openvpn vs ipsec vs wireguard ikev2


Care sunt protocoalele VPN și de ce trebuie să înțelegeți diferitele opțiuni?

Cu majoritatea furnizorilor VPN care oferă o varietate de protocoale VPN din care să alegeți, este bine să cunoașteți avantajele și contra contra acestor opțiuni diferite, astfel încât să puteți selecta cea mai potrivită pentru nevoile dvs. unice..

În acest ghid vom compara cele mai populare protocoale VPN - OpenVPN vs IPSec - precum și L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP și SSTP. Acest lucru este menit să vă ofere o scurtă privire de ansamblu a argumentelor pro și contra ale fiecărui protocol VPN.

Deci, să ne scufundăm.

Care sunt diferitele protocoale VPN?

Ce este un protocol VPN?

Un protocol VPN este un set de instrucțiuni pentru a stabili o conexiune sigură și criptată între dispozitivul dvs. și un server VPN pentru transmiterea datelor.

Majoritatea furnizorilor VPN comerciali oferă o varietate de protocoale VPN diferite pe care le puteți utiliza în cadrul clientului VPN. De exemplu, în imaginea de mai jos, testez ExpressVPN și am opțiunea de a selecta OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec și PPTP.

openvpn l2tp sstp pptpAcestea sunt diferitele protocoale VPN din clientul ExpressVPN.

Acum vom arunca o privire mai atentă asupra diferitelor protocoale VPN.

OpenVPN

OpenVPN este un protocol VPN versatil și open source dezvoltat de OpenVPN Technologies. Este probabil cel mai sigur și cel mai popular protocol VPN utilizat în prezent și a trecut prin diverse audituri de securitate ale unor terțe părți.

OpenVPN este în general considerat a fi standardul industriei atunci când este implementat corect și folosește SSL / TLS pentru schimbul de chei. Oferă confidențialitate completă, autentificare și integritate și este, de asemenea, foarte flexibil cu diverse cazuri de utilizare.

OpenVPN

Înființat: OpenVPN necesită utilizarea unui software special pentru clienți, în loc să fie construit în sisteme de operare diferite. Majoritatea serviciilor VPN oferă aplicații personalizate OpenVPN, care pot fi utilizate pe diferite sisteme de operare și dispozitive. Instalarea este de obicei rapidă și simplă. OpenVPN poate fi folosit pe toate platformele majore prin intermediul unor clienți terți: Windows, Mac OS, Linux, Apple iOS, Android și diverse routere (verificați compatibilitatea cu firmware-ul).

Criptarea: OpenVPN folosește biblioteca OpenSSL și protocoalele TLS pentru a oferi criptare. OpenSSL acceptă o serie de algoritmi și cifrări diferite, inclusiv AES, Blowfish, Camellia și ChaCha20.

Securitate: OpenVPN este considerat cel mai sigur protocol VPN disponibil, cu condiția să fie implementat corect. Nu are vulnerabilități majore cunoscute.

Performanţă: OpenVPN oferă performanțe bune, mai ales dacă este executat peste UDP (User Datagram Protocol), mai degrabă decât TCP (Transmission Control Protocol). OpenVPN este, de asemenea, stabil și fiabil, indiferent dacă este utilizat în rețele wireless sau celulare. Dacă aveți probleme de conectare, puteți utiliza OpenVPN cu TCP, care va confirma toate pachetele trimise, dar va fi mai lent.

porturi: OpenVPN poate fi utilizat pe orice port folosind UDP sau TCP.

Verdict: Foarte recomandat.

IPSec - Internet Protocol Security

Ce este IPSec?

IPSec este o suită de protocoale de rețea sigură care autentifică și criptează pachetele de date trimise printr-o rețea IP. Reprezintă Internet Protocol Security (IPSec) și a fost dezvoltat de Internet Engineering Task Force. Spre deosebire de SSL, care funcționează la nivel de aplicație, IPSec funcționează la nivel de rețea și poate fi utilizat nativ cu multe sisteme de operare. Deoarece majoritatea sistemelor de operare acceptă nativ IPSec, acesta poate fi utilizat fără aplicații terțe (spre deosebire de OpenVPN).

IPSec a devenit un protocol foarte popular de utilizat cu VPN-urile atunci când este asociat cu L2TP sau IKEv2, despre care vom discuta mai jos.

IPSec criptează întregul pachet IP folosind:

  • Antet de autentificare (AH), care plasează o semnătură digitală pe fiecare pachet; și
  • Encapsulating Security Protocol (ESP), care confidențialitatea, integritatea și autentificarea pachetului în transmisie.

