openvpn vs ipsec vs wireguard ikev2


Što su VPN protokoli i zašto trebate razumjeti različite mogućnosti?

S većinom pružatelja VPN-a koji nude razne VPN protokole za odabir, dobro je znati koje su prednosti i nedostatke ovih različitih opcija kako biste mogli odabrati najbolje stajalište za vaše jedinstvene potrebe.

U ovom ćemo vodiču usporediti dva najpopularnija VPN protokola - OpenVPN vs IPSec - kao i L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP i SSTP. Time se želi dati kratki pregled prednosti i nedostataka svakog VPN protokola.

Pa, zaronimo unutra.

Koji su različiti VPN protokoli?

Što je VPN protokol?

VPN protokol je skup uputa za uspostavljanje sigurne i šifrirane veze između vašeg uređaja i VPN poslužitelja za prijenos podataka..

Većina komercijalnih VPN dobavljača nudi mnoštvo različitih VPN protokola koje možete koristiti unutar VPN klijenta. Na primjer, na snimci zaslona ispod, testiram ExpressVPN i imam mogućnost izbora OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec i PPTP.

openvpn l2tp sstp pptpOvo su različiti VPN protokoli u ExpressVPN klijentu.

Sada ćemo detaljnije pogledati razne VPN protokole.

OpenVPN

OpenVPN je svestran, VPN protokol otvorenog koda koji je razvila OpenVPN Technologies. To je vjerojatno najsigurniji i najpopularniji VPN protokol koji se danas koristi i koji je prošao razne sigurnosne revizije treće strane.

OpenVPN se općenito smatra industrijskim standardom kada se pravilno implementira i koristi SSL / TLS za razmjenu ključeva. Pruža potpunu povjerljivost, provjeru autentičnosti i integriteta, a također je vrlo fleksibilan u različitim slučajevima uporabe.

OpenVPN

Postaviti: OpenVPN zahtijeva korištenje posebnog softvera klijenta, a ne ugrađivanje u različite operativne sustave. Većina VPN usluga nudi prilagođene OpenVPN aplikacije koje se mogu koristiti na različitim operativnim sustavima i uređajima. Instalacija je obično brza i jednostavna. OpenVPN može se koristiti na svim glavnim platformama putem trećih klijenata: Windows, Mac OS, Linux, Apple iOS, Android i raznih usmjerivača (provjerite kompatibilnost firmvera).

Šifriranje: OpenVPN koristi OpenSSL biblioteku i TLS protokole za pružanje šifriranja. OpenSSL podržava niz različitih algoritama i šifri, uključujući AES, Blowfish, Camellia i ChaCha20.

sigurnosti: OpenVPN smatra se najsigurnijim dostupnim VPN protokolom, pod uvjetom da je pravilno implementiran. Nema poznate veće ranjivosti.

Izvođenje: OpenVPN nudi dobre performanse, pogotovo ako se radi preko UDP-a (User Datagram Protocol), a ne nad TCP (Transmission Control Protocol). OpenVPN je također stabilan i pouzdan bez obzira koristi li se putem bežične ili mobilne mreže. Ako imate problema s vezom, možete koristiti OpenVPN sa TCP-om koji će potvrditi sve poslane pakete, ali biće sporije.

Luke: OpenVPN se može koristiti na bilo kojem portu pomoću UDP ili TCP.

Presuda: Preporučuje se.

IPSec - Sigurnost internetskog protokola

Što je IPSec?

IPSec je sigurni paket mrežnih protokola koji provjerava i šifrira pakete podataka poslanih preko IP mreže. Zalaže se za sigurnost internetskog protokola (IPSec), a razvio ga je Internet Engineering Task Force. Za razliku od SSL-a, koji radi na aplikacijskoj razini, IPSec djeluje na mrežnoj razini i može se izvorno koristiti s mnogim operativnim sustavima. Budući da većina operativnih sustava izvorno podržava IPSec, on se može koristiti bez trećih aplikacija (za razliku od OpenVPN).

IPSec je postao vrlo popularan protokol za korištenje s VPN-ovima kada su upareni s L2TP ili IKEv2, o čemu ćemo više raspravljati u nastavku.

IPSec šifrira cijeli IP paket koristeći:

  • Ovjera autentifikacije (AH) koja na svaki paket stavlja digitalni potpis; i
  • Inkapsuliranje sigurnosnog protokola (ESP), koji povjerljivost, integritet i provjeru autentičnosti paketa u prijenosu.

