openvpn vs ipsec vs wireguard ikev2


Что такое протоколы VPN и почему вам нужно понимать различные варианты?

Поскольку большинство VPN-провайдеров предлагают различные VPN-протоколы на выбор, полезно знать плюсы и минусы этих различных вариантов, чтобы вы могли выбрать наиболее подходящий для ваших уникальных потребностей.

В этом руководстве мы сравним два наиболее популярных протокола VPN - OpenVPN против IPSec - а также L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP и SSTP. Это должно дать вам краткий обзор плюсов и минусов каждого протокола VPN.

Итак, давайте погрузимся в.

Какие существуют протоколы VPN??

Что такое протокол VPN?

Протокол VPN - это набор инструкций для установки безопасного и зашифрованного соединения между вашим устройством и сервером VPN для передачи данных..

Большинство коммерческих провайдеров VPN предлагают множество различных протоколов VPN, которые вы можете использовать в VPN-клиенте. Например, на снимке экрана ниже я тестирую ExpressVPN и имею возможность выбрать OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec и PPTP.

openvpn l2tp sstp pptpЭто разные протоколы VPN в клиенте ExpressVPN.

Теперь подробнее рассмотрим различные протоколы VPN..

OpenVPN

OpenVPN - это универсальный протокол VPN с открытым исходным кодом, разработанный компанией OpenVPN Technologies. Это, пожалуй, самый безопасный и самый популярный протокол VPN, используемый сегодня, и прошедший различные сторонние проверки безопасности..

OpenVPN, как правило, считается отраслевым стандартом, если он правильно реализован и использует SSL / TLS для обмена ключами. Он обеспечивает полную конфиденциальность, аутентификацию и целостность, а также очень гибок в различных случаях использования..

OpenVPN

Настроить: OpenVPN требует специального клиентского программного обеспечения, а не встроенного в разные операционные системы. Большинство VPN-сервисов предоставляют пользовательские приложения OpenVPN, которые можно использовать в разных операционных системах и устройствах. Установка обычно быстрая и простая. OpenVPN может использоваться на всех основных платформах через сторонние клиенты: Windows, Mac OS, Linux, Apple iOS, Android и различные маршрутизаторы (проверьте совместимость встроенного программного обеспечения).

шифрование: OpenVPN использует библиотеку OpenSSL и протоколы TLS для обеспечения шифрования. OpenSSL поддерживает ряд различных алгоритмов и шифров, включая AES, Blowfish, Camellia и ChaCha20..

БезопасностьOpenVPN считается наиболее безопасным из доступных протоколов VPN при условии его правильной реализации. У него нет известных серьезных уязвимостей.

ПроизводительностьOpenVPN обеспечивает хорошую производительность, особенно если он работает по протоколу UDP (протокол пользовательских дейтаграмм), а не по протоколу TCP (протокол управления передачей). OpenVPN также является стабильным и надежным независимо от того, используется ли он в беспроводных или сотовых сетях. Если у вас проблемы с подключением, вы можете использовать OpenVPN с TCP, который подтвердит все отправленные пакеты, но будет медленнее.

Порты: OpenVPN можно использовать на любом порту, используя UDP или TCP.

решение суда: Настоятельно рекомендуется.

IPSec - Безопасность интернет-протокола

Что такое IPSec?

IPSec - это пакет защищенных сетевых протоколов, который аутентифицирует и шифрует пакеты данных, передаваемые по IP-сети. Он расшифровывается как Internet Protocol Security (IPSec) и был разработан Инженерной группой по Интернету. В отличие от SSL, который работает на уровне приложений, IPSec работает на сетевом уровне и может использоваться непосредственно во многих операционных системах. Поскольку большинство операционных систем изначально поддерживают IPSec, его можно использовать без сторонних приложений (в отличие от OpenVPN)..

IPSec стал очень популярным протоколом для использования с VPN в паре с L2TP или IKEv2, о чем мы поговорим ниже..

IPSec шифрует весь IP-пакет, используя:

  • Заголовок аутентификации (AH), который помещает цифровую подпись в каждый пакет; и
  • Протокол инкапсуляции безопасности (ESP), обеспечивающий конфиденциальность, целостность и аутентификацию пакета при передаче.

