openvpn vs ipsec vs wireguard ikev2


Čo sú to protokoly VPN a prečo potrebujete porozumieť rôznym možnostiam?

Väčšina poskytovateľov VPN, ktorí ponúkajú na výber rôzne protokoly VPN, je dobré poznať výhody a nevýhody týchto rôznych možností, takže si môžete vybrať najvhodnejšie riešenie pre vaše jedinečné potreby..

V tejto príručke budeme porovnávať dva najpopulárnejšie protokoly VPN - OpenVPN vs IPSec - ako aj L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP a SSTP. Účelom je poskytnúť stručný prehľad výhod a nevýhod každého protokolu VPN.

Poďme sa teda ponoriť.

Aké sú rôzne protokoly VPN?

Čo je to protokol VPN?

Protokol VPN je sada pokynov na vytvorenie zabezpečeného a šifrovaného spojenia medzi zariadením a serverom VPN na prenos údajov.

Väčšina komerčných poskytovateľov VPN ponúka množstvo rôznych protokolov VPN, ktoré môžete použiť v rámci klienta VPN. Napríklad na snímke obrazovky nižšie testujem ExpressVPN a mám možnosť zvoliť OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec a PPTP..

openvpn l2tp sstp pptpToto sú rôzne protokoly VPN v klientovi ExpressVPN.

Teraz sa bližšie pozrieme na rôzne protokoly VPN.

OpenVPN

OpenVPN je všestranný otvorený zdrojový protokol VPN vyvinutý spoločnosťou OpenVPN Technologies. Je to pravdepodobne najbezpečnejší a najpopulárnejší protokol VPN, ktorý sa dnes používa, a prešiel rôznymi bezpečnostnými auditmi tretích strán.

OpenVPN sa všeobecne považuje za priemyselný štandard, ak je správne implementovaný a používa na výmenu kľúčov SSL / TLS. Poskytuje úplnú dôvernosť, autentifikáciu a integritu a je tiež veľmi flexibilný v rôznych prípadoch použitia.

openvpn

Nastaviť: OpenVPN vyžaduje použitie špeciálneho klientskeho softvéru, než aby bol zabudovaný do rôznych operačných systémov. Väčšina služieb VPN poskytuje vlastné aplikácie OpenVPN, ktoré je možné používať na rôznych operačných systémoch a zariadeniach. Inštalácia je zvyčajne rýchla a jednoduchá. OpenVPN je možné používať na všetkých hlavných platformách prostredníctvom klientov tretích strán: Windows, Mac OS, Linux, Apple iOS, Android a rôzne smerovače (skontrolujte kompatibilitu firmvéru).

šifrovanie: OpenVPN používa na zabezpečenie šifrovania knižnicu OpenSSL a protokoly TLS. OpenSSL podporuje množstvo rôznych algoritmov a šifier, vrátane AES, Blowfish, Camellia a ChaCha20.

zabezpečenia: OpenVPN sa považuje za najbezpečnejší dostupný protokol VPN za predpokladu, že je správne implementovaný. Nemá žiadne známe hlavné zraniteľné miesta.

výkon: OpenVPN ponúka dobrý výkon, najmä ak beží cez UDP (User Datagram Protocol), skôr ako TCP (Transmission Control Protocol). OpenVPN je tiež stabilný a spoľahlivý bez ohľadu na to, či sa používa v bezdrôtových alebo mobilných sieťach. Ak máte problémy s pripojením, môžete použiť OpenVPN s TCP, ktorý potvrdí všetky odoslané pakety, ale bude pomalší.

porty: OpenVPN sa dá použiť na akomkoľvek porte pomocou UDP alebo TCP.

verdikt: Vysoko odporúčané.

IPSec - Internet Protocol Security

Čo je IPSec?

