openvpn vs ipsec vs wireguard ikev2


Cosa sono i protocolli VPN e perché è necessario comprendere le diverse opzioni?

Con la maggior parte dei provider VPN che offrono una varietà di protocolli VPN tra cui scegliere, è bene conoscere i pro e i contro di queste diverse opzioni in modo da poter selezionare la soluzione migliore per le tue esigenze uniche.

In questa guida confronteremo i due protocolli VPN più popolari - OpenVPN vs IPSec - nonché L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP e SSTP. Questo ha lo scopo di fornire una breve panoramica dei pro e dei contro di ciascun protocollo VPN.

Quindi tuffiamoci.

Quali sono i diversi protocolli VPN?

Che cos'è un protocollo VPN?

Un protocollo VPN è un insieme di istruzioni per stabilire una connessione sicura e crittografata tra il dispositivo e un server VPN per la trasmissione dei dati.

La maggior parte dei provider VPN commerciali offre una varietà di protocolli VPN diversi che è possibile utilizzare all'interno del client VPN. Ad esempio, nello screenshot seguente, sto testando ExpressVPN e ho la possibilità di selezionare OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec e PPTP.

openvpn l2tp sstp pptpQuesti sono i diversi protocolli VPN nel client ExpressVPN.

Ora daremo un'occhiata più da vicino a vari protocolli VPN.

OpenVPN

OpenVPN è un protocollo VPN open source versatile sviluppato da OpenVPN Technologies. È probabilmente il protocollo VPN più sicuro e più popolare in uso oggi e ha superato vari audit di sicurezza di terze parti.

OpenVPN è generalmente considerato lo standard del settore quando è correttamente implementato e utilizza SSL / TLS per lo scambio di chiavi. Fornisce la massima riservatezza, autenticazione e integrità ed è anche molto flessibile con vari casi d'uso.

openvpn

Impostare: OpenVPN richiede l'utilizzo di un software client speciale, anziché essere integrato in diversi sistemi operativi. La maggior parte dei servizi VPN fornisce app OpenVPN personalizzate, che possono essere utilizzate su diversi sistemi operativi e dispositivi. L'installazione è in genere semplice e veloce. OpenVPN può essere utilizzato su tutte le principali piattaforme tramite client di terze parti: Windows, Mac OS, Linux, Apple iOS, Android e vari router (verificare la compatibilità del firmware).

crittografia: OpenVPN utilizza la libreria OpenSSL e i protocolli TLS per fornire la crittografia. OpenSSL supporta numerosi algoritmi e cifre diversi, tra cui AES, Blowfish, Camellia e ChaCha20.

Sicurezza: OpenVPN è considerato il protocollo VPN più sicuro disponibile, a condizione che sia implementato correttamente. Non ha vulnerabilità importanti conosciute.

Prestazione: OpenVPN offre buone prestazioni, soprattutto se eseguito su UDP (User Datagram Protocol), anziché su TCP (Transmission Control Protocol). OpenVPN è anche stabile e affidabile se utilizzato su reti wireless o cellulari. In caso di problemi di connessione, è possibile utilizzare OpenVPN con TCP, che confermerà tutti i pacchetti inviati, ma sarà più lento.

Ports: OpenVPN può essere utilizzato su qualsiasi porta utilizzando UDP o TCP.

Verdetto: Altamente raccomandato.

IPSec - Internet Protocol Security

Cos'è IPSec?

IPSec è una suite di protocolli di rete sicura che autentica e crittografa i pacchetti di dati inviati su una rete IP. È l'acronimo di Internet Protocol Security (IPSec) ed è stato sviluppato da Internet Engineering Task Force. A differenza di SSL, che funziona a livello di applicazione, IPSec opera a livello di rete e può essere utilizzato in modo nativo con molti sistemi operativi. Poiché la maggior parte dei sistemi operativi supporta IPSec in modo nativo, può essere utilizzato senza app di terze parti (a differenza di OpenVPN).

IPSec è diventato un protocollo molto popolare da utilizzare con le VPN quando associato a L2TP o IKEv2, di cui parleremo più avanti.

IPSec crittografa l'intero pacchetto IP usando:

  • Authentication Header (AH), che posiziona una firma digitale su ciascun pacchetto; e
  • Encapsulating Security Protocol (ESP), quale riservatezza, integrità e autenticazione del pacchetto in trasmissione.