Procurila je prezentacija NSA-e - Rasprava o IPSecu ne bi bila potpuna bez navođenja procurjele prezentacije NSA koja govori o NSA koji kompromitiraju IPSec protokole (L2TP i IKE). Teško je doći do bilo kakvih konkretnih zaključaka na temelju nejasnih referenci u ovom datumskom izlaganju. Unatoč tome, ako vaš model prijetnji uključuje ciljani nadzor sofisticiranih aktera na državnoj razini, možda biste trebali razmotriti sigurniji protokol, poput OpenVPN-a. Pozitivno se smatra da se IPSec protokoli još uvijek smatraju sigurnim ako se pravilno provode.

Sada ćemo ispitati kako se IPSec koristi s VPN-ovima kada su upareni s L2TP i IKEv2.

IKEv2 / IPSec

Što je IKEv2 / IPSec?

IKEv2 je protokol za tuneliranje koji je standardiziran u RFC 7296 i zalaže se za Internet Exchange Exchange inačicu 2 (IKEv2). Razvijen je kao zajednički projekt Cisca i Microsofta. Da bi se koristio s VPN-ovima za maksimalnu sigurnost, IKEv2 je uparen s IPSec-om.

Prva verzija IKE (Internet Key Exchange) izašla je 1998. godine, a verzija 2 objavljena je sedam godina kasnije u prosincu 2005. U usporedbi s drugim VPN protokolima, IKEv2 nudi prednosti u pogledu brzine, sigurnosti, stabilnosti, upotrebe CPU-a i sposobnost uspostavljanja veze. To ga čini dobrim izborom za mobilne korisnike, posebno sa iOS (Apple) uređajima koji izvorno podržavaju IKEv2.

Postaviti: Postavljanje je općenito brzo i jednostavno, zahtijeva od vas da uvezete konfiguracijske datoteke za poslužitelje koje želite koristiti od svog davatelja VPN-a. (Pogledajte primjer savršene privatnosti.) IKEv2 izvorno je podržan na Windows 7+, Mac OS 10.11+, BlackBerryu i iOS-u (iPhone i iPad) i nekim Android uređajima. Neki operativni sustavi također podržavaju funkciju "uvijek uključeno" koja prisiljava sav internetski promet putem VPN tunela, osiguravajući tako da nema propuštanja podataka.

Šifriranje: IKEv2 koristi veliki izbor kriptografskih algoritama, uključujući AES, Blowfish, Camellia i 3DES.

sigurnosti: Jedan nedostatak kod IKEv2 / IPSec je taj što je zatvoreni izvor, a razvili su ga Cisco i Microsoft (ali postoje otvorene verzije). Pozitivno, IKEv2 se smatra jednim od najbržih i najsigurnijih dostupnih protokola, što ga čini popularnim izborom kod VPN korisnika..

Izvođenje: U mnogim slučajevima IKEv2 je brži od OpenVPN-a jer je manje CPU-intenzivan. Međutim, postoje brojne varijable koje utječu na brzinu, tako da se to ne može primjenjivati ​​u svim slučajevima uporabe. Sa stajališta performansi kod mobilnih korisnika, IKEv2 bi mogao biti najbolja opcija jer dobro uspostavlja ponovno uspostavljanje veze.

Luke: IKEv2 koristi sljedeće portove: UDP 500 za početnu razmjenu ključeva i UDP 4500 za NAT prolazak.

Presuda: Preporučuje se.

L2TP / IPSec

Protokol tuneliranja sloja 2 (L2TP) uparen s IPSecom također je popularan VPN protokol koji izvorno podržava mnogi operativni sustavi. L2TP / IPSec standardiziran je u RFC 3193 i pruža povjerljivost, autentičnost i integritet.

Postaviti: Postavljanje L2TP / IPSec općenito je brzo i jednostavno. Izvorno je podržan na mnogim operativnim sustavima, uključujući Windows 2000 / XP +, Mac OS 10.3+, kao i na većini operativnih sustava Android. Baš kao kod IKEv2 / IPSec, jednostavno morate uvesti konfiguracijske datoteke od svog VPN davatelja.

Šifriranje: L2TP / IPSec dvaput enkapsulira podatke s enkripcijom koja dolazi putem standardnog IPSec protokola.

sigurnosti: L2TP / IPSec općenito se smatra sigurnim i nema većih poznatih problema. Kao i kod IKEv2 / IPSec, i L2TP / IPSec su također razvili Cisco i Microsoft, što postavlja pitanja o povjerenju.

Izvođenje: U pogledu performansi L2TP / IPSec mogu stvarno varirati. Kod jedrenja se događa enkripcija / dešifriranje s jedne strane, a podržava i višestruko navojenje, što bi trebalo poboljšati brzinu. Ali s druge strane, jer dvostruko kapsulira podatke, možda neće biti tako brz kao ostale opcije.

