openvpn vs ipsec срещу телохранител ikev2


Какво представляват VPN протоколите и защо трябва да разберете различните опции?

При повечето VPN доставчици, предлагащи разнообразни VPN протоколи, от които да избирате, добре е да знаете плюсовете и минусите на тези различни опции, за да можете да изберете най-подходящото за вашите уникални нужди.

В това ръководство ще сравним двата най-популярни VPN протокола - OpenVPN срещу IPSec - както и L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP и SSTP. Това има за цел да ви даде кратък преглед на плюсовете и минусите на всеки VPN протокол.

Така че нека се потопим вътре.

Какви са различните VPN протоколи?

Какво е VPN протокол?

VPN протокол е набор от инструкции за установяване на защитена и криптирана връзка между вашето устройство и VPN сървър за предаване на данни.

Повечето търговски VPN доставчици предлагат множество различни VPN протоколи, които можете да използвате в VPN клиента. Например, на екрана по-долу тествам ExpressVPN и имам възможност да изберете OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec и PPTP.

openvpn l2tp sstp pptpТова са различните VPN протоколи в клиента ExpressVPN.

Сега ще разгледаме по-отблизо различни VPN протоколи.

OpenVPN

OpenVPN е универсален VPN протокол с отворен код, разработен от OpenVPN Technologies. Той е може би най-сигурният и най-популярен VPN протокол, който се използва днес и е преминал различни одити на сигурност на трети страни.

OpenVPN обикновено се счита за индустриалния стандарт, когато е правилно внедрен и използва SSL / TLS за обмен на ключове. Той осигурява пълна конфиденциалност, удостоверяване и цялостност, а също така е много гъвкав при различни случаи на използване.

OpenVPN

Настройвам: OpenVPN изисква използване на специален клиентски софтуер, вместо да бъде вграден в различни операционни системи. Повечето VPN услуги предоставят персонализирани приложения OpenVPN, които могат да се използват в различни операционни системи и устройства. Инсталацията обикновено е бърза и проста. OpenVPN може да се използва на всички основни платформи чрез трети клиенти: Windows, Mac OS, Linux, Apple iOS, Android и различни рутери (проверете фърмуера за съвместимост).

Encryption: OpenVPN използва OpenSSL библиотеката и TLS протоколите, за да осигури криптиране. OpenSSL поддържа редица различни алгоритми и шифри, включително AES, Blowfish, Camellia и ChaCha20.

Сигурност: OpenVPN се счита за най-сигурният наличен VPN протокол, при условие че е правилно реализиран. Той няма известни големи уязвимости.

производителност: OpenVPN предлага добри резултати, особено ако се изпълнява UDP (User Datagram Protocol), а не TCP (Transmission Control Protocol). OpenVPN също е стабилен и надежден, независимо дали се използва в безжични или клетъчни мрежи. Ако имате проблеми с връзката, можете да използвате OpenVPN с TCP, който ще потвърди всички изпратени пакети, но ще бъде по-бавно.

Пристанища: OpenVPN може да се използва на всеки порт, използвайки UDP или TCP.

присъда: Силно препоръчително.

IPSec - Сигурност на интернет протокола

Какво е IPSec?

IPSec е защитен пакет от мрежови протоколи, който удостоверява и криптира пакети данни, изпратени по IP мрежа. Това означава защита на интернет протокола (IPSec) и е разработена от специалната група за интернет инженеринг. За разлика от SSL, който работи на ниво приложение, IPSec оперира на мрежово ниво и може да бъде използван на практика с много операционни системи. Тъй като повечето операционни системи поддържат IPSec за първи път, той може да се използва без приложения на трети страни (за разлика от OpenVPN).

IPSec се превърна в много популярен протокол за използване с VPN, когато се сдвоява с L2TP или IKEv2, които ще обсъдим повече по-долу.

IPSec криптира целия IP пакет, използвайки:

  • Заглавие за удостоверяване (AH), което поставя цифров подпис върху всеки пакет; и
  • Инкапсулиращ протокол за сигурност (ESP), който поверителност, цялостност и удостоверяване на пакета при предаване.