Presentazione dell'NSA trapelata - Una discussione su IPSec non sarebbe completa senza fare riferimento a una presentazione della NSA trapelata che discute i protocolli IPSec che compromettono la NSA (L2TP e IKE). È difficile giungere a conclusioni concrete basate su vaghi riferimenti in questa presentazione datata. Tuttavia, se il tuo modello di minaccia include la sorveglianza mirata da sofisticati attori a livello statale, potresti prendere in considerazione un protocollo più sicuro, come OpenVPN. Sul versante positivo, i protocolli IPSec sono ancora ampiamente considerati sicuri se implementati correttamente.

Ora esamineremo come IPSec viene utilizzato con le VPN quando associato a L2TP e IKEv2.

IKEv2 / IPSec

Che cos'è IKEv2 / IPSec?

IKEv2 è un protocollo di tunneling standardizzato in RFC 7296 e sta per Internet Key Exchange versione 2 (IKEv2). È stato sviluppato come progetto congiunto tra Cisco e Microsoft. Per essere utilizzato con VPN per la massima sicurezza, IKEv2 è associato a IPSec.

La prima versione di IKE (Internet Key Exchange) è uscita nel 1998, con la versione 2 rilasciata sette anni dopo nel dicembre 2005. Rispetto ad altri protocolli VPN, IKEv2 offre vantaggi in termini di velocità, sicurezza, stabilità, utilizzo della CPU e la capacità di ristabilire una connessione. Questo lo rende una buona scelta per gli utenti mobili, in particolare con dispositivi iOS (Apple) che supportano nativamente IKEv2.

Impostare: L'installazione è generalmente semplice e veloce e richiede l'importazione dei file di configurazione per i server che si desidera utilizzare dal proprio provider VPN. (Vedi esempio con Perfect Privacy.) IKEv2 è nativamente supportato su Windows 7+, Mac OS 10.11+, Blackberry e iOS (iPhone e iPad) e alcuni dispositivi Android. Alcuni sistemi operativi supportano anche una funzione "sempre attiva", che forza tutto il traffico Internet attraverso il tunnel VPN, garantendo quindi la perdita di dati.

crittografia: IKEv2 utilizza una vasta selezione di algoritmi crittografici, tra cui AES, Blowfish, Camellia e 3DES.

Sicurezza: Uno svantaggio di IKEv2 / IPSec è che è chiuso e sviluppato da Cisco e Microsoft (ma esistono versioni open source). Una nota positiva, IKEv2 è ampiamente considerato tra i protocolli più veloci e sicuri disponibili, rendendolo una scelta popolare tra gli utenti VPN.

Prestazione: In molti casi IKEv2 è più veloce di OpenVPN poiché richiede meno CPU. Esistono, tuttavia, numerose variabili che influiscono sulla velocità, quindi questo potrebbe non essere applicabile in tutti i casi d'uso. Dal punto di vista delle prestazioni con gli utenti di dispositivi mobili, IKEv2 può essere l'opzione migliore perché consente di stabilire una riconnessione.

Ports: IKEv2 utilizza le seguenti porte: UDP 500 per lo scambio di chiavi iniziale e UDP 4500 per l'attraversamento NAT.

Verdetto: Consigliato.

L2TP / IPSec

Il protocollo L2TP (Layer 2 Tunneling Protocol) associato a IPSec è anche un protocollo VPN popolare supportato nativamente da molti sistemi operativi. L2TP / IPSec è standardizzato in RFC 3193 e offre riservatezza, autenticazione e integrità.

Impostare: L'impostazione di L2TP / IPSec è generalmente semplice e veloce. È supportato in modo nativo su molti sistemi operativi, inclusi Windows 2000 / XP +, Mac OS 10.3+ e la maggior parte dei sistemi operativi Android. Proprio come con IKEv2 / IPSec, devi semplicemente importare i file di configurazione dal tuo provider VPN.

crittografia: L2TP / IPSec incapsula i dati due volte con la crittografia proveniente dal protocollo IPSec standard.

Sicurezza: L2TP / IPSec è generalmente considerato sicuro e non presenta problemi importanti. Proprio come con IKEv2 / IPSec, tuttavia, L2TP / IPSec è stato sviluppato anche da Cisco e Microsoft, il che solleva dubbi sulla fiducia.

Prestazione: In termini di prestazioni L2TP / IPSec può davvero variare. La crittografia / decodifica da una parte avviene nel kernel e supporta anche il multi-threading, che dovrebbe migliorare la velocità. D'altra parte, poiché incapsula i dati in due modi, potrebbe non essere veloce come altre opzioni.

Ports: L2TP / IPSEC utilizza UDP 500 per lo scambio di chiavi iniziale e UDP 1701 per la configurazione iniziale di L2TP e UDP 4500 per l'attraversamento NAT. A causa di questa dipendenza da protocolli e porte fissi, è più facile da bloccare di OpenVPN.

