openvpn vs ipsec vs wireguard ikev2


Quels sont les protocoles VPN et pourquoi avez-vous besoin de comprendre les différentes options?

Avec la plupart des fournisseurs VPN offrant une variété de protocoles VPN parmi lesquels choisir, il est bon de connaître les avantages et les inconvénients de ces différentes options afin que vous puissiez sélectionner la meilleure solution pour vos besoins uniques..

Dans ce guide, nous comparerons les deux protocoles VPN les plus populaires - OpenVPN vs IPSec - ainsi que L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP et SSTP. Ceci est destiné à vous donner un bref aperçu des avantages et des inconvénients de chaque protocole VPN.

Alors plongeons-nous.

Quels sont les différents protocoles VPN?

Qu'est-ce qu'un protocole VPN?

Un protocole VPN est un ensemble d'instructions pour établir une connexion sécurisée et cryptée entre votre appareil et un serveur VPN pour la transmission de données.

La plupart des fournisseurs VPN commerciaux offrent une variété de protocoles VPN différents que vous pouvez utiliser dans le client VPN. Par exemple, dans la capture d'écran ci-dessous, je teste ExpressVPN et j'ai la possibilité de sélectionner OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec et PPTP.

openvpn l2tp sstp pptpCe sont les différents protocoles VPN du client ExpressVPN.

Nous allons maintenant examiner de plus près divers protocoles VPN.

OpenVPN

OpenVPN est un protocole VPN open source polyvalent développé par OpenVPN Technologies. Il s'agit sans doute du protocole VPN le plus sécurisé et le plus populaire utilisé aujourd'hui et a passé divers audits de sécurité tiers.

OpenVPN est généralement considéré comme la norme de l'industrie lorsqu'il est correctement implémenté et utilise SSL / TLS pour l'échange de clés. Il offre une confidentialité, une authentification et une intégrité complètes et est également très flexible avec divers cas d'utilisation.

openvpn

Installer: OpenVPN nécessite l'utilisation d'un logiciel client spécial, plutôt que d'être intégré dans différents systèmes d'exploitation. La plupart des services VPN fournissent des applications OpenVPN personnalisées, qui peuvent être utilisées sur différents systèmes d'exploitation et appareils. L'installation est généralement rapide et simple. OpenVPN peut être utilisé sur toutes les principales plates-formes via des clients tiers: Windows, Mac OS, Linux, Apple iOS, Android et divers routeurs (vérifiez la compatibilité du firmware).

Chiffrement: OpenVPN utilise la bibliothèque OpenSSL et les protocoles TLS pour fournir le chiffrement. OpenSSL prend en charge un certain nombre d'algorithmes et de chiffrements différents, y compris AES, Blowfish, Camellia et ChaCha20.

Sécurité: OpenVPN est considéré comme le protocole VPN le plus sécurisé disponible, à condition qu'il soit correctement implémenté. Il ne présente aucune vulnérabilité majeure connue.

Performance: OpenVPN offre de bonnes performances, surtout s'il est exécuté sur UDP (User Datagram Protocol), plutôt que TCP (Transmission Control Protocol). OpenVPN est également stable et fiable, qu'il soit utilisé sur des réseaux sans fil ou cellulaires. Si vous rencontrez des problèmes de connexion, vous pouvez utiliser OpenVPN avec TCP, ce qui confirmera tous les paquets envoyés, mais ce sera plus lent.

Ports: OpenVPN peut être utilisé sur n'importe quel port utilisant UDP ou TCP.

Verdict: Hautement recommandé.

IPSec - Sécurité du protocole Internet

Qu'est-ce que IPSec?

IPSec est une suite de protocoles réseau sécurisés qui authentifie et chiffre les paquets de données envoyés sur un réseau IP. Il signifie Internet Protocol Security (IPSec) et a été développé par Internet Engineering Task Force. Contrairement à SSL, qui fonctionne au niveau de l'application, IPSec fonctionne au niveau du réseau et peut être utilisé nativement avec de nombreux systèmes d'exploitation. Étant donné que la plupart des systèmes d'exploitation prennent en charge IPSec nativement, il peut être utilisé sans applications tierces (contrairement à OpenVPN).

IPSec est devenu un protocole très populaire à utiliser avec les VPN lorsqu'il est associé à L2TP ou IKEv2, dont nous parlerons plus en détail ci-dessous.

IPSec chiffre tout le paquet IP en utilisant:

  • En-tête d'authentification (AH), qui place une signature numérique sur chaque paquet; et
  • Encapsulating Security Protocol (ESP), qui assure la confidentialité, l'intégrité et l'authentification du paquet en cours de transmission.

