openvpn vs ipsec vs wireguard ikev2


O que são protocolos VPN e por que você precisa entender as diferentes opções?

Com a maioria dos provedores de VPN oferecendo uma variedade de protocolos de VPN para escolher, é bom conhecer os prós e contras dessas diferentes opções para que você possa selecionar o melhor ajuste para suas necessidades exclusivas.

Neste guia, compararemos os dois protocolos VPN mais populares - OpenVPN vs IPSec - bem como L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP e SSTP. Isso visa fornecer uma breve visão geral dos prós e contras de cada protocolo VPN.

Então vamos mergulhar.

Quais são os diferentes protocolos VPN?

O que é um protocolo VPN?

Um protocolo VPN é um conjunto de instruções para estabelecer uma conexão segura e criptografada entre o dispositivo e um servidor VPN para a transmissão de dados.

A maioria dos provedores de VPN comerciais oferece uma variedade de protocolos diferentes de VPN que você pode usar no cliente VPN. Por exemplo, na captura de tela abaixo, estou testando o ExpressVPN e tenho a opção de selecionar OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec e PPTP.

openvpn l2tp sstp pptpEstes são os diferentes protocolos VPN no cliente ExpressVPN.

Agora, vamos dar uma olhada em vários protocolos VPN.

OpenVPN

O OpenVPN é um protocolo VPN versátil e de código aberto desenvolvido pela OpenVPN Technologies. É sem dúvida o protocolo VPN mais seguro e mais popular em uso atualmente e passou por várias auditorias de segurança de terceiros.

O OpenVPN é geralmente considerado o padrão do setor quando é implementado adequadamente e usa SSL / TLS para troca de chaves. Ele fornece total confidencialidade, autenticação e integridade e também é muito flexível com vários casos de uso.

openvpn

Configuração: O OpenVPN requer um software cliente especial para ser usado, em vez de ser incorporado em diferentes sistemas operacionais. A maioria dos serviços VPN fornece aplicativos OpenVPN personalizados, que podem ser usados ​​em diferentes sistemas operacionais e dispositivos. A instalação geralmente é rápida e simples. O OpenVPN pode ser usado em todas as principais plataformas por meio de clientes de terceiros: Windows, Mac OS, Linux, Apple iOS, Android e vários roteadores (verifique a compatibilidade do firmware).

Criptografia: O OpenVPN usa a biblioteca OpenSSL e os protocolos TLS para fornecer criptografia. O OpenSSL suporta vários algoritmos e cifras diferentes, incluindo AES, Blowfish, Camellia e ChaCha20.

Segurança: O OpenVPN é considerado o protocolo VPN mais seguro disponível, desde que seja implementado corretamente. Não possui nenhuma vulnerabilidade importante conhecida.

atuação: O OpenVPN oferece bom desempenho, especialmente se executado sobre UDP (User Datagram Protocol), em vez de TCP (Transmission Control Protocol). O OpenVPN também é estável e confiável, seja usado em redes sem fio ou celulares. Se você estiver tendo problemas de conexão, poderá usar o OpenVPN com TCP, o que confirmará todos os pacotes enviados, mas será mais lento.

Portas: OpenVPN pode ser usado em qualquer porta usando UDP ou TCP.

Veredito: Altamente recomendado.

IPSec - Segurança de Protocolo da Internet

O que é IPSec?

O IPSec é um conjunto de protocolos de rede seguro que autentica e criptografa pacotes de dados enviados por uma rede IP. Significa Internet Protocol Security (IPSec) e foi desenvolvido pela Internet Engineering Task Force. Ao contrário do SSL, que funciona no nível do aplicativo, o IPSec opera no nível da rede e pode ser usado nativamente em muitos sistemas operacionais. Como a maioria dos sistemas operacionais suporta IPSec nativamente, ele pode ser usado sem aplicativos de terceiros (ao contrário do OpenVPN).

O IPSec se tornou um protocolo muito popular para uso com VPNs quando emparelhado com L2TP ou IKEv2, que discutiremos mais abaixo.

O IPSec criptografa o pacote IP inteiro usando:

  • Cabeçalho de autenticação (AH), que coloca uma assinatura digital em cada pacote; e
  • Encapsulating Security Protocol (ESP), que confidencialidade, integridade e autenticação do pacote na transmissão.