Prezentare NSA scursă - O discuție despre IPSec nu ar fi completă fără a face referire la o prezentare NSA scursă care discută despre protocoalele IPSec compromise NSA (L2TP și IKE). Este dificil să ajungeți la concluzii concrete bazate pe referințe vagi în această prezentare datată. Cu toate acestea, dacă modelul dvs. de amenințare include supravegherea direcționată de la actori sofisticate la nivel de stat, poate doriți să luați în considerare un protocol mai sigur, cum ar fi OpenVPN. Pe o notă pozitivă, protocoalele IPSec sunt încă considerate a fi sigure dacă sunt implementate corect.

Acum vom examina modul în care IPSec este utilizat cu VPN-urile atunci când este asociat cu L2TP și IKEv2.

IKEv2 / IPSec

Ce este IKEv2 / IPSec?

IKEv2 este un protocol de tunelare care este standardizat în RFC 7296 și este pentru Internet Key Exchange versiunea 2 (IKEv2). A fost dezvoltat ca un proiect comun între Cisco și Microsoft. Pentru a fi utilizat cu VPN-uri pentru securitate maximă, IKEv2 este asociat cu IPSec.

Prima versiune a IKE (Internet Key Exchange) a apărut în 1998, versiunea 2 fiind lansată șapte ani mai târziu în decembrie 2005. În comparație cu alte protocoale VPN, IKEv2 oferă avantaje în ceea ce privește viteza, securitatea, stabilitatea, utilizarea procesorului și capacitatea de a restabili o conexiune. Aceasta o face o alegere bună pentru utilizatorii de telefonie mobilă, în special cu dispozitivele iOS (Apple) care acceptă nativ IKEv2.

Înființat: În general, configurarea este rapidă și ușoară, necesitând să importați fișierele de configurare pentru serverele pe care doriți să le utilizați de la furnizorul VPN. (Consultați exemplu cu Perfect Privacy.) IKEv2 este acceptat nativ pe Windows 7+, Mac OS 10.11+, Blackberry și iOS (iPhone și iPad) și unele dispozitive Android. Unele sisteme de operare acceptă, de asemenea, o funcție „mereu pornită”, care forțează tot traficul de internet prin tunelul VPN, asigurând astfel scurgeri de date.

Criptarea: IKEv2 folosește o selecție mare de algoritmi criptografici, incluzând AES, Blowfish, Camellia și 3DES.

Securitate: Un dezavantaj cu IKEv2 / IPSec este că este sursă închisă și a fost dezvoltat de Cisco și Microsoft (dar există versiuni open source). Pe o notă pozitivă, IKEv2 este considerat pe scară largă printre cele mai rapide și sigure protocoale disponibile, ceea ce face o alegere populară pentru utilizatorii VPN.

Performanţă: În multe cazuri IKEv2 este mai rapid decât OpenVPN, deoarece este mai puțin intensiv în procesor. Cu toate acestea, există numeroase variabile care afectează viteza, deci este posibil să nu se aplice în toate cazurile de utilizare. Din punct de vedere al performanței cu utilizatorii de telefonie mobilă, IKEv2 poate fi cea mai bună opțiune, deoarece se stabilește bine o reconectare.

porturi: IKEv2 folosește următoarele porturi: UDP 500 pentru schimbul de chei inițial și UDP 4500 pentru traversarea NAT.

Verdict: Recomandat.

L2TP / IPSec

Protocolul de tunelare (L2TP) strat 2 asociat cu IPSec este, de asemenea, un protocol VPN popular care este suportat nativ de multe sisteme de operare. L2TP / IPSec este standardizat în RFC 3193 și oferă confidențialitate, autentificare și integritate.

Înființat: Configurarea L2TP / IPSec este în general rapidă și ușoară. Este suportat nativ pe mai multe sisteme de operare, inclusiv Windows 2000 / XP +, Mac OS 10.3+, precum și pe majoritatea sistemelor de operare Android. La fel ca în cazul IKEv2 / IPSec, trebuie pur și simplu să importați fișierele de configurare de la furnizorul dumneavoastră VPN.

Criptarea: L2TP / IPSec încapsulează datele de două ori cu criptarea venită prin protocolul IPSec standard.

Securitate: L2TP / IPSec este considerat în general sigur și nu are probleme majore cunoscute. La fel ca în cazul IKEv2 / IPSec, L2TP / IPSec a fost dezvoltat și de Cisco și Microsoft, ceea ce ridică întrebări despre încredere.

Performanţă: În ceea ce privește performanța, L2TP / IPSec poate varia cu adevărat. Unul de criptare / decriptare o singură mână are loc în nucleu și suportă, de asemenea, multi-threading, ceea ce ar trebui să îmbunătățească viteza. Pe de altă parte, deoarece încapsulează dublu datele, este posibil să nu fie la fel de rapid ca alte opțiuni.

porturi: L2TP / IPSEC folosește UDP 500 pentru schimbul inițial de chei, precum și UDP 1701 pentru configurația inițială L2TP și UDP 4500 pentru traversarea NAT. Datorită acestei dependențe de protocoale și porturi fixe, este mai ușor de blocat decât OpenVPN.

