openvpn vs ipsec vs wireguard ikev2


Mik a VPN-protokollok és miért kell megérteni a különféle lehetőségeket?

Mivel a legtöbb VPN-szolgáltató különféle VPN-protokollokat kínál, amelyek közül választhat, érdemes megismerni ezeknek a különféle lehetőségeknek az előnyeit és hátrányait, így kiválaszthatja az egyedi igényeinek leginkább megfelelőt..

Ebben az útmutatóban összehasonlítjuk a két legnépszerűbb VPN protokollt - OpenVPN vs IPSec -, valamint az L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP és SSTP. Ennek célja, hogy rövid áttekintést adjon az egyes VPN-protokollok előnyeiről és hátrányairól.

Tehát merüljünk be.

Melyek a különféle VPN-protokollok?

Mi a VPN protokoll??

A VPN-protokoll olyan utasításkészlet, amely biztonságos és titkosított kapcsolatot hoz létre az eszköz és a VPN-szerver között az adatok továbbításához.

A legtöbb kereskedelmi VPN-szolgáltató különféle VPN-protokollokat kínál, amelyeket a VPN-ügyfélen belül használhat. Például az alábbi képernyőképen teszteltem az ExpressVPN-t, és lehetőségem van OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec és PPTP kiválasztására..

openvpn l2tp sstp pptpEzek a VPN-protokollok az ExpressVPN kliensben.

Most közelebbről megvizsgáljuk a különféle VPN-protokollokat.

OpenVPN

Az OpenVPN egy sokoldalú, nyílt forrású VPN protokoll, amelyet az OpenVPN Technologies fejlesztett ki. Ez vitathatatlanul a jelenleg legbiztonságosabb és legnépszerűbb VPN-protokoll, és számos harmadik fél által végzett biztonsági ellenőrzésen ment keresztül.

Az OpenVPN-et általában az iparági szabványnak tekintik, ha azt megfelelően hajtják végre, és SSL / TLS-t használ a kulcscserére. Teljes titkosságot, hitelesítést és integritást biztosít, és különféle használati esetekben is nagyon rugalmas.

OpenVPN

Beállít: Az OpenVPN használatához speciális ügyfélszoftvert kell használni, ahelyett, hogy különféle operációs rendszerekbe építenék be. A legtöbb VPN-szolgáltatás egyedi OpenVPN-alkalmazásokat biztosít, amelyeket különféle operációs rendszerekre és eszközökre lehet használni. A telepítés általában gyors és egyszerű. Az OpenVPN harmadik felek kliensein keresztül használható minden nagyobb platformon: Windows, Mac OS, Linux, Apple iOS, Android és különféle útválasztók (ellenőrizze a firmware kompatibilitását).

Titkosítás: Az OpenVPN az OpenSSL könyvtárat és a TLS protokollokat használja a titkosításhoz. Az OpenSSL számos különféle algoritmust és titkosítást támogat, köztük az AES, Blowfish, Camellia és ChaCha20.

Biztonság: Az OpenVPN a rendelkezésre álló legbiztonságosabb VPN-protokoll, feltéve, hogy azt megfelelően végrehajtják. Nincs ismert nagyobb sebezhetősége.

Teljesítmény: Az OpenVPN jó teljesítményt nyújt, különösen, ha az UDP (User Datagram Protocol) protokollon keresztül fut, a TCP (Transmission Control Protocol) helyett. Az OpenVPN stabil és megbízható vezeték nélküli vagy mobilhálózaton keresztül is. Csatlakozási problémák esetén használhatja az OpenVPN-t a TCP-vel, amely megerősíti az összes elküldött csomagot, de ez lassabb lesz.

Portok: Az OpenVPN bármilyen porton használható UDP vagy TCP használatával.

Ítélet: Nagyon ajánlott.

IPSec - Internetprotokoll biztonság

Mi az IPSec??