IPSec je sada bezpečných sieťových protokolov, ktorá overuje a šifruje dátové pakety odoslané prostredníctvom siete IP. Znamená bezpečnosť internetového protokolu (IPSec) a bol vyvinutý pracovnou skupinou pre internetové inžinierstvo. Na rozdiel od SSL, ktoré funguje na aplikačnej úrovni, IPSec pracuje na sieťovej úrovni a môže sa natívne použiť v mnohých operačných systémoch. Pretože väčšina operačných systémov natívne podporuje IPSec, môže sa používať bez aplikácií tretích strán (na rozdiel od OpenVPN)..

IPSec sa stal veľmi populárnym protokolom, ktorý sa používa s VPN, keď je spárovaný s L2TP alebo IKEv2, o ktorom sa budeme podrobnejšie venovať nižšie.

IPSec šifruje celý paket IP pomocou:

  • Authentication Header (AH), ktorý umiestňuje digitálny podpis na každý paket; a
  • Zapuzdrený bezpečnostný protokol (ESP), ktorý slúži na dôvernosť, integritu a autentizáciu prenášaného paketu.

Uniknutá prezentácia NSA - Diskusia o IPSec by nebola úplná bez odkazu na únikovú prezentáciu NSA, v ktorej sa diskutuje o NSA, ktoré ohrozujú protokoly IPSec (L2TP a IKE). V tejto datovanej prezentácii je ťažké dospieť ku konkrétnym záverom založeným na nejasných odkazoch. Ak však váš model hrozieb zahŕňa cielený dohľad zo sofistikovaných aktérov na štátnej úrovni, možno budete chcieť zvážiť bezpečnejší protokol, napríklad OpenVPN. Pozitívne je, že protokoly IPSec sa stále považujú za bezpečné, ak sú správne implementované.

Teraz preskúmame, ako sa IPSec používa s VPN, keď je spárovaný s L2TP a IKEv2.

IKEv2 / IPSec

Čo je IKEv2 / IPSec?

IKEv2 je tunelovací protokol, ktorý je štandardizovaný v RFC 7296 a znamená Internet Key Exchange version 2 (IKEv2). Bol vyvinutý ako spoločný projekt medzi spoločnosťami Cisco a Microsoft. Na použitie s VPN pre maximálnu bezpečnosť je IKEv2 spárovaný s IPSec.

Prvá verzia IKE (Internet Key Exchange) vyšla v roku 1998, pričom verzia 2 bola vydaná o sedem rokov neskôr v decembri 2005. V porovnaní s inými protokolmi VPN ponúka IKEv2 výhody z hľadiska rýchlosti, bezpečnosti, stability, využitia procesora a schopnosť obnoviť spojenie. Vďaka tomu je dobrou voľbou pre mobilných používateľov, najmä so zariadeniami iOS (Apple), ktoré natívne podporujú IKEv2.

Nastaviť: Inštalácia je vo všeobecnosti rýchla a jednoduchá a vyžaduje si importovanie konfiguračných súborov pre servery, ktoré chcete použiť, od poskytovateľa VPN. (Pozri príklad s Perfect Privacy.) IKEv2 je natívne podporovaný na Windows 7+, Mac OS 10.11+, Blackberry a iOS (iPhone a iPad) a niektorých zariadeniach s Androidom. Niektoré operačné systémy tiež podporujú funkciu „stále zapnuté“, ktorá vynúti všetok internetový prenos cez tunel VPN, čím sa zabezpečí, že nedôjde k úniku údajov..

šifrovanie: IKEv2 používa veľký výber kryptografických algoritmov vrátane AES, Blowfish, Camellia a 3DES..

zabezpečenia: Nevýhodou IKEv2 / IPSec je, že ide o uzavretý zdroj a vyvinuli ho spoločnosti Cisco a Microsoft (ale stále existujú verzie s otvoreným zdrojom). Pozitívne je, že IKEv2 je všeobecne považovaný za jeden z najrýchlejších a najbezpečnejších dostupných protokolov, čo ho robí obľúbenou voľbou u používateľov VPN..

výkon: V mnohých prípadoch je IKEv2 rýchlejšia ako OpenVPN, pretože je menej náročná na CPU. Rýchlosť však ovplyvňuje množstvo premenných, takže to nemusí platiť vo všetkých prípadoch použitia. Z hľadiska výkonu u mobilných používateľov môže byť IKEv2 najlepšou voľbou, pretože umožňuje dobré nadviazanie spojenia.

porty: IKEv2 používa nasledujúce porty: UDP 500 pre počiatočnú výmenu kľúčov a UDP 4500 pre prechod NAT.

verdikt: Odporúčané.