Утечка презентации АНБ - Обсуждение IPSec не было бы полным без ссылки на просочившуюся презентацию NSA, в которой обсуждаются компрометирующие NSA протоколы IPSec (L2TP и IKE). Трудно прийти к каким-либо конкретным выводам, основанным на расплывчатых ссылках в этой устаревшей презентации. Тем не менее, если ваша модель угроз включает в себя целенаправленное наблюдение со стороны опытных субъектов на государственном уровне, вы можете рассмотреть возможность использования более безопасного протокола, такого как OpenVPN. Положительным моментом является то, что протоколы IPSec по-прежнему широко считаются безопасными, если они реализованы должным образом..

Теперь мы рассмотрим, как IPSec используется с VPN при соединении с L2TP и IKEv2..

IKEv2 / IPSec

Что такое IKEv2 / IPSec?

IKEv2 - это протокол туннелирования, стандартизированный в RFC 7296, и он обозначает Internet Key Exchange version 2 (IKEv2). Он был разработан как совместный проект Cisco и Microsoft. Чтобы использовать с VPN для максимальной безопасности, IKEv2 в паре с IPSec.

Первая версия IKE (Internet Key Exchange) вышла в 1998 году, а версия 2 была выпущена спустя семь лет в декабре 2005 года. По сравнению с другими протоколами VPN, IKEv2 предлагает преимущества с точки зрения скорости, безопасности, стабильности, использования ЦП и возможность восстановить соединение. Это делает его хорошим выбором для мобильных пользователей, особенно с устройствами на iOS (Apple), которые изначально поддерживают IKEv2.

НастроитьУстановка обычно быстрая и простая, требующая импорта файлов конфигурации для серверов, которые вы хотите использовать, от вашего провайдера VPN. (См. Пример с Perfect Privacy.) IKEv2 изначально поддерживается на Windows 7+, Mac OS 10.11+, Blackberry и iOS (iPhone и iPad) и некоторых устройствах Android. Некоторые операционные системы также поддерживают функцию «всегда включен», которая пропускает весь интернет-трафик через VPN-туннель, предотвращая утечку данных..

шифрование: IKEv2 использует большой выбор криптографических алгоритмов, включая AES, Blowfish, Camellia и 3DES.

БезопасностьОдин недостаток IKEv2 / IPSec заключается в том, что он является закрытым исходным кодом и был разработан Cisco и Microsoft (но версии с открытым исходным кодом действительно существуют). Положительным моментом является то, что IKEv2 считается одним из самых быстрых и безопасных протоколов, что делает его популярным среди пользователей VPN..

Производительность: Во многих случаях IKEv2 работает быстрее, чем OpenVPN, поскольку он менее загружен процессором. Однако существует множество переменных, которые влияют на скорость, поэтому это может не применяться во всех случаях использования. С точки зрения производительности для мобильных пользователей IKEv2 может быть лучшим вариантом, потому что он хорошо устанавливает переподключение.

Порты: IKEv2 использует следующие порты: UDP 500 для первоначального обмена ключами и UDP 4500 для NAT-обхода.

решение суда: Рекомендуемые.

L2TP / IPSec

Протокол туннелирования уровня 2 (L2TP) в паре с IPSec также является популярным протоколом VPN, который изначально поддерживается многими операционными системами. L2TP / IPSec стандартизирован в RFC 3193 и обеспечивает конфиденциальность, аутентификацию и целостность.

НастроитьНастройка L2TP / IPSec обычно быстрая и простая. Он изначально поддерживается во многих операционных системах, включая Windows 2000 / XP +, Mac OS 10.3+, а также в большинстве операционных систем Android. Как и в случае с IKEv2 / IPSec, вам просто необходимо импортировать файлы конфигурации из вашего провайдера VPN.

шифрование: L2TP / IPSec инкапсулирует данные дважды, шифрование осуществляется по стандартному протоколу IPSec..

БезопасностьL2TP / IPSec обычно считается безопасным и не имеет каких-либо серьезных известных проблем. Однако, как и в случае с IKEv2 / IPSec, L2TP / IPSec был также разработан Cisco и Microsoft, что вызывает вопросы о доверии..

Производительность: С точки зрения производительности L2TP / IPSec действительно может варьироваться. С одной стороны, в ядре происходит шифрование / дешифрование одной рукой, и оно также поддерживает многопоточность, что должно повысить скорость. Но, с другой стороны, поскольку он дважды инкапсулирует данные, он может работать не так быстро, как другие варианты..