Az IPSec egy biztonságos hálózati protokollkészlet, amely hitelesíti és titkosítja az IP-hálózaton keresztül küldött adatcsomagokat. Az Internet Protokoll Biztonság (IPSec), és az Internet Engineering Task Force fejlesztette ki. Az alkalmazás szintjén működő SSL-lel ellentétben az IPSec hálózati szinten működik, és sok operációs rendszernél natív módon használható. Mivel a legtöbb operációs rendszer natívan támogatja az IPSec-et, harmadik féltől származó alkalmazások nélkül is használható (ellentétben az OpenVPN-vel).

Az IPSec nagyon népszerű protokollá vált a VPN-ekkel történő használathoz, amikor párosulnak az L2TP-vel vagy az IKEv2-vel, amelyet az alábbiakban tárgyalunk..

Az IPSec a teljes IP-csomagot titkosítja:

  • Hitelesítési fejléc (AH), amely minden egyes csomaghoz digitális aláírást ad; és
  • Kapszulázó biztonsági protokoll (ESP), amely az átvitt csomag titkosságát, integritását és hitelesítését tartalmazza.

Szivárgott NSA bemutató - Az IPSec megbeszélése nem lenne teljes, ha nem hivatkozna egy kiszivárgott NSA bemutatóra, amely az NSA kompromittáló IPSec protokollokat (L2TP és IKE) tárgyalja. Ebben a kelt bemutatóban homályos hivatkozások alapján nehéz konkrét következtetéseket levonni. Ennek ellenére, ha a fenyegetési modell magában foglalja a kifinomult állami szintű szereplők célzott megfigyelését, érdemes megfontolni egy biztonságosabb protokollt, például az OpenVPN-t. Pozitív tény, hogy az IPSec protokollokat továbbra is biztonságosnak tekintik, ha azokat megfelelően hajtják végre.

Most megvizsgáljuk, hogy az IPSec miként használható a VPN-ekkel, amikor párosulnak az L2TP-vel és az IKEv2-vel.

IKEv2 / IPSec

Mi az IKEv2 / IPSec??

Az IKEv2 egy alagutazási protokoll, amelyet szabványosított az RFC 7296, és az Internet Key Exchange 2-es verziójára (IKEv2) vonatkozik. A Cisco és a Microsoft közös projektjeként fejlesztették ki. A VPN-kkel a maximális biztonság érdekében történő felhasználás érdekében az IKEv2 párosítva van az IPSec-kel.

Az IKE (Internet Key Exchange) első verziója 1998-ban jelent meg, és a 2. verziót hét évvel később, 2005 decemberében adták ki. A többi VPN protokollhoz képest az IKEv2 előnyei vannak a sebesség, a biztonság, a stabilitás, a CPU-használat és a a kapcsolat újbóli létrehozásának képessége. Ez jó választást jelent a mobil felhasználók számára, különösen az iOS (Apple) eszközökkel, amelyek natívan támogatják az IKEv2-t.

Beállít: A telepítés általában gyors és egyszerű, amely megköveteli, hogy a VPN szolgáltatótól importálja a használni kívánt kiszolgálók konfigurációs fájljait. (Lásd a tökéletes magánélet példáját.) Az IKEv2 natív módon támogatott Windows 7 vagy újabb, Mac OS 10.11 vagy újabb, Blackberry és iOS (iPhone és iPad), valamint néhány Android-eszközön. Néhány operációs rendszer támogatja a „mindig bekapcsolt” funkciót is, amely minden internetes forgalmat kikényszerít a VPN-alagúton keresztül, ezáltal biztosítva az adatok szivárgását.

Titkosítás: Az IKEv2 kriptográfiai algoritmusok széles választékát használja, köztük AES, Blowfish, Camellia és 3DES.

Biztonság: Az IKEv2 / IPSec egyik hátránya, hogy zárt forrású, és a Cisco és a Microsoft fejlesztette ki (de a nyílt forráskódú verziók léteznek). Pozitív tény, hogy az IKEv2-t széles körben úgy tekintik, mint a rendelkezésre álló leggyorsabb és legbiztonságosabb protokollt, így a VPN-felhasználók körében népszerű választás..

