openvpn vs ipsec vs wireguard ikev2


Co jsou to protokoly VPN a proč potřebujete porozumět různým možnostem?

U většiny poskytovatelů VPN nabízejících různé protokoly VPN je na výběr, je dobré znát výhody a nevýhody těchto různých možností, takže si můžete vybrat, který nejlépe vyhovuje vašim jedinečným potřebám.

V této příručce porovnáme dva nejoblíbenější protokoly VPN - OpenVPN vs IPSec - stejně jako L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP a SSTP. Účelem je poskytnout stručný přehled výhod a nevýhod každého protokolu VPN.

Pojďme se tedy ponořit.

Jaké jsou různé protokoly VPN?

Co je to protokol VPN?

Protokol VPN je sada pokynů k vytvoření bezpečného a šifrovaného spojení mezi vaším zařízením a serverem VPN pro přenos dat.

Většina komerčních poskytovatelů VPN nabízí řadu různých protokolů VPN, které můžete použít v rámci klienta VPN. Například na níže uvedeném snímku testuji ExpressVPN a mám možnost vybrat OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec a PPTP..

openvpn l2tp sstp pptpJedná se o různé protokoly VPN v klientovi ExpressVPN.

Nyní se podrobněji podíváme na různé protokoly VPN.

OpenVPN

OpenVPN je všestranný otevřený zdrojový protokol VPN vyvinutý společností OpenVPN Technologies. Je to pravděpodobně nejbezpečnější a nejpopulárnější protokol VPN, který se dnes používá, a prošel různými bezpečnostními audity třetích stran.

OpenVPN je obecně považován za průmyslový standard, pokud je správně implementován a používá SSL / TLS pro výměnu klíčů. Poskytuje úplnou důvěrnost, autentizaci a integritu a je také velmi flexibilní s různými případy použití.

openvpn

Založit: OpenVPN vyžaduje speciální klientský software, než aby byl zabudován do různých operačních systémů. Většina služeb VPN poskytuje vlastní aplikace OpenVPN, které lze použít na různých operačních systémech a zařízeních. Instalace je obvykle rychlá a jednoduchá. OpenVPN lze použít na všech hlavních platformách prostřednictvím klientů třetích stran: Windows, Mac OS, Linux, Apple iOS, Android a různé směrovače (zkontrolujte kompatibilitu firmwaru).

Šifrování: OpenVPN používá k zajištění šifrování knihovnu OpenSSL a protokoly TLS. OpenSSL podporuje řadu různých algoritmů a šifer, včetně AES, Blowfish, Camellia a ChaCha20.

Bezpečnostní: OpenVPN je považován za nejbezpečnější dostupný protokol VPN za předpokladu, že je správně implementován. Nemá žádné známé hlavní chyby.

Výkon: OpenVPN nabízí dobrý výkon, zejména pokud běží přes UDP (User Datagram Protocol), spíše než TCP (Transmission Control Protocol). OpenVPN je také stabilní a spolehlivý, ať už se používá v bezdrátových nebo celulárních sítích. Pokud máte problémy s připojením, můžete použít OpenVPN s TCP, který potvrdí všechny odeslané pakety, ale bude pomalejší.

Porty: OpenVPN lze použít na libovolném portu pomocí UDP nebo TCP.

Výrok: Vysoce doporučeno.

IPSec - Internet Protocol Security

Co je IPSec?

IPSec je sada zabezpečených síťových protokolů, která ověřuje a šifruje datové pakety odesílané prostřednictvím sítě IP. Zkratka znamená Internet Protocol Security (IPSec) a byla vyvinuta pracovní skupinou pro internetové inženýrství. Na rozdíl od SSL, které funguje na aplikační úrovni, IPSec pracuje na síťové úrovni a lze jej nativně použít s mnoha operačními systémy. Protože většina operačních systémů nativně podporuje IPSec, lze jej používat bez aplikací třetích stran (na rozdíl od OpenVPN).

IPSec se stal velmi populárním protokolem pro použití s ​​VPN, když je spárován s L2TP nebo IKEv2, o kterém se budeme dále bavit níže.

IPSec šifruje celý IP paket pomocí:

  • Authentication Header (AH), který umisťuje digitální podpis na každý paket; a
  • Encapsulating Security Protocol (ESP), který zachovává důvěrnost, integritu a autentizaci paketu při přenosu.