Présentation d'une fuite de la NSA - Une discussion sur IPSec ne serait pas complète sans référencer une présentation NSA divulguée qui traite des protocoles IPSec compromettant NSA (L2TP et IKE). Il est difficile de tirer des conclusions concrètes sur la base de vagues références dans cette présentation datée. Néanmoins, si votre modèle de menace comprend une surveillance ciblée par des acteurs sophistiqués au niveau de l'État, vous voudrez peut-être envisager un protocole plus sécurisé, comme OpenVPN. Sur une note positive, les protocoles IPSec sont toujours largement considérés comme sûrs s'ils sont correctement mis en œuvre.

Nous allons maintenant examiner comment IPSec est utilisé avec les VPN lorsqu'ils sont couplés avec L2TP et IKEv2.

IKEv2 / IPSec

Qu'est-ce que IKEv2 / IPSec?

IKEv2 est un protocole de tunneling standardisé dans la RFC 7296 et il représente Internet Key Exchange version 2 (IKEv2). Il a été développé comme un projet conjoint entre Cisco et Microsoft. Pour être utilisé avec des VPN pour une sécurité maximale, IKEv2 est couplé avec IPSec.

La première version d'IKE (Internet Key Exchange) est sortie en 1998, la version 2 étant sortie sept ans plus tard en décembre 2005. Par rapport aux autres protocoles VPN, IKEv2 offre des avantages en termes de vitesse, de sécurité, de stabilité, d'utilisation du CPU et la possibilité de rétablir une connexion. Cela en fait un bon choix pour les utilisateurs mobiles, en particulier avec les appareils iOS (Apple) qui prennent en charge nativement IKEv2.

Installer: La configuration est généralement rapide et facile, vous obligeant à importer les fichiers de configuration pour les serveurs que vous souhaitez utiliser à partir de votre fournisseur VPN. (Voir l'exemple avec Perfect Privacy.) IKEv2 est nativement pris en charge sur Windows 7+, Mac OS 10.11+, Blackberry et iOS (iPhone et iPad), et certains appareils Android. Certains systèmes d'exploitation prennent également en charge une fonction «toujours activé», qui force tout le trafic Internet à travers le tunnel VPN, garantissant ainsi aucune fuite de données.

Chiffrement: IKEv2 utilise une large sélection d'algorithmes cryptographiques, y compris AES, Blowfish, Camellia et 3DES.

Sécurité: Un inconvénient avec IKEv2 / IPSec est qu'il est en source fermée et a été développé par Cisco et Microsoft (mais des versions open source existent). Sur une note positive, IKEv2 est largement considéré comme l'un des protocoles les plus rapides et les plus sécurisés disponibles, ce qui en fait un choix populaire auprès des utilisateurs VPN.

Performance: Dans de nombreux cas, IKEv2 est plus rapide que OpenVPN car il est moins gourmand en ressources processeur. Cependant, de nombreuses variables affectent la vitesse, ce qui peut ne pas s'appliquer dans tous les cas d'utilisation. Du point de vue des performances avec les utilisateurs mobiles, IKEv2 peut être la meilleure option car il établit bien une reconnexion.

Ports: IKEv2 utilise les ports suivants: UDP 500 pour l'échange de clés initial et UDP 4500 pour la traversée NAT.

Verdict: Conseillé.

L2TP / IPSec

Le protocole L2TP (Layer 2 Tunneling Protocol) couplé à IPSec est également un protocole VPN populaire qui est pris en charge nativement par de nombreux systèmes d'exploitation. L2TP / IPSec est normalisé dans RFC 3193 et ​​fournit la confidentialité, l'authentification et l'intégrité.

Installer: La configuration de L2TP / IPSec est généralement rapide et facile. Il est nativement pris en charge sur de nombreux systèmes d'exploitation, y compris Windows 2000 / XP +, Mac OS 10.3+, ainsi que la plupart des systèmes d'exploitation Android. Tout comme avec IKEv2 / IPSec, il vous suffit d'importer les fichiers de configuration depuis votre fournisseur VPN.

Chiffrement: L2TP / IPSec encapsule les données deux fois avec le cryptage via le protocole IPSec standard.

Sécurité: L2TP / IPSec est généralement considéré comme sécurisé et ne présente aucun problème majeur connu. Tout comme avec IKEv2 / IPSec, cependant, L2TP / IPSec a également été développé par Cisco et Microsoft, ce qui soulève des questions sur la confiance.

Performance: En termes de performances, L2TP / IPSec peut vraiment varier. D'une part, le chiffrement / déchiffrement se produit dans le noyau et il prend également en charge le multithread, ce qui devrait améliorer les vitesses. Mais d'un autre côté, parce qu'il encapsule les données en double, il peut ne pas être aussi rapide que les autres options.