ПортыL2TP / IPSEC использует UDP 500 для первоначального обмена ключами, а также UDP 1701 для начальной конфигурации L2TP и UDP 4500 для прохождения NAT. Из-за этой зависимости от фиксированных протоколов и портов легче блокировать, чем OpenVPN.

решение суда: L2TP / IPSec не является плохим выбором, но вы можете выбрать IKEv2 / IPSec или OpenVPN, если доступно.

WireGuard - новый и экспериментальный протокол VPN

WireGuard - это новый экспериментальный протокол VPN, который стремится обеспечить лучшую производительность и большую безопасность по сравнению с существующими протоколами..

wireguard

Как мы рассмотрели в основном руководстве по WireGuard VPN, протокол обладает некоторыми интересными преимуществами с точки зрения производительности, но он также имеет несколько примечательных недостатков. Основные недостатки заключаются в следующем:

  • WireGuard находится в стадии интенсивной разработки и еще не прошел аудит.
  • Многие VPN-сервисы вызывают опасения по поводу возможности использования WireGuard без логов (недостатки конфиденциальности).
  • Очень ограниченное принятие индустрией VPN (по крайней мере, на данный момент).
  • Нет поддержки TCP.

Настроить: WireGuard не входит ни в одну операционную систему. Вероятно, со временем это изменится, когда оно будет включено в ядро ​​для Linux, Mac OS и, возможно, с некоторыми мобильными операционными системами. WireGuard поддерживает очень ограниченное количество VPN - обратитесь к провайдеру за инструкциями по настройке.

шифрование: WireGuard использует Curve25519 для обмена ключами, ChaCha20 и Poly1305 для аутентификации данных и BLAKE2 для хеширования.

Безопасность: Главная проблема безопасности в WireGuard заключается в том, что он еще не прошел аудит и находится в стадии интенсивного развития. Существует несколько сетей VPN, которые уже предлагают своим пользователям WireGuard для «тестирования», но, учитывая состояние проекта, WireGuard не следует использовать, когда важны конфиденциальность и безопасность..

Производительность: WireGuard теоретически должен предлагать отличные характеристики с точки зрения скорости, надежности, а также потребления батареи. Это может быть идеальный протокол для мобильных пользователей, поскольку он позволяет переключаться между сетевыми интерфейсами без потери соединения. Предполагается, что переподключение происходит намного быстрее, чем с OpenVPN и IPSec..

Порты: WireGuard использует UDP и может быть настроен на любом порту. К сожалению, нет поддержки TCP, что облегчает блокировку.

решение суда: (Пока) не рекомендуется, но я буду следить за развитием проекта.

PPTP - устаревший и небезопасный

PPTP расшифровывается как протокол туннелирования точка-точка и является одним из старейших протоколов VPN, используемых до сих пор. Он работает на TCP-порту 1723 и был изначально разработан Microsoft.

PPTP сейчас по сути устарел из-за серьезных уязвимостей в безопасности. Мы не будем тратить слишком много времени на обсуждение PPTP, потому что большинство людей его даже не используют..

PPTP изначально поддерживается во всех версиях Windows и в большинстве операционных систем. Несмотря на то, что он относительно быстрый, PPTP не так надежен и не восстанавливается так быстро после сброшенных соединений, как OpenVPN..

В целом, PPTP не следует использовать в любых ситуациях, когда важны безопасность и конфиденциальность. Если вы просто используете VPN для разблокировки контента, PPTP не может быть плохим выбором, но есть более безопасные варианты, которые стоит рассмотреть.

решение суда: Не рекомендуется

SSTP - протокол VPN для Windows, но не очень распространенный

Как и PPTP, SSTP не широко используется в индустрии VPN, но, в отличие от PPTP, он не имеет серьезных известных проблем безопасности..

SSTP означает Протокол защищенного туннелирования сокетов и является продуктом Microsoft, доступным только для Windows. Тот факт, что это продукт с закрытым исходным кодом от Microsoft, является очевидным недостатком, хотя SSTP также считается достаточно безопасным.

SSTP передает трафик через протокол SSL (Secure Socket Layer) через TCP-порт 443. Это делает его полезным для использования в ограниченных сетевых ситуациях, например, если вам нужен VPN для Китая. Помимо Windows есть поддержка других операционных систем, но она не используется широко.

