openvpn vs ipsec vs wireguard ikev2


¿Qué son los protocolos VPN y por qué necesita comprender las diferentes opciones??

Con la mayoría de los proveedores de VPN que ofrecen una variedad de protocolos VPN para elegir, es bueno conocer los pros y los contras de estas diferentes opciones para que pueda seleccionar el que mejor se adapte a sus necesidades únicas..

En esta guía compararemos los dos protocolos VPN más populares: OpenVPN vs IPSec, así como L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP y SSTP. Esto está destinado a brindarle una breve descripción de los pros y los contras de cada protocolo VPN.

Así que vamos a sumergirnos.

¿Cuáles son los diferentes protocolos VPN??

¿Qué es un protocolo VPN??

Un protocolo VPN es un conjunto de instrucciones para establecer una conexión segura y encriptada entre su dispositivo y un servidor VPN para la transmisión de datos..

La mayoría de los proveedores comerciales de VPN ofrecen una variedad de diferentes protocolos VPN que puede usar dentro del cliente VPN. Por ejemplo, en la captura de pantalla siguiente, estoy probando ExpressVPN y tengo la opción de seleccionar OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec y PPTP.

openvpn l2tp sstp pptpEstos son los diferentes protocolos VPN en el cliente ExpressVPN.

Ahora veremos más de cerca varios protocolos VPN.

OpenVPN

OpenVPN es un protocolo VPN versátil de código abierto desarrollado por OpenVPN Technologies. Podría decirse que es el protocolo VPN más seguro y más popular en uso hoy en día y ha superado varias auditorías de seguridad de terceros..

OpenVPN generalmente se considera el estándar de la industria cuando se implementa correctamente y utiliza SSL / TLS para el intercambio de claves. Proporciona total confidencialidad, autenticación e integridad y también es muy flexible con varios casos de uso..

openvpn

Preparar: OpenVPN requiere un software de cliente especial para usar, en lugar de estar integrado en diferentes sistemas operativos. La mayoría de los servicios VPN proporcionan aplicaciones OpenVPN personalizadas, que se pueden usar en diferentes sistemas operativos y dispositivos. La instalación suele ser rápida y sencilla. OpenVPN se puede usar en todas las plataformas principales a través de clientes de terceros: Windows, Mac OS, Linux, Apple iOS, Android y varios enrutadores (verifique la compatibilidad del firmware).

Cifrado: OpenVPN utiliza la biblioteca OpenSSL y los protocolos TLS para proporcionar cifrado. OpenSSL admite varios algoritmos y cifrados diferentes, incluidos AES, Blowfish, Camellia y ChaCha20.

Seguridad: OpenVPN se considera el protocolo VPN más seguro disponible, siempre que se implemente correctamente. No tiene ninguna vulnerabilidad importante conocida.

Actuación: OpenVPN ofrece un buen rendimiento, especialmente si se ejecuta sobre UDP (Protocolo de datagramas de usuario), en lugar de TCP (Protocolo de control de transmisión). OpenVPN también es estable y confiable, ya sea que se use en redes inalámbricas o celulares. Si tiene problemas de conexión, puede usar OpenVPN con TCP, que confirmará todos los paquetes enviados, pero será más lento.

Puertos: OpenVPN se puede usar en cualquier puerto que use UDP o TCP.

Veredicto: Muy recomendable.

IPSec - Seguridad del protocolo de Internet

¿Qué es IPSec??

IPSec es un conjunto de protocolos de red seguros que autentica y encripta los paquetes de datos enviados a través de una red IP. Significa Internet Protocol Security (IPSec) y fue desarrollado por Internet Engineering Task Force. A diferencia de SSL, que funciona en el nivel de la aplicación, IPSec funciona en el nivel de la red y se puede usar de forma nativa con muchos sistemas operativos. Como la mayoría de los sistemas operativos son compatibles con IPSec de forma nativa, se puede usar sin aplicaciones de terceros (a diferencia de OpenVPN).

IPSec se ha convertido en un protocolo muy popular para usar con VPN cuando se combina con L2TP o IKEv2, que discutiremos más abajo..

IPSec cifra todo el paquete IP usando:

  • Encabezado de autenticación (AH), que coloca una firma digital en cada paquete; y
  • Protocolo de seguridad encapsulante (ESP), que confidencialidad, integridad y autenticación del paquete en transmisión.