Uniklá prezentace NSA - Diskuse o IPSec by nebyla úplná bez odkazu na únikovou prezentaci NSA, která pojednává o NSA ohrožujících protokolech IPSec (L2TP a IKE). V této datované prezentaci je obtížné dospět ke konkrétním závěrům založeným na neurčitých odkazech. Pokud však váš model hrozby zahrnuje cílené sledování ze sofistikovaných aktérů na státní úrovni, možná budete chtít zvážit bezpečnější protokol, například OpenVPN. Pozitivní je, že IPSec protokoly jsou stále široce považovány za bezpečné, pokud jsou správně implementovány.

Nyní prozkoumáme, jak se IPSec používá s VPN, když je spárován s L2TP a IKEv2.

IKEv2 / IPSec

Co je IKEv2 / IPSec?

IKEv2 je tunelovací protokol, který je standardizován v RFC 7296 a znamená Internet Key Exchange verze 2 (IKEv2). Byl vyvinut jako společný projekt mezi společnostmi Cisco a Microsoft. Pro použití s ​​VPN pro maximální zabezpečení je IKEv2 spárován s IPSec.

První verze IKE (Internet Key Exchange) vyšla v roce 1998, přičemž verze 2 byla uvedena na trh o sedm let později v prosinci 2005. Ve srovnání s jinými protokoly VPN nabízí IKEv2 výhody z hlediska rychlosti, bezpečnosti, stability, využití procesoru a schopnost znovu navázat spojení. Díky tomu je dobrou volbou pro mobilní uživatele, zejména se zařízeními iOS (Apple), která nativně podporují IKEv2.

Založit: Instalace je obecně rychlá a snadná a vyžaduje, abyste importovali konfigurační soubory pro servery, které chcete použít od vašeho poskytovatele VPN. (Viz příklad s Perfect Privacy.) IKEv2 je nativně podporován na Windows 7+, Mac OS 10.11+, Blackberry a iOS (iPhone a iPad) a některých zařízeních Android. Některé operační systémy také podporují funkci „vždy zapnuto“, která vynucuje veškerý internetový provoz tunelem VPN, čímž zajišťuje, že nedochází k úniku dat..

Šifrování: IKEv2 používá velký výběr kryptografických algoritmů, včetně AES, Blowfish, Camellia a 3DES.

Bezpečnostní: Nevýhodou IKEv2 / IPSec je, že je uzavřeným zdrojem a byl vyvinut společností Cisco a Microsoft (ale verze s otevřeným zdrojovým kódem existují). Pozitivní je, že IKEv2 je široce považován za jeden z nejrychlejších a nejbezpečnějších dostupných protokolů, což z něj dělá oblíbenou volbu u uživatelů VPN.

Výkon: V mnoha případech je IKEv2 rychlejší než OpenVPN, protože je méně náročná na CPU. Existuje však řada proměnných, které ovlivňují rychlost, takže to nemusí platit ve všech případech použití. Z hlediska výkonu u mobilních uživatelů může být IKEv2 nejlepší volbou, protože se dobře navazuje opětovné připojení.

Porty: IKEv2 používá následující porty: UDP 500 pro počáteční výměnu klíčů a UDP 4500 pro procházení NAT.

Výrok: Doporučeno.

L2TP / IPSec

Protokol L2TP (Layer 2 Tunneling Protocol) spárovaný s IPSec je také populární protokol VPN, který je nativně podporován mnoha operačními systémy. L2TP / IPSec je standardizován v RFC 3193 a poskytuje důvěrnost, autentizaci a integritu.

Založit: Nastavení L2TP / IPSec je obecně rychlé a snadné. Je nativně podporován v mnoha operačních systémech, včetně Windows 2000 / XP +, Mac OS 10.3+ a většině operačních systémů Android. Stejně jako u IKEv2 / IPSec je třeba importovat konfigurační soubory od poskytovatele VPN.

Šifrování: L2TP / IPSec zapouzdřuje data dvakrát a šifrování přichází přes standardní protokol IPSec.

Bezpečnostní: L2TP / IPSec je obecně považován za bezpečný a nemá žádné známé známé problémy. Stejně jako u IKEv2 / IPSec byl L2TP / IPSec také vyvinut společností Cisco a Microsoft, což vyvolává otázky ohledně důvěry.

Výkon: Z hlediska výkonu se L2TP / IPSec může opravdu lišit. K šifrování / dešifrování na jedné straně dochází v jádru a podporuje také vícevláknové zpracování, což by mělo zlepšit rychlost. Ale na druhou stranu, protože to dvojnásobně zapouzdřuje data, nemusí být tak rychlé jako jiné možnosti.