Teljesítmény: Sok esetben az IKEv2 gyorsabb, mint az OpenVPN, mivel kevesebb CPU-igényes. Számos változó befolyásolja a sebességet, tehát ez nem feltétlenül vonatkozik minden felhasználási esetben. A mobil felhasználókkal szembeni teljesítmény szempontjából az IKEv2 lehet a legjobb választás, mivel jól hozza létre az újracsatlakozást.

Portok: Az IKEv2 a következő portokat használja: UDP 500 az első kulcscserére és UDP 4500 a NAT áthaladásra.

Ítélet: Ajánlott.

L2TP / IPSec

Az IPSec-rel párosítva a 2. réteg alagút protokollja (L2TP) szintén népszerű VPN protokoll, amelyet sok operációs rendszer natív módon támogat. Az L2TP / IPSec szabványosítva van az RFC 3193 szabványban, és bizalmas kezelést, hitelesítést és integritást biztosít.

Beállít: Az L2TP / IPSec beállítása általában gyors és egyszerű. Számos operációs rendszer támogatja, beleértve a Windows 2000 / XP +, a Mac OS 10.3 vagy újabb rendszert, valamint a legtöbb Android operációs rendszert. Csakúgy, mint az IKEv2 / IPSec esetén, egyszerűen importálnia kell a konfigurációs fájlokat a VPN-szolgáltatótól.

Titkosítás: Az L2TP / IPSec kétszeresen kódolja az adatokat, a titkosítással a szokásos IPSec protokollon keresztül.

Biztonság: Az L2TP / IPSec általában biztonságosnak tekinthető, és nincs ismert ismert problémája. Csakúgy, mint az IKEv2 / IPSec esetében, az L2TP / IPSec-et is kifejlesztették a Cisco és a Microsoft, ami felveti a bizalom kérdéseit..

Teljesítmény: A teljesítmény szempontjából az L2TP / IPSec valóban változhat. Az egyrészes titkosítás / dekódolás megtörténik a kernelben, és támogatja a többszálú menetbevitelt is, amelynek javítania kell a sebességet. De másrészt, mivel kettős beágyazást tartalmaz az adatokra, lehet, hogy nem olyan gyors, mint más lehetőségek.

Portok: Az L2TP / IPSEC az UDP 500-at használja a kezdeti kulcscserehez, az UDP 1701-et a kezdeti L2TP-konfigurációhoz és az UDP 4500-at a NAT-áthaladáshoz. A rögzített protokollokra és portokra való hivatkozás miatt könnyebb blokkolni, mint az OpenVPN-nél.

Ítélet: Az L2TP / IPSec nem rossz választás, de érdemes választania az IKEv2 / IPSec vagy az OpenVPN lehetőségre, ha van ilyen.

WireGuard - Új és kísérleti VPN protokoll

A WireGuard egy új és kísérleti VPN protokoll, amely jobb teljesítményt és nagyobb biztonságot kíván biztosítani a meglévő protokollokhoz képest.

wireguard

Amint azt a WireGuard VPN fő útmutatójában ismertettük, a protokollnak érdekes előnyei vannak a teljesítmény szempontjából, de néhány figyelemre méltó hátránnyal is jár. A fő hátrányok a következők:

  • A WireGuard továbbra is súlyos fejlesztés alatt áll, és még nem került ellenőrzésre.
  • Számos VPN-szolgáltatás aggályokat vet fel a WireGuard naplók nélküli felhasználásának képessége miatt (adatvédelmi hátrányok).
  • Nagyon korlátozott elfogadás a VPN-ipar számára (legalább egyelőre).
  • Nem támogatja a TCP-t.

Beállít: A WireGuard egyetlen operációs rendszer sem része. Ez valószínűleg idővel megváltozik, ha bekerül a Linux, a Mac OS és esetleg néhány mobil operációs rendszer kernelébe. Nagyon korlátozott számú VPN támogatja a WireGuard alkalmazást - kérdezze meg a szolgáltatótól a telepítési utasításokat.

Titkosítás: A WireGuard a Curve25519-et használja a kulcscseréhez, a ChaCha20-ot és a Poly1305-et az adatok hitelesítéséhez, a BLAKE2-t pedig a kivonatoláshoz.