L2TP / IPSec

Protokol L2TP (Layer 2 Tunneling Protocol) spárovaný s protokolom IPSec je tiež populárnym protokolom VPN, ktorý prirodzene podporujú mnohé operačné systémy. L2TP / IPSec je štandardizovaný v RFC 3193 a poskytuje dôvernosť, autentifikáciu a integritu.

Nastaviť: Nastavenie L2TP / IPSec je vo všeobecnosti rýchle a ľahké. Je natívne podporovaný v mnohých operačných systémoch, vrátane Windows 2000 / XP +, Mac OS 10.3+, ako aj vo väčšine operačných systémov Android. Rovnako ako v prípade IKEv2 / IPSec je potrebné importovať konfiguračné súbory od poskytovateľa VPN.

šifrovanie: L2TP / IPSec zapuzdruje dáta dvakrát so šifrovaním prichádzajúcim cez štandardný protokol IPSec.

zabezpečenia: L2TP / IPSec sa všeobecne považuje za bezpečný a nemá žiadne známe problémy. Rovnako ako v prípade IKEv2 / IPSec, aj L2TP / IPSec bol vyvinutý spoločnosťou Cisco a Microsoft, čo vyvoláva otázky dôvery.

výkon: Čo sa týka výkonu, L2TP / IPSec sa môže skutočne líšiť. Na jednej strane sa v jadre vyskytuje šifrovanie / dešifrovanie a tiež podporuje viacvláknové procesy, čo by malo zvýšiť rýchlosť. Na druhej strane, pretože údaje sú dvojnásobne zapuzdrené, nemusí byť také rýchle ako iné možnosti.

porty: L2TP / IPSEC používa UDP 500 na počiatočnú výmenu kľúčov, ako aj UDP 1701 na počiatočnú konfiguráciu L2TP a UDP 4500 na prechod NAT. Z tohto dôvodu spoliehania sa na pevné protokoly a porty je ľahšie blokovať ako OpenVPN.

verdikt: L2TP / IPSec nie je zlá voľba, ale možno budete chcieť zvoliť IKEv2 / IPSec alebo OpenVPN, ak je k dispozícii.

WireGuard - nový a experimentálny protokol VPN

WireGuard je nový a experimentálny protokol VPN, ktorý sa snaží poskytovať lepší výkon a vyššiu bezpečnosť v porovnaní s existujúcimi protokolmi.

wireguard

Ako sme sa dozvedeli v hlavnej prírucke WireGuard VPN, protokol má niektoré zaujímavé výhody, pokiaľ ide o výkon, ale má aj niekoľko pozoruhodných nevýhod. Hlavné nevýhody sú:

  • WireGuard je stále v ťažkom vývoji a ešte nebol auditovaný.
  • Mnoho služieb VPN vyvolalo obavy týkajúce sa možnosti použitia protokolu WireGuard bez protokolov (nevýhody týkajúce sa ochrany osobných údajov).
  • Veľmi obmedzené prijatie v odvetví VPN (aspoň zatiaľ).
  • Žiadna podpora pre TCP.

Nastaviť: WireGuard nie je súčasťou žiadneho operačného systému. Pravdepodobne sa to zmení v čase, keď bude súčasťou jadra pre systémy Linux, Mac OS a pravdepodobne aj pre niektoré mobilné operačné systémy. WireGuard podporuje veľmi obmedzený počet sietí VPN - pokyny na nastavenie získate od poskytovateľa.