Porty: L2TP / IPSEC používá UDP 500 pro počáteční výměnu klíčů a UDP 1701 pro počáteční konfiguraci L2TP a UDP 4500 pro NAT procházení. Kvůli této závislosti na pevných protokolech a portech je snazší blokovat než OpenVPN.

Výrok: L2TP / IPSec není špatná volba, ale možná budete chtít zvolit IKEv2 / IPSec nebo OpenVPN, pokud je k dispozici.

WireGuard - nový a experimentální protokol VPN

WireGuard je nový a experimentální protokol VPN, který se snaží poskytovat lepší výkon a větší zabezpečení oproti existujícím protokolům.

drátěný strážce

Jak jsme popsali v hlavní příručce VPN WireGuard, má protokol některé zajímavé výhody, pokud jde o výkon, ale přináší také několik pozoruhodných nevýhod. Hlavní nevýhody jsou následující:

  • WireGuard zůstává ve vývoji a dosud nebyl auditován.
  • Mnoho služeb VPN vyvolalo obavy týkající se schopnosti zařízení WireGuard používat bez protokolů (nevýhody ochrany osobních údajů).
  • Velmi omezené přijetí v odvětví VPN (alespoň prozatím).
  • Žádná podpora pro TCP.

Založit: WireGuard není součástí žádného operačního systému. To se pravděpodobně časem změní, bude-li součástí jádra pro Linux, Mac OS a možná u některých mobilních operačních systémů. WireGuard podporuje velmi omezený počet sítí VPN - pokyny k nastavení získáte u poskytovatele.

Šifrování: WireGuard využívá Curve25519 pro výměnu klíčů, ChaCha20 a Poly1305 pro autentizaci dat a BLAKE2 pro hašování.

Bezpečnostní: Hlavním bezpečnostním problémem s programem WireGuard je to, že ještě není auditován a zůstává ve vývoji. Existuje několik sítí VPN, které již uživatelům WireGuard nabízejí „testovací“ účely, ale vzhledem k stavu projektu by se WireGuard neměl používat, pokud je důležité soukromí a zabezpečení.

Výkon: WireGuard by měl teoreticky nabízet vynikající výkon, pokud jde o rychlost, spolehlivost a také spotřebu baterie. Může to být ideální protokol pro mobilní uživatele, protože umožňuje přepínání mezi síťovými rozhraními bez ztráty připojení. K opětovnému připojení se má také stát mnohem rychleji než s OpenVPN a IPSec.

Porty: WireGuard používá UDP a lze jej nakonfigurovat na libovolném portu. Bohužel neexistuje podpora pro TCP, což usnadňuje blokování.

Výrok: Ne (zatím) se nedoporučuje, ale budu sledovat vývoj projektu.

PPTP - Zastaralé a nezabezpečené

PPTP je zkratka pro Point-to-Point Tunneling Protocol a je jedním z nejstarších protokolů VPN, které se dosud používají. Funguje na portu TCP 1723 a byl původně vyvinut společností Microsoft.

PPTP je nyní v důsledku zastaralých bezpečnostních chyb v zásadě zastaralý. Nebudeme trávit příliš mnoho času diskutováním o PPTP, protože většina lidí je už nepoužívá.

PPTP je nativně podporován ve všech verzích Windows a většině operačních systémů. I když je to relativně rychlé, PPTP není tak spolehlivý a neobnovuje se tak rychle z přerušených připojení jako OpenVPN.

Obecně by PPTP neměl být používán v situaci, kdy je důležitá bezpečnost a soukromí. Pokud právě používáte VPN k odblokování obsahu, nemusí být PPTP špatnou volbou, ale existují více bezpečných možností, které stojí za zvážení.

Výrok: Nedoporučeno

SSTP - protokol VPN pro Windows, ale není příliš běžný

Stejně jako PPTP není SSTP v odvětví VPN široce používán, ale na rozdíl od PPTP nemá žádné známé známé bezpečnostní problémy.

SSTP znamená Protokol Secure Socket Tunneling Protocol a je produktem společnosti Microsoft, který je k dispozici pouze pro Windows. Skutečnost, že se jedná o produkt s uzavřeným zdrojem od společnosti Microsoft, je zřejmou nevýhodou, ačkoli SSTP je také považován za docela bezpečný.

SSTP přenáší přenos prostřednictvím protokolu SSL (Secure Socket Layer) přes port TCP 443. To z něj činí užitečný protokol pro použití v omezených síťových situacích, jako například v případě, že pro Čínu potřebujete VPN. K dispozici je také podpora pro jiné operační systémy, kromě Windows, ale není široce používán.