Представяне на НСА - Дискусия на IPSec не би била пълна без споменаване на изтекла презентация на NSA, която обсъжда NSA, компрометиращи IPSec протоколите (L2TP и IKE). Трудно е да се стигне до някакви конкретни изводи, основани на неясни препратки в това датирано представяне. Независимо от това, ако вашият модел на заплаха включва целенасочено наблюдение от усъвършенствани участници на държавно ниво, може да искате да помислите за по-сигурен протокол, като OpenVPN. Положително, протоколите на IPSec все още се считат за сигурни, ако се прилагат правилно.

Сега ще разгледаме как IPSec се използва с VPN, когато се сдвоява с L2TP и IKEv2.

IKEv2 / IPSec

Какво е IKEv2 / IPSec?

IKEv2 е тунелен протокол, който е стандартизиран в RFC 7296 и обозначава версия на интернет ключ за обмен 2 (IKEv2). Той е разработен като съвместен проект между Cisco и Microsoft. За да се използва с VPN за максимална сигурност, IKEv2 е сдвоен с IPSec.

Първата версия на IKE (Internet Key Exchange) излезе през 1998 г., като версия 2 беше пусната седем години по-късно през декември 2005 г. В сравнение с други VPN протоколи, IKEv2 предлага предимства по отношение на бързина, сигурност, стабилност, използване на процесора и възможността за възстановяване на връзка. Това го прави добър избор за мобилни потребители, по-специално с iOS (Apple) устройства, които всъщност поддържат IKEv2.

Настройвам: Инсталирането обикновено е бързо и лесно, което изисква да импортирате конфигурационните файлове за сървърите, които искате да използвате от вашия доставчик на VPN. (Вижте пример с Perfect Privacy.) IKEv2 се поддържа от Windows 7+, Mac OS 10.11+, Blackberry и iOS (iPhone и iPad) и някои устройства с Android. Някои операционни системи поддържат и функция „винаги включена“, която принуждава целия интернет трафик през тунела VPN, като по този начин гарантира, че няма изтичане на данни.

Encryption: IKEv2 използва голям избор от криптографски алгоритми, включително AES, Blowfish, Camellia и 3DES.

Сигурност: Един недостатък на IKEv2 / IPSec е, че той е затворен код и е разработен от Cisco и Microsoft (но съществуват версии с отворен код). Положително, IKEv2 се счита за един от най-бързите и сигурни налични протоколи, което го прави популярен избор сред VPN потребителите.

производителност: В много случаи IKEv2 е по-бърз от OpenVPN, тъй като е по-малко CPU-интензивен. Съществуват обаче множество променливи, които влияят на скоростта, така че това може да не се прилага във всички случаи на употреба. От гледна точка на производителността с мобилни потребители, IKEv2 може да бъде най-добрият вариант, тъй като той добре установява повторно свързване.

Пристанища: IKEv2 използва следните портове: UDP 500 за първоначална размяна на ключове и UDP 4500 за NAT преминаване.

присъда: Препоръчва се.

L2TP / IPSec

Протокол за тунелиране на слой 2 (L2TP), сдвоен с IPSec, също е популярен VPN протокол, който се поддържа от много операционни системи. L2TP / IPSec е стандартизиран в RFC 3193 и осигурява конфиденциалност, автентичност и цялостност.

Настройвам: Настройката на L2TP / IPSec обикновено е бърза и лесна. Той се поддържа от самото начало в много операционни системи, включително Windows 2000 / XP +, Mac OS 10.3+, както и повечето операционни системи Android. Точно както при IKEv2 / IPSec, просто трябва да импортирате конфигурационните файлове от вашия доставчик на VPN.

Encryption: L2TP / IPSec капсулира данните два пъти с криптиране, идващо от стандартния IPSec протокол.

Сигурност: L2TP / IPSec обикновено се счита за сигурен и няма големи известни проблеми. Подобно на IKEv2 / IPSec, обаче, L2TP / IPSec също беше разработен от Cisco и Microsoft, което повдига въпроси за доверието.

производителност: По отношение на производителността L2TP / IPSec може наистина да варира. Шифрирането / дешифрирането от една страна се случва в ядрото и също така поддържа мулти-резба, което трябва да подобри скоростта. Но от друга страна, тъй като двойно капсулира данните, може да не е толкова бързо, колкото другите опции.