Presentación filtrada de la NSA - Una discusión sobre IPSec no estaría completa sin hacer referencia a una presentación de NSA filtrada que discute los protocolos de IPSec comprometedores de NSA (L2TP e IKE). Es difícil llegar a conclusiones concretas basadas en referencias vagas en esta presentación fechada. No obstante, si su modelo de amenaza incluye vigilancia dirigida por actores sofisticados a nivel estatal, es posible que desee considerar un protocolo más seguro, como OpenVPN. En una nota positiva, los protocolos IPSec todavía se consideran ampliamente seguros si se implementan correctamente.

Ahora examinaremos cómo se usa IPSec con VPN cuando se combina con L2TP e IKEv2.

IKEv2 / IPSec

¿Qué es IKEv2 / IPSec??

IKEv2 es un protocolo de túnel que está estandarizado en RFC 7296 y significa Internet Key Exchange versión 2 (IKEv2). Fue desarrollado como un proyecto conjunto entre Cisco y Microsoft. Para ser utilizado con VPN para la máxima seguridad, IKEv2 se combina con IPSec.

La primera versión de IKE (Internet Key Exchange) salió en 1998, y la versión 2 se lanzó siete años después, en diciembre de 2005. En comparación con otros protocolos VPN, IKEv2 ofrece ventajas en términos de velocidad, seguridad, estabilidad, uso de CPU y la capacidad de restablecer una conexión Esto lo convierte en una buena opción para usuarios móviles, particularmente con dispositivos iOS (Apple) que soportan de forma nativa IKEv2.

Preparar: La configuración es generalmente rápida y fácil, lo que requiere que importe los archivos de configuración para los servidores que desea utilizar desde su proveedor de VPN. (Ver ejemplo con Perfect Privacy.) IKEv2 es compatible de forma nativa con Windows 7+, Mac OS 10.11+, Blackberry e iOS (iPhone y iPad), y algunos dispositivos Android. Algunos sistemas operativos también admiten una función "siempre activa", que fuerza todo el tráfico de Internet a través del túnel VPN, asegurando así que no haya fugas de datos..

Cifrado: IKEv2 utiliza una gran selección de algoritmos criptográficos, incluidos AES, Blowfish, Camellia y 3DES.

Seguridad: Un inconveniente de IKEv2 / IPSec es que es de código cerrado y fue desarrollado por Cisco y Microsoft (pero existen versiones de código abierto). En una nota positiva, IKEv2 es ampliamente considerado como uno de los protocolos más rápidos y seguros disponibles, por lo que es una opción popular entre los usuarios de VPN..

Actuación: En muchos casos, IKEv2 es más rápido que OpenVPN ya que consume menos CPU. Sin embargo, existen numerosas variables que afectan la velocidad, por lo que esto puede no aplicarse en todos los casos de uso. Desde el punto de vista del rendimiento con usuarios móviles, IKEv2 puede ser la mejor opción porque establece bien una reconexión.

Puertos: IKEv2 utiliza los siguientes puertos: UDP 500 para el intercambio de claves inicial y UDP 4500 para el recorrido NAT.

Veredicto: Recomendado.

L2TP / IPSec

El Protocolo de túnel de capa 2 (L2TP) emparejado con IPSec también es un protocolo VPN popular que es compatible de forma nativa con muchos sistemas operativos. L2TP / IPSec está estandarizado en RFC 3193 y proporciona confidencialidad, autenticación e integridad.

Preparar: Configurar L2TP / IPSec es generalmente rápido y fácil. Se admite de forma nativa en muchos sistemas operativos, incluidos Windows 2000 / XP +, Mac OS 10.3+, así como en la mayoría de los sistemas operativos Android. Al igual que con IKEv2 / IPSec, simplemente necesita importar los archivos de configuración de su proveedor de VPN.

Cifrado: L2TP / IPSec encapsula datos dos veces con encriptación proveniente del protocolo estándar IPSec.

Seguridad: L2TP / IPSec generalmente se considera seguro y no tiene problemas conocidos importantes. Sin embargo, al igual que con IKEv2 / IPSec, L2TP / IPSec también fue desarrollado por Cisco y Microsoft, lo que plantea preguntas sobre la confianza.

Actuación: En términos de rendimiento, L2TP / IPSec realmente puede variar. Por un lado, el cifrado / descifrado se produce en el núcleo y también admite subprocesos múltiples, lo que debería mejorar las velocidades. Pero, por otro lado, debido a que encapsula datos doblemente, puede que no sea tan rápido como otras opciones.