Protože SSTP je uzavřený zdroj a zůstává zcela ve vlastnictví a údržbě společnosti Microsoft, můžete zvážit další možnosti. Samozřejmě může být SSTP stále nejlepší volbou, pokud jsou všechny ostatní protokoly ve vaší síti blokovány.

Pokud jde o výkon, SSTP si vede dobře a je rychlý, stabilní a bezpečný. SSTP bohužel podporuje jen velmi málo poskytovatelů VPN. Po mnoho let ExpressVPN podporoval SSTP v klientovi Windows, ale dnes již není podporován.

Výrok: SSTP může být užitečný, pokud jsou jiné protokoly VPN blokovány, ale OpenVPN by byla lepší volbou (pokud je k dispozici). Většina VPN nenabízí žádnou podporu pro SSTP.

OpenVPN UDP vs OpenVPN TCP

S OpenVPN je nejoblíbenější protokol VPN, obvykle si můžete vybrat mezi dvěma odrůdami: OpenVPN UDP nebo OpenVPN TCP. Tak na co si vybrat?

Níže testuji NordVPN, což mi dává možnost vybrat protokoly TCP nebo UDP.

openvpn udp vs openvpn tcp

Zde je stručný přehled obou protokolů:

  • TCP (Transmission Control Protocol): TCP je spolehlivější možností obou, ale přichází s některými nevýhodami výkonu. U TCP jsou pakety odesílány až poté, co je potvrzeno, že dorazil poslední paket, a proto se věci zpomalují. Pokud potvrzení nebude přijato, paket bude jednoduše znovu odeslán - což se nazývá korekce chyb.
  • UDP (User Datagram Protocol): UDP je nejrychlejší ze dvou možností. Pakety jsou odesílány bez jakéhokoli potvrzení, což zvyšuje rychlost, ale také nemusí být tak spolehlivé.

Ve výchozím nastavení by byla OpenVPN UDP lepší volbou, protože nabízí lepší výkon než OpenVPN TCP. Pokud však máte problémy s připojením, přepněte na TCP pro větší spolehlivost.

TCP je často používán pro zmatení provozu VPN, aby vypadal jako běžný přenos HTTPS. To lze provést pomocí protokolu OpenVPN TCP na portu 443, přičemž provoz je směrován v šifrování TLS. Mnoho poskytovatelů VPN nabízí různé formy zmatení, aby porazilo bloky VPN, a většina využívá protokol OpenVPN TCP.

Jaký je nejlepší protokol VPN??

Jak je uvedeno v mém přehledu nejlepších služeb VPN, pro každého člověka neexistuje univerzální řešení. To platí pro výběr služby VPN a také pro výběr protokolu VPN. Nejlepší protokol pro vaši situaci bude záviset na několika různých faktorech:

  • přístroj používáte - různá zařízení podporují různé protokoly.
  • Vaše síť - Pokud se nacházíte v omezené síťové situaci, například v Číně nebo ve školních a pracovních sítích, některé protokoly nemusí projít. Někteří poskytovatelé VPN nabízejí pro tyto situace určené protokoly VPN - další informace o tomto tématu naleznete v příručce VPN pro Čínu.
  • Výkon - Některé protokoly nabízejí velké výhody, pokud jde o výkon, zejména na mobilních zařízeních, která přicházejí a odcházejí z připojení.
  • Model hrozby - Některé protokoly jsou slabší a méně bezpečné než jiné. Vyberte si nejlepší protokol VPN pro vaše potřeby zabezpečení a ochrany soukromí vzhledem k vašemu modelu hrozby.

Jako obecné pravidlo však platí, OpenVPN je pravděpodobně nejlepší všestranný protokol VPN. Je velmi bezpečný, důvěryhodný, široce používaný v oboru a nabízí dobrou rychlost a spolehlivost. Pokud OpenVPN není pro vaši situaci možnost, jednoduše zvažte alternativy.

U většiny služeb VPN je protokol OpenVPN obvykle výchozím protokolem používaným v jejich aplikacích, ačkoli L2TP / IPSec a IKEv2 / IPSec jsou společné s klienty mobilních VPN.

Uzavření protokolů VPN

Tato příručka protokolů VPN má sloužit jako základní přehled hlavních protokolů VPN, které se dnes používají: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP a SSTP..

Podrobnější informace o každém protokolu naleznete v odkazech od příslušných vývojářů.

Tato příručka bude nadále aktualizována, jak bude vývoj s těmito různými protokoly VPN pokračovat.

Aktualizováno 13. srpna 2019.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me