Apresentação vazada da NSA - Uma discussão sobre IPSec não estaria completa sem fazer referência a uma apresentação vazada da NSA que discute os protocolos IPSec comprometedores da NSA (L2TP e IKE). É difícil chegar a conclusões concretas com base em referências vagas nesta apresentação datada. No entanto, se seu modelo de ameaça incluir vigilância direcionada de atores sofisticados em nível estadual, convém considerar um protocolo mais seguro, como o OpenVPN. Em uma nota positiva, os protocolos IPSec ainda são amplamente considerados seguros se forem implementados adequadamente.

Agora examinaremos como o IPSec é usado com VPNs quando emparelhado com L2TP e IKEv2.

IKEv2 / IPSec

O que é IKEv2 / IPSec?

O IKEv2 é um protocolo de encapsulamento padronizado no RFC 7296 e significa Internet Key Exchange versão 2 (IKEv2). Foi desenvolvido como um projeto conjunto entre Cisco e Microsoft. Para ser usado com VPNs para segurança máxima, o IKEv2 é emparelhado com o IPSec.

A primeira versão do IKE (Internet Key Exchange) foi lançada em 1998, com a versão 2 lançada sete anos depois, em dezembro de 2005. Em comparação com outros protocolos VPN, o IKEv2 oferece vantagens em termos de velocidade, segurança, estabilidade, uso da CPU e a capacidade de restabelecer uma conexão. Isso faz com que seja uma boa escolha para usuários móveis, principalmente com dispositivos iOS (Apple) que suportam nativamente IKEv2.

Configuração: A instalação geralmente é rápida e fácil, exigindo que você importe os arquivos de configuração para os servidores que deseja usar do seu provedor de VPN. (Veja o exemplo com Perfect Privacy.) O IKEv2 é suportado nativamente no Windows 7+, Mac OS 10.11+, Blackberry e iOS (iPhone e iPad) e em alguns dispositivos Android. Alguns sistemas operacionais também suportam uma função "sempre ativada", que força todo o tráfego da Internet através do túnel da VPN, garantindo, portanto, nenhum vazamento de dados.

Criptografia: O IKEv2 usa uma grande variedade de algoritmos criptográficos, incluindo AES, Blowfish, Camellia e 3DES.

Segurança: Uma desvantagem do IKEv2 / IPSec é que ele é de código fechado e foi desenvolvido pela Cisco e pela Microsoft (mas existem versões de código aberto). Em uma nota positiva, o IKEv2 é amplamente considerado um dos protocolos mais rápidos e seguros disponíveis, tornando-o uma escolha popular entre os usuários de VPN..

atuação: Em muitos casos, o IKEv2 é mais rápido que o OpenVPN, pois consome menos CPU. No entanto, existem inúmeras variáveis ​​que afetam a velocidade, portanto, isso pode não se aplicar a todos os casos de uso. Do ponto de vista de desempenho com usuários móveis, o IKEv2 pode ser a melhor opção, pois estabelece bem uma reconexão.

Portas: O IKEv2 usa as seguintes portas: UDP 500 para troca inicial de chaves e UDP 4500 para passagem NAT.

Veredito: Recomendado.

L2TP / IPSec

O Protocolo de encapsulamento da camada 2 (L2TP) emparelhado com o IPSec também é um protocolo VPN popular que é suportado nativamente por muitos sistemas operacionais. O L2TP / IPSec é padronizado na RFC 3193 e fornece confidencialidade, autenticação e integridade.

Configuração: A configuração do L2TP / IPSec geralmente é rápida e fácil. É suportado nativamente em muitos sistemas operacionais, incluindo Windows 2000 / XP +, Mac OS 10.3+ e também na maioria dos sistemas operacionais Android. Assim como no IKEv2 / IPSec, você simplesmente precisa importar os arquivos de configuração do seu provedor VPN.

Criptografia: L2TP / IPSec encapsula dados duas vezes com a criptografia proveniente do protocolo IPSec padrão.

Segurança: L2TP / IPSec é geralmente considerado seguro e não possui nenhum problema conhecido importante. Assim como no IKEv2 / IPSec, no entanto, o L2TP / IPSec também foi desenvolvido pela Cisco e pela Microsoft, o que levanta questões sobre confiança.

atuação: Em termos de desempenho, o L2TP / IPSec pode realmente variar. Por um lado, a criptografia / descriptografia ocorre no kernel e também suporta multi-threading, o que deve melhorar a velocidade. Mas, por outro lado, como encapsula os dados duas vezes, pode não ser tão rápido quanto as outras opções..