Puertos: L2TP / IPSEC utiliza UDP 500 para el intercambio de claves inicial, así como UDP 1701 para la configuración inicial de L2TP y UDP 4500 para el recorrido NAT. Debido a esta dependencia de protocolos y puertos fijos, es más fácil de bloquear que OpenVPN.

Veredicto: L2TP / IPSec no es una mala elección, pero es posible que desee optar por IKEv2 / IPSec o OpenVPN si está disponible.

WireGuard: un protocolo VPN nuevo y experimental

WireGuard es un protocolo VPN nuevo y experimental que busca proporcionar un mejor rendimiento y más seguridad sobre los protocolos existentes.

protector de cable

Como cubrimos en la guía principal de WireGuard VPN, el protocolo tiene algunos beneficios interesantes en términos de rendimiento, pero también viene con algunos inconvenientes notables. Los principales inconvenientes son los siguientes:

  • WireGuard sigue bajo un fuerte desarrollo y aún no ha sido auditado.
  • Muchos servicios de VPN han expresado su preocupación por la capacidad de WireGuard de usarse sin registros (inconvenientes de privacidad).
  • Adopción muy limitada por la industria VPN (al menos por ahora).
  • No hay soporte para TCP.

Preparar: WireGuard no está incluido en ningún sistema operativo. Es probable que esto cambie con el tiempo cuando se incluya en el kernel para Linux, Mac OS y quizás con algunos sistemas operativos móviles. Un número muy limitado de VPN admite WireGuard: consulte con el proveedor para obtener instrucciones de configuración.

Cifrado: WireGuard utiliza Curve25519 para el intercambio de claves, ChaCha20 y Poly1305 para la autenticación de datos y BLAKE2s para el hash.

Seguridad: El principal problema de seguridad con WireGuard es que aún no se ha auditado y sigue en desarrollo. Hay un puñado de VPN que ya ofrecen WireGuard a sus usuarios con fines de "prueba", pero dado el estado del proyecto, WireGuard no debe usarse cuando la privacidad y la seguridad son importantes.

Actuación: WireGuard teóricamente debería ofrecer un excelente rendimiento en términos de velocidad, confiabilidad y también consumo de batería. Puede ser el protocolo ideal para usuarios móviles porque le permite cambiar entre interfaces de red sin perder la conexión. También se supone que la reconexión debe ocurrir mucho más rápido que con OpenVPN e IPSec.

Puertos: WireGuard usa UDP y se puede configurar en cualquier puerto. Desafortunadamente, no hay soporte para TCP, lo que hace que sea más fácil bloquear.

Veredicto: (No) recomendado (todavía), pero vigilaré el desarrollo del proyecto.

PPTP: desactualizado y no seguro

PPTP significa Protocolo de túnel punto a punto y es uno de los protocolos VPN más antiguos que todavía se usan en la actualidad. Se ejecuta en el puerto TCP 1723 y fue desarrollado inicialmente por Microsoft.

PPTP ahora es esencialmente obsoleto debido a serias vulnerabilidades de seguridad. No pasaremos demasiado tiempo discutiendo PPTP porque la mayoría de las personas ya ni siquiera lo usan..

PPTP es compatible de forma nativa en todas las versiones de Windows y la mayoría de los sistemas operativos. Si bien es relativamente rápido, PPTP no es tan confiable y no se recupera tan rápidamente de una conexión caída como OpenVPN.

En general, PPTP no debe usarse en ninguna situación en la que la seguridad y la privacidad sean importantes. Si solo está utilizando una VPN para desbloquear contenido, PPTP puede no ser una mala elección, pero hay opciones más seguras que vale la pena considerar.

Veredicto: No recomendado

SSTP: un protocolo VPN para Windows, pero no muy común

Al igual que PPTP, SSTP no se usa ampliamente en la industria VPN, pero a diferencia de PPTP, no tiene problemas de seguridad conocidos importantes..

SSTP significa Protocolo de túnel de sockets seguros y es un producto de Microsoft que está disponible solo para Windows. El hecho de que sea un producto de código cerrado de Microsoft es un inconveniente obvio, aunque SSTP también se considera bastante seguro..

SSTP transporta el tráfico a través del protocolo SSL (Secure Socket Layer) a través del puerto TCP 443. Esto lo convierte en un protocolo útil para usar en situaciones de red restringidas, como si necesita una VPN para China. También hay soporte para otros sistemas operativos, aparte de Windows, pero no se usa ampliamente.