Пристанища: L2TP / IPSEC използва UDP 500 за първоначална размяна на ключове, както и UDP 1701 за първоначална конфигурация L2TP и UDP 4500 за NAT преминаване. Поради това разчитане на фиксирани протоколи и портове, е по-лесно да се блокира от OpenVPN.

присъда: L2TP / IPSec не е лош избор, но може да искате да изберете IKEv2 / IPSec или OpenVPN, ако са налични.

WireGuard - Нов и експериментален VPN протокол

WireGuard е нов и експериментален VPN протокол, който се стреми да осигури по-добра производителност и повече сигурност над съществуващите протоколи.

wireguard

Както разгледахме в основното ръководство за VPN на WireGuard, протоколът има някои интересни предимства по отношение на производителността, но също така идва и с няколко забележителни недостатъка. Основните недостатъци са следните:

  • WireGuard остава в тежко развитие и все още не е одитиран.
  • Много VPN услуги изразиха опасения относно способността на WireGuard да се използва без регистрационни файлове (недостатъци на поверителността).
  • Много ограничено приемане от VPN индустрията (поне засега).
  • Няма поддръжка за TCP.

Настройвам: WireGuard не е включен в никоя операционна система. Това вероятно ще се промени с течение на времето, когато е включено в ядрото за Linux, Mac OS и може би с някои мобилни операционни системи. Много ограничен брой VPN поддържат WireGuard - консултирайте се с доставчика за инструкции за настройка.

Encryption: WireGuard използва Curve25519 за обмен на ключове, ChaCha20 и Poly1305 за удостоверяване на данни и BLAKE2 за хеширане.

Сигурност: Основният проблем с сигурността при WireGuard е, че той все още не е одитиран и остава в тежко развитие. Има няколко VPN, които вече предлагат WireGuard на своите потребители за „тестване“, но предвид състоянието на проекта, WireGuard не трябва да се използва, когато поверителността и сигурността са важни.

производителност: WireGuard теоретично трябва да предлага отлична производителност по отношение на бързината, надеждността, а също и консумацията на батерия. Може да е идеалният протокол за мобилни потребители, защото ви позволява да превключвате между мрежови интерфейси, без да губите връзката. Повторното свързване също трябва да се случи много по-бързо, отколкото при OpenVPN и IPSec.

Пристанища: WireGuard използва UDP и може да бъде конфигуриран на всеки порт. За съжаление, няма поддръжка за TCP, което улеснява блокирането.

присъда: Не се препоръчва (все още), но ще следя развитието на проекта.

PPTP - остарял и не е защитен

PPTP означава протокол за тунелиране от точка до точка и е един от най-старите VPN протоколи, който все още се използва днес. Тя работи на TCP порт 1723 и първоначално е разработена от Microsoft.

PPTP по същество е остарял поради сериозни уязвимости в сигурността. Няма да отделим прекалено много време за обсъждане на PPTP, защото повечето хора дори не го използват вече.

PPTP се поддържа от всички версии на Windows и повечето операционни системи. Въпреки че е сравнително бърз, PPTP не е толкова надежден и не се възстановява толкова бързо от отпаднали връзки, колкото OpenVPN.

Като цяло PPTP не трябва да се използва във всяка ситуация, в която сигурността и поверителността са важни. Ако просто използвате VPN за деблокиране на съдържание, PPTP може да не е лош избор, но има по-сигурни опции, които си струва да обмислите.

присъда: Не се препоръчва

SSTP - VPN протокол за Windows, но не много често

Подобно на PPTP, SSTP не се използва широко в индустрията на VPN, но за разлика от PPTP, той няма основни известни проблеми със сигурността.

SSTP означава Защитен протокол за тунелиране на сокета и е продукт на Microsoft, който е достъпен само за Windows. Фактът, че това е продукт със затворен код от Microsoft, е очевиден недостатък, въпреки че SSTP също се счита за доста сигурен.

SSTP транспортира трафик през SSL (Secure Socket Layer) протокол през TCP порт 443. Това го прави полезен протокол за използване в ограничени мрежови ситуации, например ако имате нужда от VPN за Китай. Освен Windows има и поддръжка на други операционни системи, но тя не се използва широко.