Ports: L2TP / IPSEC utilise UDP 500 pour l'échange de clés initial ainsi que UDP 1701 pour la configuration initiale de L2TP et UDP 4500 pour la traversée NAT. En raison de cette dépendance à l'égard des protocoles et des ports fixes, il est plus facile de bloquer qu'OpenVPN.

Verdict: L2TP / IPSec n'est pas un mauvais choix, mais vous voudrez peut-être opter pour IKEv2 / IPSec ou OpenVPN si disponible.

WireGuard - Un nouveau protocole VPN expérimental

WireGuard est un nouveau protocole VPN expérimental qui cherche à fournir de meilleures performances et plus de sécurité sur les protocoles existants.

protège-fil

Comme nous l'avons vu dans le guide principal de WireGuard VPN, le protocole présente des avantages intéressants en termes de performances, mais il présente également quelques inconvénients notables. Les principaux inconvénients sont les suivants:

  • WireGuard reste en plein développement et n'a pas encore été audité.
  • De nombreux services VPN ont soulevé des inquiétudes quant à la capacité de WireGuard à être utilisé sans journaux (inconvénients de confidentialité).
  • Adoption très limitée par l'industrie VPN (du moins pour l'instant).
  • Pas de support pour TCP.

Installer: WireGuard n'est inclus dans aucun système d'exploitation. Cela changera probablement au fil du temps lorsqu'il sera inclus dans le noyau pour Linux, Mac OS et peut-être avec certains systèmes d'exploitation mobiles. Un nombre très limité de VPN prend en charge WireGuard - vérifiez auprès du fournisseur les instructions de configuration.

Chiffrement: WireGuard utilise Curve25519 pour l'échange de clés, ChaCha20 et Poly1305 pour l'authentification des données et BLAKE2s pour le hachage.

Sécurité: Le principal problème de sécurité avec WireGuard est qu'il n'est pas encore audité et reste en cours de développement. Il existe une poignée de VPN offrant déjà WireGuard à leurs utilisateurs à des fins de «test», mais étant donné l'état du projet, WireGuard ne devrait pas être utilisé lorsque la confidentialité et la sécurité sont importantes.

Performance: WireGuard devrait théoriquement offrir d'excellentes performances en termes de vitesse, de fiabilité et de consommation de batterie. Il peut être le protocole idéal pour les utilisateurs mobiles car il vous permet de basculer entre les interfaces réseau sans perdre la connexion. La reconnexion est également censée se produire beaucoup plus rapidement qu'avec OpenVPN et IPSec.

Ports: WireGuard utilise UDP et peut être configuré sur n'importe quel port. Malheureusement, il n'y a pas de support pour TCP, ce qui facilite le blocage.

Verdict: Pas (encore) recommandé, mais je garderai un œil sur le développement du projet.

PPTP - obsolète et non sécurisé

PPTP signifie Point-to-Point Tunneling Protocol et est l'un des plus anciens protocoles VPN encore en usage aujourd'hui. Il fonctionne sur le port TCP 1723 et a été initialement développé par Microsoft.

PPTP est désormais essentiellement obsolète en raison de graves failles de sécurité. Nous ne passerons pas trop de temps à discuter de PPTP car la plupart des gens ne l'utilisent même plus.

PPTP est pris en charge nativement sur toutes les versions de Windows et la plupart des systèmes d'exploitation. Bien qu'il soit relativement rapide, PPTP n'est pas aussi fiable et ne récupère pas aussi rapidement à partir d'une connexion interrompue qu'OpenVPN.

Dans l'ensemble, PPTP ne doit pas être utilisé dans des situations où la sécurité et la confidentialité sont importantes. Si vous utilisez simplement un VPN pour débloquer du contenu, PPTP n'est peut-être pas un mauvais choix, mais il existe des options plus sécurisées à considérer.

Verdict: Non recommandé

SSTP - Un protocole VPN pour Windows, mais pas très courant

Comme PPTP, SSTP n'est pas largement utilisé dans l'industrie VPN, mais contrairement à PPTP, il n'a pas de problèmes de sécurité connus..

SSTP signifie Protocole de tunneling de socket sécurisé et est un produit Microsoft disponible uniquement pour Windows. Le fait qu'il s'agisse d'un produit de source fermée de Microsoft est un inconvénient évident, bien que SSTP soit également considéré comme assez sécurisé..

SSTP transporte le trafic via le protocole SSL (Secure Socket Layer) sur le port TCP 443. Cela en fait un protocole utile à utiliser dans des situations de réseau restreint, comme si vous avez besoin d'un VPN pour la Chine. Il existe également un support pour d'autres systèmes d'exploitation, à l'exception de Windows, mais il n'est pas largement utilisé.