Debido a que SSTP es de código cerrado y permanece completamente bajo la propiedad y el mantenimiento de Microsoft, es posible que desee considerar otras opciones. Por supuesto, SSTP puede ser la mejor opción si todos los demás protocolos se bloquean en su red.

En términos de rendimiento, SSTP funciona bien y es rápido, estable y seguro. Desafortunadamente, muy pocos proveedores de VPN admiten SSTP. Durante muchos años, ExpressVPN admitió SSTP en el cliente de Windows, pero hoy ya no es compatible..

Veredicto: SSTP puede ser útil si se bloquean otros protocolos VPN, pero OpenVPN sería una mejor opción (si está disponible). La mayoría de las VPN no ofrecen soporte para SSTP.

OpenVPN UDP vs OpenVPN TCP

Con OpenVPN como el protocolo VPN más popular, generalmente puede seleccionar entre dos variedades: OpenVPN UDP o OpenVPN TCP. Entonces, ¿cuál elegir??

A continuación, estoy probando NordVPN, que me da la opción de seleccionar protocolos TCP o UDP.

openvpn udp vs openvpn tcp

Aquí hay una breve descripción de ambos protocolos:

  • TCP (Protocolo de control de transmisión): TCP es la opción más confiable de las dos, pero viene con algunos inconvenientes de rendimiento. Con TCP, los paquetes se envían solo después de que se confirma que el último paquete ha llegado, por lo tanto, ralentizan las cosas. Si no se recibe la confirmación, simplemente se reenviará un paquete, lo que se conoce como corrección de errores.
  • UDP (Protocolo de datagramas de usuario): UDP es la más rápida de las dos opciones. Los paquetes se envían sin ninguna confirmación, lo que mejora la velocidad pero también puede no ser tan confiable.

Por defecto, OpenVPN UDP sería la mejor opción porque ofrece un rendimiento superior sobre OpenVPN TCP. Sin embargo, si tiene problemas de conexión, cambie a TCP para mayor confiabilidad..

TCP a menudo se usa para ofuscar el tráfico VPN para que se vea como el tráfico HTTPS normal. Esto se puede hacer utilizando OpenVPN TCP en el puerto 443, con el tráfico enrutado en encriptación TLS. Muchos proveedores de VPN ofrecen diversas formas de ofuscación para vencer los bloques de VPN, y la mayoría utiliza OpenVPN TCP.

¿Cuál es el mejor protocolo VPN??

Como se señaló en mi descripción general de los mejores servicios de VPN, no existe una solución única para todas las personas. Esto se aplica a elegir un servicio VPN y también a seleccionar un protocolo VPN. El mejor protocolo para su situación dependerá de algunos factores diferentes:

  • los dispositivo que está utilizando: diferentes dispositivos admiten diferentes protocolos.
  • Tu red - si se encuentra en una situación de red restringida, como en China o con redes escolares y laborales, es posible que algunos protocolos no se cumplan. Algunos proveedores de VPN ofrecen protocolos de VPN designados para estas situaciones; consulte la guía de VPN para China para obtener más información sobre este tema..
  • Actuación - Algunos protocolos ofrecen grandes ventajas en términos de rendimiento, especialmente en dispositivos móviles que entran y salen de la conectividad..
  • Modelo de amenaza - Algunos protocolos son más débiles y menos seguros que otros. Elija el mejor protocolo VPN para sus necesidades de seguridad y privacidad, dado su modelo de amenaza.

Como regla general, sin embargo, OpenVPN es posiblemente el el mejor protocolo VPN completo. Es muy seguro, confiable, ampliamente utilizado en la industria y ofrece buena velocidad y confiabilidad. Si OpenVPN no es una opción para su situación, simplemente considere las alternativas.

Con la mayoría de los servicios VPN, OpenVPN es generalmente el protocolo predeterminado utilizado en sus aplicaciones, aunque L2TP / IPSec e IKEv2 / IPSec son comunes con los clientes VPN móviles.

Conclusión de protocolos VPN

Esta guía de protocolos VPN está destinada a servir como una descripción básica de los principales protocolos VPN en uso hoy en día: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP y SSTP.

Para obtener información más detallada sobre cada protocolo, puede examinar las referencias de los respectivos desarrolladores..

Esta guía continuará siendo actualizada a medida que el desarrollo continúe con estos diferentes protocolos VPN.

Última actualización el 13 de agosto de 2019.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me