Verdetto: L2TP / IPSec non è una cattiva scelta, ma potresti voler optare per IKEv2 / IPSec o OpenVPN se disponibile.

WireGuard - Un protocollo VPN nuovo e sperimentale

WireGuard è un protocollo VPN nuovo e sperimentale che cerca di fornire prestazioni migliori e maggiore sicurezza rispetto ai protocolli esistenti.

Gabbia di protezione

Come spiegato nella guida principale di WireGuard VPN, il protocollo presenta alcuni vantaggi interessanti in termini di prestazioni, ma presenta anche alcuni svantaggi notevoli. Gli svantaggi principali sono i seguenti:

  • WireGuard rimane in forte sviluppo e non è stato ancora verificato.
  • Molti servizi VPN hanno sollevato preoccupazioni sulla capacità di WireGuard di essere utilizzato senza registri (svantaggi della privacy).
  • Adozione molto limitata da parte del settore VPN (almeno per ora).
  • Nessun supporto per TCP.

Impostare: WireGuard non è incluso in nessun sistema operativo. Questo probabilmente cambierà nel tempo quando è incluso nel kernel per Linux, Mac OS e forse con alcuni sistemi operativi mobili. Un numero molto limitato di VPN supporta WireGuard: consultare il provider per istruzioni sulla configurazione.

crittografia: WireGuard utilizza Curve25519 per lo scambio di chiavi, ChaCha20 e Poly1305 per l'autenticazione dei dati e BLAKE2 per l'hashing.

Sicurezza: Il principale problema di sicurezza con WireGuard è che non è stato ancora verificato e rimane in fase di sviluppo. Esistono già alcune VPN che offrono WireGuard ai loro utenti per scopi di "test", ma dato lo stato del progetto, WireGuard non dovrebbe essere usato quando la privacy e la sicurezza sono importanti.

Prestazione: WireGuard dovrebbe teoricamente offrire prestazioni eccellenti in termini di velocità, affidabilità e consumo della batteria. Potrebbe essere il protocollo ideale per gli utenti mobili perché consente di passare da un'interfaccia di rete all'altra senza perdere la connessione. La riconnessione dovrebbe avvenire anche molto più velocemente rispetto a OpenVPN e IPSec.

Ports: WireGuard utilizza UDP e può essere configurato su qualsiasi porta. Sfortunatamente, non c'è supporto per TCP, il che rende più facile il blocco.

Verdetto: Non (ancora) raccomandato, ma terrò d'occhio lo sviluppo del progetto.

PPTP: obsoleto e non sicuro

PPTP è l'acronimo di Point-to-Point Tunneling Protocol ed è uno dei più vecchi protocolli VPN ancora in uso oggi. Funziona sulla porta TCP 1723 ed è stato inizialmente sviluppato da Microsoft.

PPTP è ora essenzialmente obsoleto a causa di gravi vulnerabilità della sicurezza. Non passeremo troppo tempo a discutere di PPTP perché la maggior parte delle persone non lo utilizza nemmeno più.

PPTP è supportato in modo nativo su tutte le versioni di Windows e sulla maggior parte dei sistemi operativi. Sebbene sia relativamente veloce, PPTP non è così affidabile e non si ripristina rapidamente da una connessione interrotta come OpenVPN.

Nel complesso, PPTP non dovrebbe essere utilizzato in nessuna situazione in cui sicurezza e privacy sono importanti. Se stai solo usando una VPN per sbloccare il contenuto, PPTP potrebbe non essere una cattiva scelta, ma ci sono opzioni più sicure che vale la pena considerare.

Verdetto: Non consigliato

SSTP - Un protocollo VPN per Windows, ma non molto comune

Come PPTP, SSTP non è ampiamente utilizzato nel settore VPN, ma a differenza di PPTP, non presenta importanti problemi di sicurezza noti.

SSTP sta per Protocollo di tunneling socket sicuro ed è un prodotto Microsoft disponibile solo per Windows. Il fatto che si tratti di un prodotto di origine chiusa di Microsoft è un evidente svantaggio, sebbene SSTP sia anche considerato abbastanza sicuro.

SSTP trasporta il traffico attraverso il protocollo SSL (Secure Socket Layer) sulla porta TCP 443. Ciò lo rende un protocollo utile da utilizzare in situazioni di rete ristrette, come se fosse necessaria una VPN per la Cina. Esiste anche il supporto per altri sistemi operativi, oltre a Windows, ma non è ampiamente utilizzato.