Verdict: L2TP / IPSec nu este o alegere proastă, dar poate doriți să optați pentru IKEv2 / IPSec sau OpenVPN, dacă este disponibil.

WireGuard - Un protocol VPN nou și experimental

WireGuard este un protocol VPN nou și experimental, care urmărește să ofere o performanță mai bună și mai multă securitate asupra protocoalelor existente.

wireguard

Așa cum am inclus în principalul ghid VPN WireGuard, protocolul are câteva avantaje interesante în ceea ce privește performanța, dar vine și cu câteva dezavantaje notabile. Principalele dezavantaje sunt următoarele:

  • WireGuard rămâne în plină dezvoltare și nu a fost încă auditat.
  • Multe servicii VPN au ridicat îngrijorare cu privire la capacitatea WireGuard de a fi utilizate fără jurnalele dezavantajelor (confidențialitate).
  • Adoptarea foarte limitată de către industria VPN (cel puțin deocamdată).
  • Fără suport pentru TCP.

Înființat: WireGuard nu este inclus în niciun sistem de operare. Acest lucru se va schimba probabil în timp, atunci când este inclus în kernel pentru Linux, Mac OS și poate cu unele sisteme de operare mobile. Un număr foarte limitat de VPN-uri acceptă WireGuard - consultați furnizorul pentru instrucțiuni de configurare.

Criptarea: WireGuard folosește Curve25519 pentru schimbul de chei, ChaCha20 și Poly1305 pentru autentificarea datelor și BLAKE2s pentru hashing.

Securitate: Problema principală de securitate cu WireGuard este că nu este încă auditată și rămâne în plină dezvoltare. Există deja o mână de VPN-uri care oferă WireGuard utilizatorilor lor în scopuri de „testare”, dar, având în vedere starea proiectului, WireGuard nu trebuie utilizat atunci când confidențialitatea și securitatea sunt importante.

Performanţă: WireGuard ar trebui să ofere teoretic performanțe excelente în ceea ce privește viteza, fiabilitatea și, de asemenea, consumul de baterie. Poate fi protocolul ideal pentru utilizatorii de telefonie mobilă, deoarece vă permite să comutați între interfețele de rețea fără a pierde conexiunea. Re-conectarea se presupune că se va întâmpla mult mai repede decât cu OpenVPN și IPSec.

porturi: WireGuard folosește UDP și poate fi configurat pe orice port. Din păcate, nu există suport pentru TCP, ceea ce face mai ușor blocarea.

Verdict: Nu (încă) recomandat, dar voi urmări dezvoltarea proiectului.

PPTP - depășit și nu este sigur

PPTP reprezintă Protocolul de tunelare punct la punct și este unul dintre cele mai vechi protocoale VPN încă utilizate în prezent. Acesta rulează pe portul TCP 1723 și a fost inițial dezvoltat de Microsoft.

PPTP este acum în esență învechit din cauza vulnerabilităților grave de securitate. Nu vom petrece prea mult timp discutând PPTP, deoarece majoritatea oamenilor nici măcar nu-l mai folosesc.

PPTP este acceptat nativ pe toate versiunile de Windows și majoritatea sistemelor de operare. Deși este relativ rapid, PPTP nu este la fel de fiabil și nu se recuperează la fel de rapid dintr-o conexiune abandonată ca OpenVPN.

În general, PPTP nu trebuie utilizat în nicio situație în care securitatea și confidențialitatea sunt importante. Dacă utilizați doar un VPN pentru deblocarea conținutului, este posibil ca PPTP să nu fie o alegere proastă, dar există opțiuni mai sigure care merită luate în considerare.

Verdict: Nu se recomandă

SSTP - Un protocol VPN pentru Windows, dar nu este foarte comun

Ca și PPTP, SSTP nu este utilizat pe scară largă în industria VPN, dar spre deosebire de PPTP, nu are probleme majore de securitate cunoscute..

SSTP înseamnă Protocol de securizare a tunelului de priză și este un produs Microsoft care este disponibil doar pentru Windows. Faptul că este un produs sursă închisă de la Microsoft este un dezavantaj evident, deși SSTP este de asemenea considerat a fi destul de sigur.

SSTP transportă traficul prin protocolul SSL (Secure Socket Layer) prin portul TCP 443. Acest lucru îl face un protocol util de utilizat în situații de rețea restrânse, cum ar fi dacă ai nevoie de un VPN pentru China. Există, de asemenea, suport pentru alte sisteme de operare, în afară de Windows, dar nu este utilizat pe scară largă.