Biztonság: A WireGuard fő biztonsági problémája az, hogy még nem ellenőrzik, és továbbra is súlyos fejlesztés alatt áll. Van egy pár VPN, akik már tesztelési célokra kínálják a WireGuard-ot felhasználóiknak, de a projekt állapotát figyelembe véve a WireGuard-ot nem szabad használni, ha az adatvédelem és a biztonság fontos.

Teljesítmény: A WireGuardnak elméletileg kiváló teljesítményt kell nyújtania a sebesség, a megbízhatóság és az akkumulátor fogyasztása szempontjából. Lehet, hogy ideális protokoll a mobil felhasználók számára, mert lehetővé teszi a hálózati interfészek közötti váltást anélkül, hogy a kapcsolatot elvesztenék. Az újracsatlakozásnak feltételezhetően sokkal gyorsabb is, mint az OpenVPN és az IPSec esetén.

Portok: A WireGuard UDP-t használ, és bármilyen porton konfigurálható. Sajnos a TCP nem támogatott, ami megkönnyíti a blokkolást.

Ítélet: (Nem) még nem ajánlott, de figyelni fogom a projekt fejlődését.

PPTP - elavult és nem biztonságos

A PPTP a point-to-point alagút-protokollt jelenti, és az egyik legrégebbi VPN-protokoll, amely továbbra is használatban van. Az 1723 TCP porton fut, és eredetileg a Microsoft fejlesztette ki.

A PPTP ma már alapvetően elavult a súlyos biztonsági rések miatt. Nem fogunk túl sok időt költeni a PPTP megbeszélésére, mert a legtöbb ember már nem is használja azt.

A PPTP-t natívan támogatják a Windows összes verziója és a legtöbb operációs rendszer. Miközben viszonylag gyors, a PPTP nem olyan megbízható, és nem tér vissza olyan gyorsan a leszakadt kapcsolatokból, mint az OpenVPN.

Összességében a PPTP-t nem szabad olyan helyzetekben használni, ahol a biztonság és a magánélet fontos. Ha csak VPN-t használ a tartalom feloldásához, akkor a PPTP nem lehet rossz döntés, de vannak biztonságosabb lehetőségek, amelyeket érdemes megfontolni.

Ítélet: Nem ajánlott

SSTP - VPN protokoll Windowshoz, de nem túl gyakori

A PPTP-hez hasonlóan, az SSTP-t sem széles körben használják a VPN-iparban, de ellentétben a PPTP-vel, nincs jelentős ismert biztonsági kérdése..

Az SSTP jelentése Biztonsági foglalat-alagút protokoll és egy Microsoft termék, amely csak a Windows számára érhető el. Az a tény, hogy a Microsoft zárt forrású termék, nyilvánvaló hátrány, bár az SSTP-t is elég biztonságosnak tekintik.

Az SSTP a forgalmat az SSL (Secure Socket Layer) protokollon keresztül továbbítja a 443 TCP porton keresztül. Ez hasznos protokollt tesz lehetővé korlátozott hálózati helyzetekben, például ha VPN-re van szüksége Kínában. A Windowson kívül más operációs rendszerek is támogatottak, de nem széles körben használják.

Mivel az SSTP zárt forrású, és teljes egészében a Microsoft tulajdonában és karbantartása alatt áll, érdemes megfontolnia más lehetőségeket is. Természetesen az SSTP továbbra is a legjobb megoldás, ha az összes többi protokoll blokkolódik a hálózaton.

A teljesítmény szempontjából az SSTP jól működik, gyors, stabil és biztonságos. Sajnos nagyon kevés VPN-szolgáltató támogatja az SSTP-t. Az ExpressVPN évek óta támogatja az SSTP-t a Windows kliensben, de ma már nem támogatott.

Ítélet: Az SSTP hasznos lehet, ha más VPN-protokollok blokkolódnak, de az OpenVPN jobb választás lenne (ha rendelkezésre áll). A legtöbb VPN nem támogatja az SSTP-t.

OpenVPN UDP vs OpenVPN TCP

Mivel az OpenVPN a legnépszerűbb VPN-protokoll, általában két változat közül választhat: OpenVPN UDP vagy OpenVPN TCP. Tehát melyiket választani?