šifrovanie: WireGuard využíva Curve25519 na výmenu kľúčov, ChaCha20 a Poly1305 na autentifikáciu údajov a BLAKE2 na hashovanie.

zabezpečenia: Hlavným bezpečnostným problémom s programom WireGuard je to, že ešte nie je auditovaný a stále je vo vývoji. Existuje niekoľko sietí VPN, ktoré už svojim používateľom ponúkajú program WireGuard na účely „testovania“, ale vzhľadom na stav projektu by sa program WireGuard nemal používať, ak sú dôležité súkromie a bezpečnosť..

výkon: WireGuard by mal teoreticky ponúkať vynikajúci výkon, pokiaľ ide o rýchlosť, spoľahlivosť a tiež spotrebu batérie. Môže to byť ideálny protokol pre mobilných používateľov, pretože vám umožňuje prepínať medzi sieťovými rozhraniami bez straty pripojenia. K opätovnému pripojeniu by malo dôjsť oveľa rýchlejšie ako pri OpenVPN a IPSec.

porty: WireGuard používa UDP a môže byť nakonfigurovaný na ľubovoľnom porte. Bohužiaľ neexistuje podpora protokolu TCP, ktorá uľahčuje blokovanie.

verdikt: Nie (zatiaľ) sa neodporúča, ale budem sledovať vývoj projektu.

PPTP - Zastarané a nezabezpečené

PPTP je skratka pre Point-to-Point Tunneling Protocol a je jedným z najstarších VPN protokolov, ktoré sa v súčasnosti používajú. Beží na TCP porte 1723 a bol pôvodne vyvinutý spoločnosťou Microsoft.

PPTP je v súčasnosti zastarané kvôli závažným zraniteľnostiam v oblasti zabezpečenia. Nebudeme tráviť príliš veľa času diskutovaním o PPTP, pretože väčšina ľudí ho už ďalej nepoužíva.

PPTP je natívne podporovaný vo všetkých verziách Windows a vo väčšine operačných systémov. Aj keď je to relatívne rýchle, PPTP nie je tak spoľahlivé a neobnoví sa tak rýchlo z prerušených spojení ako OpenVPN.

Vo všeobecnosti by sa PPTP nemal používať v situácii, keď je dôležitá bezpečnosť a súkromie. Ak práve používate na odblokovanie obsahu VPN, PPTP nemusí byť zlá voľba, ale existuje viac bezpečných možností, ktoré by ste mali zvážiť.

verdikt: Neodporúčané

SSTP - protokol VPN pre Windows, ale nie príliš častý

Rovnako ako PPTP, SSTP sa v odvetví VPN často nepoužíva, ale na rozdiel od PPTP nemá žiadne známe známe bezpečnostné problémy..

SSTP znamená Protokol Secure Socket Tunneling Protocol a je produktom spoločnosti Microsoft, ktorý je k dispozícii iba pre Windows. Skutočnosť, že ide o produkt Microsoftu s uzavretým zdrojom, je zjavnou nevýhodou, hoci SSTP sa tiež považuje za pomerne bezpečný.

SSTP prevádza prenos prostredníctvom protokolu SSL (Secure Socket Layer) cez port TCP 443. Vďaka tomu je užitočný protokol, ktorý sa používa v obmedzených sieťových situáciách, napríklad ak potrebujete VPN pre Čínu. Okrem systému Windows existuje podpora aj pre iné operačné systémy, ale často sa nevyužíva.

Pretože SSTP je uzavretý zdroj a zostáva úplne vo vlastníctve a údržbe spoločnosti Microsoft, mali by ste zvážiť ďalšie možnosti. SSTP môže byť, samozrejme, stále najlepšou voľbou, ak sú všetky ostatné protokoly blokované vo vašej sieti.

Pokiaľ ide o výkon, SSTP sa darí a je rýchly, stabilný a bezpečný. Bohužiaľ, veľmi málo poskytovateľov VPN podporuje SSTP. Po mnoho rokov ExpressVPN podporoval SSTP v klientovi Windows, ale dnes už nie je podporovaný.

verdikt: SSTP môže byť užitočný, ak sa zablokujú iné protokoly VPN, ale OpenVPN by bola lepšou voľbou (ak je k dispozícii). Väčšina sietí VPN neposkytuje podporu pre SSTP.