Deoarece SSTP este sursă închisă și rămâne în întregime sub proprietatea și întreținerea Microsoft, poate doriți să luați în considerare alte opțiuni. Desigur, SSTP poate fi în continuare cea mai bună opțiune dacă toate celelalte protocoale sunt blocate în rețea.

În ceea ce privește performanța, SSTP merge bine și este rapid, stabil și sigur. Din păcate, foarte puțini furnizori VPN acceptă SSTP. Timp de mai mulți ani, ExpressVPN a acceptat SSTP în clientul Windows, dar nu mai este acceptat astăzi.

Verdict: SSTP poate fi utilă dacă se blochează alte protocoale VPN, dar OpenVPN ar fi o alegere mai bună (dacă este disponibil). Majoritatea VPN-urilor nu oferă niciun suport pentru SSTP.

OpenVPN UDP vs OpenVPN TCP

Cu OpenVPN fiind cel mai popular protocol VPN, puteți selecta, de obicei, două tipuri: OpenVPN UDP sau OpenVPN TCP. Deci, care să aleagă?

Mai jos testez NordVPN, ceea ce îmi oferă opțiunea de a selecta protocoalele TCP sau UDP.

openvpn udp vs openvpn tcp

Iată un scurt rezumat al ambelor protocoale:

  • TCP (Protocol de control al transmisiei): TCP este opțiunea mai fiabilă dintre cei doi, dar vine cu unele dezavantaje ale performanței. Cu TCP, pachetele sunt trimise numai după ce ultimul pachet este confirmat că a sosit, astfel încetinind lucrurile. Dacă nu se primește confirmarea, un pachet va fi redresat - ceea ce este cunoscut sub numele de corectarea erorilor.
  • UDP (User Datagram Protocol): UDP este cea mai rapidă dintre cele două opțiuni. Pachetele sunt trimise fără nicio confirmare, ceea ce îmbunătățește viteza, dar poate să nu fie la fel de fiabilă.

În mod implicit, OpenVPN UDP ar fi alegerea mai bună, deoarece oferă performanțe superioare TCP OpenVPN. Dacă întâmpinați probleme de conectare, treceți la TCP pentru mai multă fiabilitate.

TCP este adesea folosit pentru obuscarea traficului VPN pentru a arăta ca un trafic HTTPS obișnuit. Acest lucru se poate face folosind OpenVPN TCP pe portul 443, cu traficul dirijat în criptarea TLS. Mulți furnizori VPN oferă diverse forme de ofuscă pentru a învinge blocurile VPN, iar majoritatea utilizează OpenVPN TCP.

Care este cel mai bun protocol VPN?

Așa cum am menționat în rezumatul meu asupra celor mai bune servicii VPN, nu există o soluție adecvată pentru fiecare persoană. Aceasta se aplică alegerii unui serviciu VPN și selectării, de asemenea, a unui protocol VPN. Cel mai bun protocol pentru situația dvs. va depinde de câțiva factori diferiți:

  • dispozitiv utilizați - diferite dispozitive acceptă protocoale diferite.
  • Ta reţea - dacă vă aflați într-o situație de rețea restrânsă, cum ar fi în China sau cu rețele de școală și de muncă, este posibil ca unele protocoale să nu ajungă. Unii furnizori VPN oferă protocoale VPN desemnate pentru aceste situații - consultați ghidul VPN pentru China pentru mai multe discuții pe acest subiect..
  • Performanţă - Unele protocoale oferă avantaje mari în ceea ce privește performanța, în special pe dispozitivele mobile care intră și ies din conectivitate.
  • Model de amenințare - Unele protocoale sunt mai slabe și mai puțin sigure decât altele. Alegeți cel mai bun protocol VPN pentru nevoile dvs. de securitate și confidențialitate, având în vedere modelul dvs. de amenințare.

Ca regulă generală, cu toate acestea, OpenVPN este, probabil, cel mai bun protocol VPN all-around. Este foarte sigur, de încredere, utilizat pe scară largă în industrie și oferă viteză și fiabilitate bună. Dacă OpenVPN nu este o opțiune pentru situația dvs., pur și simplu luați în considerare alternativele.

Cu majoritatea serviciilor VPN, OpenVPN este, în general, protocolul implicit utilizat în aplicațiile lor, deși L2TP / IPSec și IKEv2 / IPSec sunt comune cu clienții VPN mobili.

Încheierea protocoalelor VPN

Acest ghid de protocoale VPN are rolul de a servi drept o imagine de ansamblu de bază a principalelor protocoale VPN utilizate astăzi: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP și SSTP.

Pentru informații mai detaliate despre fiecare protocol, puteți examina referințele de la dezvoltatorii respectivi.

Acest ghid va continua să fie actualizat pe măsură ce dezvoltarea continuă cu aceste protocoale VPN diferite.

Actualizat la 13 august 2019.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me