Étant donné que SSTP est une source fermée et reste entièrement sous la propriété et la maintenance de Microsoft, vous souhaiterez peut-être envisager d'autres options. Bien sûr, SSTP peut toujours être la meilleure option si tous les autres protocoles sont bloqués sur votre réseau.

En termes de performances, SSTP fonctionne bien et est rapide, stable et sécurisé. Malheureusement, très peu de fournisseurs VPN prennent en charge SSTP. Pendant de nombreuses années, ExpressVPN a pris en charge SSTP dans le client Windows, mais il n'est plus pris en charge aujourd'hui.

Verdict: SSTP peut être utile si d'autres protocoles VPN sont bloqués, mais OpenVPN serait un meilleur choix (si disponible). La plupart des VPN n'offrent aucun support pour SSTP.

OpenVPN UDP vs OpenVPN TCP

Avec OpenVPN étant le protocole VPN le plus populaire, vous pouvez généralement choisir entre deux variétés: OpenVPN UDP ou OpenVPN TCP. Alors que choisir?

Ci-dessous, je teste NordVPN, ce qui me donne la possibilité de sélectionner les protocoles TCP ou UDP.

openvpn udp vs openvpn tcp

Voici un bref aperçu des deux protocoles:

  • TCP (Transmission Control Protocol): TCP est l'option la plus fiable des deux, mais il présente certains inconvénients de performances. Avec TCP, les paquets ne sont envoyés qu'après confirmation du dernier paquet, ce qui ralentit les choses. Si la confirmation n'est pas reçue, un paquet sera simplement renvoyé - ce que l'on appelle la correction d'erreurs.
  • UDP (User Datagram Protocol): UDP est la plus rapide des deux options. Les paquets sont envoyés sans aucune confirmation, ce qui améliore la vitesse mais peut aussi ne pas être aussi fiable.

Par défaut, OpenVPN UDP serait le meilleur choix car il offre des performances supérieures à OpenVPN TCP. Si vous rencontrez des problèmes de connexion, passez à TCP pour plus de fiabilité.

TCP est souvent utilisé pour brouiller le trafic VPN pour qu'il ressemble au trafic HTTPS normal. Cela peut être fait en utilisant OpenVPN TCP sur le port 443, avec le trafic acheminé en cryptage TLS. De nombreux fournisseurs VPN proposent diverses formes d'obscurcissement pour vaincre les blocs VPN, et la plupart utilisent OpenVPN TCP.

Quel est le meilleur protocole VPN?

Comme indiqué dans mon aperçu des meilleurs services VPN, il n'y a pas de solution universelle pour chaque personne. Cela s'applique au choix d'un service VPN et également à la sélection d'un protocole VPN. Le meilleur protocole pour votre situation dépendra de plusieurs facteurs différents:

  • le dispositif vous utilisez - différents appareils prennent en charge différents protocoles.
  • Votre réseau - si vous êtes dans une situation de réseau restreint, comme en Chine ou avec des réseaux scolaires et professionnels, certains protocoles peuvent ne pas passer. Certains fournisseurs de VPN proposent des protocoles VPN désignés pour ces situations - consultez le guide VPN pour la Chine pour plus de discussion sur ce sujet.
  • Performance - Certains protocoles offrent de gros avantages en termes de performances, en particulier sur les appareils mobiles qui entrent et sortent de la connectivité.
  • Modèle de menace - Certains protocoles sont plus faibles et moins sécurisés que d'autres. Choisissez le meilleur protocole VPN pour vos besoins de sécurité et de confidentialité, compte tenu de votre modèle de menace.

En règle générale, cependant, OpenVPN est sans doute le meilleur protocole VPN complet. Il est très sécurisé, fiable, largement utilisé dans l'industrie et offre une bonne vitesse et fiabilité. Si OpenVPN n'est pas une option pour votre situation, considérez simplement les alternatives.

Avec la majorité des services VPN, OpenVPN est généralement le protocole par défaut utilisé dans leurs applications, bien que L2TP / IPSec et IKEv2 / IPSec soient courants avec les clients VPN mobiles.

Conclusion des protocoles VPN

Ce guide des protocoles VPN est destiné à servir d'aperçu de base des principaux protocoles VPN utilisés aujourd'hui: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP et SSTP.

Pour des informations plus détaillées sur chaque protocole, vous pouvez examiner les références des développeurs respectifs.

Ce guide continuera d'être mis à jour à mesure que le développement se poursuivra avec ces différents protocoles VPN.

Mis à jour le 13 août 2019.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me