OpenVPN UDP verzus OpenVPN TCP

Keď je OpenVPN najobľúbenejším protokolom VPN, môžete si vybrať medzi dvoma druhmi: OpenVPN UDP alebo OpenVPN TCP. Tak ktoré si vybrať?

Ďalej testujem NordVPN, čo mi dáva možnosť zvoliť si protokoly TCP alebo UDP.

openvpn udp vs openvpn tcp

Tu je stručný prehľad oboch protokolov:

  • TCP (Transmission Control Protocol): TCP je spoľahlivejšou možnosťou z týchto dvoch možností, prináša však určité nevýhody týkajúce sa výkonu. Pri TCP sa pakety odosielajú až potom, ako sa potvrdí, že dorazil posledný paket, a preto sa veci spomaľujú. Ak potvrdenie nebude prijaté, paket bude jednoducho znovu odoslaný - čo sa nazýva korekcia chýb.
  • UDP (User Datagram Protocol): UDP je najrýchlejšia z týchto dvoch možností. Pakety sa odosielajú bez potvrdenia, čo zvyšuje rýchlosť, ale nemusí byť také spoľahlivé.

V predvolenom nastavení by bola OpenVPN UDP lepšou voľbou, pretože ponúka vynikajúci výkon v porovnaní s OpenVPN TCP. Ak však máte problémy s pripojením, pre väčšiu spoľahlivosť prepnite na TCP.

TCP sa často používa na zahmlievanie prenosu VPN, aby vyzeralo ako bežný prenos HTTPS. Toto je možné dosiahnuť pomocou protokolu OpenVPN TCP na porte 443, pričom prevádzka je smerovaná v šifrovaní TLS. Mnoho poskytovateľov VPN ponúka rôzne formy zmätku, aby porazili bloky VPN, a väčšina využíva protokol OpenVPN TCP.

Aký je najlepší protokol VPN?

Ako je uvedené v mojom prehľade najlepších služieb VPN, pre každého človeka neexistuje univerzálne riešenie. Platí to pre výber služby VPN a tiež pre výber protokolu VPN. Najlepší protokol pre vašu situáciu bude závisieť od niekoľkých rôznych faktorov:

  • zariadenie ktoré používate - rôzne zariadenia podporujú rôzne protokoly.
  • tvoj sieť - ak sa nachádzate v obmedzenej sieťovej situácii, napríklad v Číne alebo v školských a pracovných sieťach, niektoré protokoly sa nemusia dať prekonať. Niektorí poskytovatelia VPN ponúkajú pre tieto situácie určené protokoly VPN - ďalšie informácie o tejto téme nájdete v príručke VPN for China.
  • výkon - Niektoré protokoly ponúkajú veľké výhody, pokiaľ ide o výkon, najmä na mobilných zariadeniach, ktoré prichádzajú a pripájajú sa.
  • Model hrozby - Niektoré protokoly sú slabšie a menej bezpečné ako iné. Vyberte najlepší protokol VPN pre vaše potreby zabezpečenia a súkromia vzhľadom na váš model hrozby.

Ako všeobecné pravidlo však platí, OpenVPN je pravdepodobne najlepší všestranný protokol VPN. Je veľmi bezpečný, dôveryhodný, v priemysle bežne používaný a ponúka dobrú rýchlosť a spoľahlivosť. Ak OpenVPN nie je pre vašu situáciu alternatívou, jednoducho zvážte alternatívy.

S väčšinou služieb VPN je OpenVPN zvyčajne predvolený protokol používaný v ich aplikáciách, hoci L2TP / IPSec a IKEv2 / IPSec sú spoločné s mobilnými klientmi VPN..

Uzatváranie protokolov VPN

Táto príručka k protokolom VPN slúži ako základný prehľad hlavných protokolov VPN, ktoré sa dnes používajú: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP a SSTP..

Podrobnejšie informácie o každom protokole nájdete v odkazoch od príslušných vývojárov.

Táto príručka sa bude naďalej aktualizovať, pretože bude pokračovať vývoj týchto rôznych protokolov VPN.

Posledná aktualizácia 13. augusta 2019.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me