomanjkljivosti delovanja. S TCP pakete pošljejo šele po potrditvi, da je zadnji paket prispel, zato stvari upočasnjujejo. Če potrditve ni prejeto, bo paket preprosto ponastavljen - kar je znano kot odpravljanje napak.
  • UDP (User Datagram Protocol): UDP je med dvema možnostma najhitrejši. Paketi se pošiljajo brez kakršne koli potrditve, kar izboljša hitrost, a tudi morda ni tako zanesljivo.

Privzeto bi bil OpenVPN UDP boljša izbira, saj ponuja boljše zmogljivosti kot OpenVPN TCP. Če imate težave s povezavo, za večjo zanesljivost preklopite na TCP.

TCP se pogosto uporablja za prikrivanje prometa VPN, da bi bil videti kot običajni HTTPS promet. To lahko storite z uporabo OpenVPN TCP na pristanišču 443, pri čemer je promet usmerjen v šifriranje TLS. Številni ponudniki VPN ponujajo različne oblike prikritja za poraz VPN blokov in večina uporablja OpenVPN TCP.

Kaj je najboljši protokol VPN?

Kot sem ugotovil v svojem pregledu najboljših storitev VPN, za vsakega človeka ni rešitve, ki bi bila enaka enaki velikosti. To velja za izbiro storitve VPN in tudi za izbiro protokola VPN. Najboljši protokol za vašo situacijo bo odvisen od nekaj različnih dejavnikov:

  • The napravo uporabljate - različne naprave podpirajo različne protokole.
  • Vaš omrežje - če ste v omrežju z omejenimi možnostmi, na primer na Kitajskem ali s šolskimi in delovnimi omrežji, nekateri protokoli morda ne bodo prešli. Nekateri ponudniki VPN ponujajo določene protokole VPN za te razmere - glejte priročnik VPN za Kitajsko za več razprav na to temo.
  • Izvedba - Nekateri protokoli ponujajo velike prednosti v smislu zmogljivosti, zlasti na mobilnih napravah, ki se povezujejo in ne povezujejo.
  • Model grožnje - Nekateri protokoli so šibkejši in manj varni kot drugi. Izberite najboljši protokol VPN za vaše potrebe glede varnosti in zasebnosti glede na vaš model grožnje.

Kot splošno pravilo pa vseeno, OpenVPN je zagotovo tisto najboljši protokol VPN. Je zelo varen, zaupanja vreden, široko uporabljen v industriji in nudi dobro hitrost in zanesljivost. Če OpenVPN ni možnost za vašo situacijo, preprosto razmislite o drugih možnostih.

Pri večini storitev VPN je na splošno OpenVPN privzeti protokol, ki se uporablja v njihovih aplikacijah, čeprav sta L2TP / IPSec in IKEv2 / IPSec običajna pri odjemalcih mobilnih VPN.

Zaključek protokolov VPN

Ta vodnik za protokole VPN naj bi služil kot osnovni pregled glavnih protokolov VPN, ki se danes uporabljajo: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP in SSTP.

Za podrobnejše informacije o vsakem protokolu si lahko ogledate reference ustreznih razvijalcev.

Ta vodnik se bo še naprej posodabljal, saj se razvoj nadaljuje s temi različnimi protokoli VPN.

Zadnje posodobljeno 13. avgusta 2019.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me