Тъй като SSTP е затворен източник и остава изцяло под собствеността и поддръжката на Microsoft, може да искате да обмислите други опции. Разбира се, SSTP все още може да бъде най-добрият вариант, ако всички други протоколи се блокират във вашата мрежа.

По отношение на производителността SSTP се справя добре и е бърз, стабилен и сигурен. За съжаление много малко VPN доставчици поддържат SSTP. Дълги години ExpressVPN поддържаше SSTP в Windows клиента, но днес той вече не се поддържа.

присъда: SSTP може да бъде полезен, ако други VPN протоколи се блокират, но OpenVPN би бил по-добър избор (ако е наличен). Повечето VPN не предлагат никаква поддръжка за SSTP.

OpenVPN UDP срещу OpenVPN TCP

Тъй като OpenVPN е най-популярният VPN протокол, обикновено можете да избирате между две разновидности: OpenVPN UDP или OpenVPN TCP. И какво да изберем?

По-долу тествам NordVPN, което ми дава възможност да избера TCP или UDP протоколи.

openvpn udp vs openvpn tcp

Ето кратък преглед на двата протокола:

  • TCP (Протокол за контрол на предаването): TCP е по-надеждната опция от двете, но идва с някои недостатъци на производителността. С TCP пакетите се изпращат само след като последният пакет е потвърден, че е пристигнал, поради което забавя нещата. Ако потвърждението не бъде получено, пакет просто ще се повтори - това е известно като коригиране на грешки.
  • UDP (User Datagram Protocol): UDP е най-бързата от двете опции. Пакетите се изпращат без потвърждение, което подобрява скоростта, но също така може да не е толкова надеждно.

По подразбиране OpenVPN UDP би бил по-добрият избор, защото предлага превъзходна производителност спрямо OpenVPN TCP. Ако имате проблеми с връзката, преминете към TCP за по-голяма надеждност.

TCP често се използва за обмазване на VPN трафик, за да изглежда като обикновен HTTPS трафик. Това може да стане чрез използване на OpenVPN TCP на порт 443, като трафикът се пренасочва в TLS криптиране. Много доставчици на VPN предлагат различни форми на обфуксация, за да победят VPN блокове и повечето използват OpenVPN TCP.

Кой е най-добрият VPN протокол?

Както бе отбелязано в моя преглед на най-добрите VPN услуги, няма решение, подходящо за всеки човек. Това се отнася за избора на VPN услуга, както и за избор на VPN протокол. Най-добрият протокол за вашата ситуация ще зависи от няколко различни фактора:

  • Най- приспособление който използвате - различни устройства поддържат различни протоколи.
  • Вашият мрежа - ако сте в ограничена мрежова ситуация, като например в Китай или с училищни и работни мрежи, някои протоколи може да не преминат. Някои доставчици на VPN предлагат определени VPN протоколи за тези ситуации - вижте ръководството за VPN за Китай за повече дискусия по тази тема.
  • производителност - Някои протоколи предлагат големи предимства по отношение на производителността, особено на мобилни устройства, които влизат и излизат от свързаност.
  • Модел на заплаха - Някои протоколи са по-слаби и по-малко сигурни от други. Изберете най-добрия VPN протокол за вашите нужди за сигурност и поверителност, като имате предвид вашия модел на заплаха.

Като общо правило обаче, OpenVPN е спорно най-добрият VPN протокол. Той е много сигурен, надежден, широко използван в индустрията и предлага добра скорост и надеждност. Ако OpenVPN не е опция за вашата ситуация, просто помислете за алтернативите.

С по-голямата част от VPN услугите OpenVPN обикновено е протоколът по подразбиране, използван в техните приложения, въпреки че L2TP / IPSec и IKEv2 / IPSec са често срещани с мобилни VPN клиенти.

Заключение на VPN протоколи

Това ръководство за VPN протоколи е предназначено да служи като основен преглед на основните VPN протоколи, които се използват днес: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP и SSTP.

За повече подробна информация за всеки протокол можете да разгледате референции от съответните разработчици.

Това ръководство ще продължи да се актуализира, тъй като развитието продължава с тези различни VPN протоколи.

Последно актуализирано на 13 август 2019 г..

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me