Poiché SSTP è di origine chiusa e rimane interamente di proprietà e manutenzione di Microsoft, ti consigliamo di prendere in considerazione altre opzioni. Naturalmente, SSTP potrebbe essere comunque l'opzione migliore se tutti gli altri protocolli vengono bloccati sulla rete.

In termini di prestazioni, SSTP fa bene ed è veloce, stabile e sicuro. Sfortunatamente, pochissimi provider VPN supportano SSTP. Per molti anni ExpressVPN ha supportato SSTP nel client Windows, ma non è più supportato oggi.

Verdetto: SSTP può essere utile se altri protocolli VPN vengono bloccati, ma OpenVPN sarebbe una scelta migliore (se disponibile). La maggior parte delle VPN non offre alcun supporto per SSTP.

OpenVPN UDP vs OpenVPN TCP

Con OpenVPN come protocollo VPN più popolare, in genere è possibile selezionare tra due varietà: OpenVPN UDP o OpenVPN TCP. Quindi quale scegliere?

Di seguito sto testando NordVPN, che mi dà la possibilità di selezionare i protocolli TCP o UDP.

openvpn udp vs openvpn tcp

Ecco una breve panoramica di entrambi i protocolli:

  • TCP (Transmission Control Protocol): TCP è l'opzione più affidabile delle due, ma presenta alcuni svantaggi delle prestazioni. Con TCP, i pacchetti vengono inviati solo dopo la conferma dell'arrivo dell'ultimo pacchetto, rallentando quindi le cose. Se la conferma non viene ricevuta, un pacchetto verrà semplicemente reinviato - ciò che è noto come correzione dell'errore.
  • UDP (User Datagram Protocol): UDP è la più veloce delle due opzioni. I pacchetti vengono inviati senza alcuna conferma, il che migliora la velocità ma potrebbe anche non essere affidabile.

Per impostazione predefinita, OpenVPN UDP sarebbe la scelta migliore perché offre prestazioni superiori su OpenVPN TCP. In caso di problemi di connessione, tuttavia, passare a TCP per maggiore affidabilità.

Il TCP viene spesso utilizzato per offuscare il traffico VPN in modo da sembrare un normale traffico HTTPS. Questo può essere fatto usando OpenVPN TCP sulla porta 443, con il traffico instradato nella crittografia TLS. Molti provider VPN offrono varie forme di offuscamento per sconfiggere i blocchi VPN e la maggior parte utilizza OpenVPN TCP.

Qual è il miglior protocollo VPN?

Come notato nella mia panoramica dei migliori servizi VPN, non esiste una soluzione unica per ogni persona. Questo vale per la scelta di un servizio VPN e anche per la selezione di un protocollo VPN. Il miglior protocollo per la tua situazione dipenderà da alcuni fattori diversi:

  • Il dispositivo stai utilizzando: dispositivi diversi supportano protocolli diversi.
  • Il tuo Rete - se ci si trova in una situazione di rete limitata, come in Cina o con reti scolastiche e di lavoro, alcuni protocolli potrebbero non riuscire. Alcuni provider VPN offrono protocolli VPN designati per queste situazioni: consultare la guida VPN per la Cina per ulteriori discussioni su questo argomento.
  • Prestazione - Alcuni protocolli offrono grandi vantaggi in termini di prestazioni, in particolare sui dispositivi mobili che entrano e escono dalla connettività.
  • Modello di minaccia - Alcuni protocolli sono più deboli e meno sicuri di altri. Scegli il miglior protocollo VPN per le tue esigenze di sicurezza e privacy, dato il tuo modello di minaccia.

Come regola generale, tuttavia, OpenVPN è probabilmente il miglior protocollo VPN completo. È molto sicuro, affidabile, ampiamente utilizzato nel settore e offre una buona velocità e affidabilità. Se OpenVPN non è un'opzione per la tua situazione, prendi semplicemente in considerazione le alternative.

Con la maggior parte dei servizi VPN, OpenVPN è generalmente il protocollo predefinito utilizzato nelle loro app, sebbene L2TP / IPSec e IKEv2 / IPSec siano comuni ai client VPN mobili.

Conclusione dei protocolli VPN

Questa guida ai protocolli VPN è destinata a fungere da panoramica di base dei principali protocolli VPN attualmente in uso: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP e SSTP.

Per informazioni più approfondite su ciascun protocollo, è possibile esaminare i riferimenti dai rispettivi sviluppatori.

Questa guida continuerà ad essere aggiornata man mano che lo sviluppo continua con questi diversi protocolli VPN.

Aggiornato il 13 agosto 2019.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me