Portas: O L2TP / IPSEC usa o UDP 500 para a troca inicial de chaves, bem como o UDP 1701 para a configuração inicial do L2TP e o UDP 4500 para o percurso NAT. Devido a essa dependência de protocolos e portas fixos, é mais fácil bloquear do que o OpenVPN.

Veredito: L2TP / IPSec não é uma má escolha, mas você pode optar por IKEv2 / IPSec ou OpenVPN, se disponível.

WireGuard - Um protocolo VPN novo e experimental

O WireGuard é um protocolo VPN novo e experimental que busca fornecer melhor desempenho e mais segurança em relação aos protocolos existentes.

wireguard

Como abordamos no guia principal do WireGuard VPN, o protocolo tem alguns benefícios interessantes em termos de desempenho, mas também apresenta algumas desvantagens notáveis. As principais desvantagens são as seguintes:

  • O WireGuard permanece em desenvolvimento pesado e ainda não foi auditado.
  • Muitos serviços de VPN levantaram preocupações sobre a capacidade do WireGuard de ser usado sem registros (inconvenientes de privacidade).
  • Adoção muito limitada pelo setor de VPN (pelo menos por enquanto).
  • Não há suporte para TCP.

Configuração: O WireGuard não está incluído em nenhum sistema operacional. Provavelmente, isso mudará com o tempo quando for incluído no kernel para Linux, Mac OS e talvez com alguns sistemas operacionais móveis. Um número muito limitado de VPNs suporta o WireGuard - consulte o provedor para obter instruções de configuração.

Criptografia: WireGuard utiliza Curve25519 para troca de chaves, ChaCha20 e Poly1305 para autenticação de dados e BLAKE2s para hash.

Segurança: O principal problema de segurança do WireGuard é que ele ainda não foi auditado e permanece em desenvolvimento pesado. Já existem algumas VPNs que oferecem o WireGuard a seus usuários para fins de "teste", mas, dado o estado do projeto, o WireGuard não deve ser usado quando a privacidade e a segurança são importantes..

atuação: O WireGuard teoricamente deve oferecer excelente desempenho em termos de velocidade, confiabilidade e também consumo de bateria. Pode ser o protocolo ideal para usuários móveis, pois permite alternar entre interfaces de rede sem perder a conexão. Também deve reconectar-se muito mais rápido do que com OpenVPN e IPSec.

Portas: O WireGuard usa UDP e pode ser configurado em qualquer porta. Infelizmente, não há suporte para TCP, o que facilita o bloqueio.

Veredito: Ainda não é recomendado, mas vou ficar de olho no desenvolvimento do projeto.

PPTP - Desatualizado e não seguro

PPTP significa Protocolo de encapsulamento ponto a ponto e é um dos protocolos VPN mais antigos ainda em uso atualmente. Ele roda na porta TCP 1723 e foi desenvolvido inicialmente pela Microsoft.

Agora o PPTP está essencialmente obsoleto devido a sérias vulnerabilidades de segurança. Não vamos gastar muito tempo discutindo PPTP porque a maioria das pessoas nem o usa mais.

O PPTP é suportado nativamente em todas as versões do Windows e na maioria dos sistemas operacionais. Embora seja relativamente rápido, o PPTP não é tão confiável e não se recupera tão rapidamente de uma conexão perdida quanto o OpenVPN.

No geral, o PPTP não deve ser usado em nenhuma situação em que a segurança e a privacidade sejam importantes. Se você está apenas usando uma VPN para desbloquear conteúdo, o PPTP pode não ser uma má escolha, mas há opções mais seguras que devem ser consideradas.

Veredito: Não recomendado

SSTP - Um protocolo VPN para Windows, mas não muito comum

Como o PPTP, o SSTP não é amplamente usado no setor de VPN, mas, ao contrário do PPTP, não possui grandes problemas de segurança conhecidos.

SSTP significa Protocolo de tunelamento de soquete seguro e é um produto da Microsoft disponível apenas para Windows. O fato de ser um produto de código fechado da Microsoft é uma desvantagem óbvia, embora o SSTP também seja considerado bastante seguro.

O SSTP transporta o tráfego através do protocolo SSL (Secure Socket Layer) pela porta TCP 443. Isso o torna um protocolo útil para uso em situações de rede restritas, como se você precisar de uma VPN para a China. Também há suporte para outros sistemas operacionais, além do Windows, mas não é amplamente utilizado.