Luke: L2TP / IPSEC koristi UDP 500 za početnu razmjenu ključeva kao i UDP 1701 za početnu L2TP konfiguraciju i UDP 4500 za NAT prolazak. Zbog tog oslanjanja na fiksne protokole i portove, blokada je lakša od OpenVPN-a.

Presuda: L2TP / IPSec nije loš izbor, ali možda se želite odlučiti za IKEv2 / IPSec ili OpenVPN ako su dostupni.

WireGuard - Novi i eksperimentalni VPN protokol

WireGuard je novi i eksperimentalni VPN protokol koji nastoji pružiti bolje performanse i veću sigurnost u odnosu na postojeće protokole.

wireguard

Kao što smo opisali u glavnom WireGuard VPN vodiču, protokol ima neke zanimljive prednosti u pogledu performansi, ali ima i nekoliko značajnih nedostataka. Glavni nedostaci su sljedeći:

  • WireGuard je i dalje u teškom razvoju i još nije revidiran.
  • Mnoge VPN usluge postavile su zabrinutost zbog mogućnosti WireGuarda da se koristi bez zapisnika (nedostaci privatnosti).
  • Vrlo ograničeno usvajanje od strane VPN industrije (barem zasad).
  • Nema podrške za TCP.

Postaviti: WireGuard nije uključen ni u jedan operativni sustav. To će se vremenom vjerojatno promijeniti kad je uključeno u kernel za Linux, Mac OS i možda s nekim mobilnim operativnim sustavima. Vrlo ograničen broj VPN-ova podržava WireGuard - potražite upute dobavljača kod davatelja usluga.

Šifriranje: WireGuard koristi Curve25519 za razmjenu ključeva, ChaCha20 i Poly1305 za provjeru autentičnosti podataka i BLAKE2 za hashing.

sigurnosti: Glavni sigurnosni problem WireGuarda je to što još nije izvršena revizija i ostaje u teškom razvoju. Postoji nekoliko VPN-ova koji već nude WireGuard svojim korisnicima u svrhu testiranja, ali s obzirom na stanje projekta, WireGuard se ne smije koristiti kada su privatnost i sigurnost važni..

Izvođenje: WireGuard bi teoretski trebao ponuditi izvrsne performanse u pogledu brzine, pouzdanosti, a također i potrošnje baterije. Možda je idealan protokol za mobilne korisnike jer vam omogućuje prebacivanje između mrežnih sučelja bez gubitka veze. Ponovno povezivanje se također treba dogoditi mnogo brže nego kod OpenVPN-a i IPSeca.

Luke: WireGuard koristi UDP i može se konfigurirati na bilo koji ulaz. Nažalost, ne postoji podrška za TCP, što ga čini lakšim za blokiranje.

Presuda: Nije (još) preporučeno, ali pratit ću razvoj projekta.

PPTP - zastario je i nije siguran

PPTP označava Protokol tuneliranja od točke do točke i jedan je od najstarijih VPN protokola koji se i danas koristi. Radi na TCP priključku 1723, a u početku ga je razvio Microsoft.

PPTP je sada u suštini zastario zbog ozbiljnih sigurnosnih ranjivosti. Nećemo trošiti previše vremena na raspravu o PPTP-u jer ga većina ljudi više niti ne koristi.

PPTP je izvorno podržan na svim verzijama sustava Windows i većini operativnih sustava. Iako je relativno brz, PPTP nije tako pouzdan i ne obnavlja se tako brzo od prekinutih veza kao OpenVPN.

Općenito, PPTP se ne smije koristiti u bilo kojoj situaciji u kojoj je važna sigurnost i privatnost. Ako samo koristite VPN za deblokiranje sadržaja, PPTP možda nije loš izbor, ali postoje sigurnije opcije koje vrijedi razmotriti.

Presuda: Ne preporučuje se

SSTP - VPN protokol za Windows, ali nije baš čest

Kao i PPTP, SSTP se ne koristi naširoko u industriji VPN-a, ali za razliku od PPTP-a, on nema glavnih poznatih sigurnosnih problema.

SSTP je kratica Sigurni protokol tuneliranja utičnica i Microsoftov je proizvod dostupan samo za Windows. Činjenica da je riječ o Microsoftovom proizvodu iz zatvorenog izvora očit je nedostatak, iako se SSTP također smatra prilično sigurnim.