Поскольку SSTP является закрытым исходным кодом и полностью находится в собственности и обслуживании Microsoft, вы можете рассмотреть другие варианты. Конечно, SSTP все еще может быть лучшим вариантом, если все другие протоколы блокируются в вашей сети..

С точки зрения производительности SSTP работает хорошо, быстро, стабильно и безопасно. К сожалению, очень немногие VPN-провайдеры поддерживают SSTP. В течение многих лет ExpressVPN поддерживал SSTP в клиенте Windows, но сегодня он больше не поддерживается..

решение суда: SSTP может быть полезен, если другие протоколы VPN блокируются, но OpenVPN будет лучшим выбором (если доступно). Большинство VPN не поддерживают SSTP.

OpenVPN UDP против OpenVPN TCP

Поскольку OpenVPN является наиболее популярным протоколом VPN, вы обычно можете выбирать между двумя вариантами: OpenVPN UDP или OpenVPN TCP. Итак, что выбрать?

Ниже я тестирую NordVPN, который дает мне возможность выбирать протоколы TCP или UDP..

openvpn udp vs openvpn tcp

Вот краткий обзор обоих протоколов:

  • TCP (Протокол управления передачей): TCP является более надежным вариантом из двух, но он имеет некоторые недостатки производительности. При использовании TCP пакеты отправляются только после подтверждения того, что последний пакет получен, что замедляет работу. Если подтверждение не получено, пакет просто будет повторно отправлен - что называется исправлением ошибок.
  • UDP (Протокол пользовательских дейтаграмм): UDP - самый быстрый из двух вариантов. Пакеты отправляются без какого-либо подтверждения, что повышает скорость, но также может быть не таким надежным.

По умолчанию, OpenVPN UDP будет лучшим выбором, поскольку он предлагает превосходную производительность по сравнению с OpenVPN TCP. Если у вас возникли проблемы с подключением, переключитесь на TCP для большей надежности.

TCP часто используется для обфускации VPN-трафика, чтобы он выглядел как обычный HTTPS-трафик. Это может быть сделано с помощью OpenVPN TCP на порту 443, с трафиком, маршрутизируемым в шифровании TLS. Многие провайдеры VPN предлагают различные формы обфускации, чтобы победить блоки VPN, и большинство используют OpenVPN TCP.

Какой протокол VPN лучший?

Как отмечается в моем обзоре лучших VPN-сервисов, не существует универсального решения для каждого человека. Это относится к выбору услуги VPN, а также к выбору протокола VPN. Лучший протокол для вашей ситуации будет зависеть от нескольких факторов:

  • устройство вы используете - разные устройства поддерживают разные протоколы.
  • Ваш сеть - если вы находитесь в ограниченной сетевой ситуации, например, в Китае или со школьными и рабочими сетями, некоторые протоколы могут не пройти. Некоторые провайдеры VPN предлагают назначенные протоколы VPN для этих ситуаций - для получения дополнительной информации по этой теме см. Руководство по VPN для Китая..
  • Производительность - Некоторые протоколы предлагают большие преимущества с точки зрения производительности, особенно на мобильных устройствах, которые входят и выходят из подключения.
  • Модель угрозы - Некоторые протоколы слабее и менее безопасны, чем другие. Выберите наилучший протокол VPN для обеспечения безопасности и конфиденциальности с учетом модели угроз..

Как правило, однако, OpenVPN возможно лучший универсальный протокол VPN. Он очень надежен, надежен, широко используется в промышленности и предлагает хорошую скорость и надежность. Если OpenVPN не подходит для вашей ситуации, просто рассмотрите альтернативы.

В большинстве VPN-сервисов OpenVPN обычно является протоколом по умолчанию, используемым в их приложениях, хотя L2TP / IPSec и IKEv2 / IPSec распространены у мобильных VPN-клиентов..

Заключение протоколов VPN

Это руководство по протоколам VPN служит базовым обзором основных протоколов VPN, используемых сегодня: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP и SSTP..

Для получения более подробной информации о каждом протоколе, вы можете изучить ссылки от соответствующих разработчиков.

Это руководство будет обновляться по мере развития этих различных протоколов VPN..

Дата обновления 13 августа 2019 г..

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me