Az alábbiakban kipróbálom a NordVPN-t, amely lehetőséget ad nekem TCP vagy UDP protokollok kiválasztására.

openvpn udp vs openvpn tcp

Itt található a két protokoll rövid áttekintése:

  • TCP (Transmission Control Protocol): A TCP a legmegbízhatóbb lehetőség a kettő közül, ám néhány teljesítmény-hátránnyal jár. A TCP használatával a csomagokat csak akkor küldik el, amikor az utolsó csomag megérkezése megerősítést nyer, ezért a dolgok lelassulnak. Ha nem kap visszaigazolást, egy csomagot egyszerűen újra elküldnek - ez az úgynevezett hibajavítás.
  • UDP (User Datagram Protocol): Az UDP a leggyorsabb a két lehetőség közül. A csomagokat megerősítés nélkül küldjük el, ami javítja a sebességet, de lehet, hogy nem is olyan megbízható.

Alapértelmezés szerint az OpenVPN UDP lenne a jobb választás, mivel kiváló teljesítményt nyújt az OpenVPN TCP-hez képest. Ha azonban kapcsolódási problémái vannak, váltson át a TCP-re a nagyobb megbízhatóság érdekében.

A TCP-t gyakran használják a VPN-forgalom megszüntetésére, hogy úgy néz ki, mint a szokásos HTTPS-forgalom. Ezt az OpenVPN TCP használatával lehet megtenni a 443-as porton, a forgalmat TLS-titkosításban irányítva. Számos VPN-szolgáltató különböző típusú obfuzációkat kínál a VPN-blokkok legyőzése érdekében, és a legtöbb használja az OpenVPN TCP-t..

Mi a legjobb VPN protokoll??

Amint azt a legjobb VPN-szolgáltatások áttekintésében megjegyeztem, nincs mindenki számára egységes megoldás. Ez vonatkozik a VPN-szolgáltatás kiválasztására és a VPN-protokoll kiválasztására. A helyzetének legjobb protokollja néhány különféle tényezőtől függ:

  • Az eszköz használ - különböző eszközök támogatják a különböző protokollokat.
  • A ti hálózat - Ha korlátozott hálózati helyzetben van, például Kínában, vagy iskolai és munkahelyi hálózattal, akkor előfordulhat, hogy egyes protokollok nem jutnak át. Egyes VPN-szolgáltatók ezekre a helyzetekre kijelölt VPN-protokollokat kínálnak - a témáról szóló vita további részletekért lásd a VPN Kínában című útmutatót..
  • Teljesítmény - Egyes protokollok nagy előnyeket kínálnak a teljesítmény szempontjából, különösen a mobil eszközökön, amelyek be- és kikapcsolják a kapcsolatot.
  • Fenyegetés modellje - Egyes protokollok gyengébbek és kevésbé biztonságosak, mint mások. Válassza ki a biztonsági és adatvédelmi igényeinek megfelelő VPN-protokollt, figyelembe véve a fenyegetés modelljét.

Általános hüvelykujjszabály ugyanakkor, OpenVPN vitathatatlanul a legjobb VPN protokoll. Nagyon biztonságos, megbízható, széles körben használják az iparban, jó sebességet és megbízhatóságot kínál. Ha az OpenVPN nem választható az Ön helyzetében, egyszerűen fontolja meg az alternatívákat.

A legtöbb VPN-szolgáltatás esetében az OpenVPN általában az alkalmazásukban használt alapértelmezett protokoll, bár az L2TP / IPSec és az IKEv2 / IPSec a mobil VPN-ügyfeleknél gyakori.

A VPN-protokollok következtetése

Ez a VPN protokollok útmutatója a jelenleg használt fő VPN protokollok alapvető áttekintéseként szolgál: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP és SSTP.

Az egyes protokollokkal kapcsolatos részletesebb információkért megvizsgálhatja a megfelelő fejlesztők referenciáit.

Ezt az útmutatót továbbra is frissítjük, a fejlesztés folytatódásával a különféle VPN protokollokkal.

Utolsó frissítés: 2019. augusztus 13-án.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me