Como o SSTP é de código fechado e permanece totalmente de propriedade e manutenção da Microsoft, convém considerar outras opções. Obviamente, o SSTP ainda pode ser a melhor opção se todos os outros protocolos estiverem bloqueados na sua rede.

Em termos de desempenho, o SSTP se sai bem e é rápido, estável e seguro. Infelizmente, muito poucos provedores de VPN suportam SSTP. Por muitos anos, o ExpressVPN suportou SSTP no cliente Windows, mas não é mais suportado hoje.

Veredito: O SSTP pode ser útil se outros protocolos VPN estiverem bloqueados, mas o OpenVPN seria uma opção melhor (se disponível). A maioria das VPNs não oferece suporte para SSTP.

OpenVPN UDP vs OpenVPN TCP

Com o OpenVPN sendo o protocolo VPN mais popular, geralmente você pode selecionar entre duas variedades: OpenVPN UDP ou OpenVPN TCP. Então, qual escolher?

Abaixo, estou testando o NordVPN, que me dá a opção de selecionar protocolos TCP ou UDP.

openvpn udp vs openvpn tcp

Aqui está uma breve visão geral dos dois protocolos:

  • TCP (Protocolo de controle de transmissão): TCP é a opção mais confiável dos dois, mas vem com algumas desvantagens de desempenho. Com o TCP, os pacotes são enviados somente após a confirmação da chegada do último pacote, diminuindo a velocidade das coisas. Se a confirmação não for recebida, um pacote será simplesmente reenviado - o que é conhecido como correção de erros.
  • UDP (Protocolo de datagrama do usuário): UDP é a mais rápida das duas opções. Os pacotes são enviados sem qualquer confirmação, o que melhora a velocidade, mas também pode não ser tão confiável.

Por padrão, o OpenVPN UDP seria a melhor opção, pois oferece desempenho superior ao OpenVPN TCP. Se você estiver tendo problemas de conexão, no entanto, mude para TCP para obter mais confiabilidade.

O TCP é frequentemente usado para ofuscar o tráfego da VPN para se parecer com o tráfego HTTPS normal. Isso pode ser feito usando o OpenVPN TCP na porta 443, com o tráfego roteado na criptografia TLS. Muitos provedores de VPN oferecem várias formas de ofuscação para derrotar os bloqueios de VPN e a maioria utiliza o TCP OpenVPN.

Qual é o melhor protocolo VPN?

Conforme observado na minha visão geral dos melhores serviços de VPN, não existe uma solução única para todas as pessoas. Isso se aplica à escolha de um serviço VPN e também à seleção de um protocolo VPN. O melhor protocolo para sua situação dependerá de alguns fatores diferentes:

  • o dispositivo você está usando - dispositivos diferentes suportam protocolos diferentes.
  • Seu rede - se você estiver em uma situação de rede restrita, como na China ou com escolas e redes de trabalho, alguns protocolos podem não ser concluídos. Alguns provedores de VPN oferecem protocolos de VPN designados para essas situações - consulte o guia VPN para China para obter mais informações sobre este tópico.
  • atuação - Alguns protocolos oferecem grandes vantagens em termos de desempenho, especialmente em dispositivos móveis que entram e saem da conectividade.
  • Modelo de ameaça - Alguns protocolos são mais fracos e menos seguros que outros. Escolha o melhor protocolo VPN para suas necessidades de segurança e privacidade, considerando seu modelo de ameaça.

Como regra geral, porém,, OpenVPN é sem dúvida o melhor protocolo VPN completo. É muito seguro, confiável, amplamente utilizado na indústria e oferece boa velocidade e confiabilidade. Se o OpenVPN não for uma opção para sua situação, basta considerar as alternativas.

Com a maioria dos serviços de VPN, o OpenVPN geralmente é o protocolo padrão usado em seus aplicativos, embora L2TP / IPSec e IKEv2 / IPSec sejam comuns a clientes VPN móveis.

Conclusão de protocolos VPN

Este guia de protocolos VPN deve servir como uma visão geral básica dos principais protocolos VPN em uso atualmente: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP e SSTP.

Para obter informações mais detalhadas sobre cada protocolo, você pode examinar as referências dos respectivos desenvolvedores..

Este guia continuará sendo atualizado à medida que o desenvolvimento continuar com esses diferentes protocolos VPN.

Última atualização em 13 de agosto de 2019.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me