SSTP prenosi promet putem protokola SSL (Secure Socket Layer) preko TCP priključka 443. To ga čini korisnim protokolom za korištenje u ograničenim mrežnim situacijama, primjerice ako vam treba VPN za Kinu. Postoji podrška i za druge operativne sustave, osim Windowsa, ali on se ne koristi široko.

Budući da je SSTP zatvoreni izvor i potpuno je u vlasništvu Microsofta, možda biste trebali razmotriti druge mogućnosti. Naravno, SSTP je i dalje najbolja opcija ako se blokiraju svi ostali protokoli na vašoj mreži.

U pogledu performansi, SSTP dobro radi i brz je, stabilan i siguran. Nažalost, vrlo malo VPN pružatelja usluga podržava SSTP. Dugi niz godina ExpressVPN podržava Windows SSTP u Windows klijentu, ali danas ga više nema.

Presuda: SSTP može biti koristan ako se drugi VPN protokoli blokiraju, ali OpenVPN bi bio bolji izbor (ako je dostupan). Većina VPN-a ne nudi podršku za SSTP.

OpenVPN UDP vs OpenVPN TCP

S obzirom da je OpenVPN najpopularniji VPN protokol, obično možete odabrati između dvije vrste: OpenVPN UDP ili OpenVPN TCP. Pa što odabrati?

Ispod testiram NordVPN koji mi daje mogućnost odabira TCP ili UDP protokola.

openvpn udp vs openvpn tcp

Evo kratkog pregleda oba protokola:

  • TCP (Protokol kontrole prijenosa): TCP je pouzdanija opcija od dva, ali dolazi s nekim nedostatkom performansi. Uz TCP, paketi se šalju tek nakon što je potvrđeno da je stigao i posljednji paket, pa usporavaju stvari. Ako potvrda ne bude primljena, paket će se jednostavno resetirati - što je poznato i kao ispravljanje pogrešaka.
  • UDP (User Datagram Protocol): UDP je najbrži od dvije mogućnosti. Paketi se šalju bez ikakve potvrde, što poboljšava brzinu, ali također možda nije toliko pouzdano.

OpenVPN UDP bi prema zadanim postavkama bio bolji izbor jer nudi superiorne performanse u odnosu na OpenVPN TCP. Ako imate problema s vezom, prebacite se na TCP radi veće pouzdanosti.

TCP se često koristi za obmanjivanje VPN prometa kako bi izgledao kao uobičajeni HTTPS promet. To se može učiniti pomoću OpenVPN TCP-a na priključku 443, s prometom usmjerenim u TLS enkripciju. Mnogi davatelji VPN-a nude razne oblike zamračenja da poraze VPN blokove i većina ih koristi OpenVPN TCP.

Koji je najbolji VPN protokol?

Kao što je napomenuto u mom pregledu najboljih VPN usluga, ne postoji rješenje za svakoga čovjeka. Ovo se odnosi na odabir VPN usluge i na odabir VPN protokola. Najbolji protokol za vašu situaciju ovisit će o nekoliko različitih faktora:

  • uređaj koji koristite - različiti uređaji podržavaju različite protokole.
  • vaš mreža - ako ste u mreži s ograničenom mrežom, poput Kine ili školske i radne mreže, neki se protokoli možda neće probiti. Neki pružatelji VPN-a nude određeni VPN protokol za ove situacije - pogledajte Vodič za VPN za Kinu radi više rasprava o ovoj temi..
  • Izvođenje - Neki protokoli nude velike prednosti u pogledu performansi, posebno na mobilnim uređajima koji dolaze i izlaze iz povezanosti.
  • Model prijetnje - Neki su protokoli slabiji i manje sigurni od drugih. Odaberite najbolji VPN protokol za vaše sigurnosne i privatne potrebe s obzirom na vaš model prijetnji.

Kao opće pravilo, međutim, OpenVPN je vjerojatno najbolji sveobuhvatni VPN protokol. Vrlo je siguran, pouzdan, široko korišten u industriji, a nudi dobru brzinu i pouzdanost. Ako OpenVPN nije opcija za vašu situaciju, jednostavno razmotrite alternative.

S većinom VPN usluga, OpenVPN je općenito zadani protokol koji se koristi u njihovim aplikacijama, iako su L2TP / IPSec i IKEv2 / IPSec uobičajeni s mobilnim VPN klijentima.

Zaključak VPN protokola

Ovaj vodič za VPN protokole trebao bi služiti kao osnovni pregled glavnih VPN protokola koji se danas koriste: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP i SSTP.

Za detaljnije informacije o svakom protokolu možete ispitati reference odgovarajućih programera.

Ovaj će se vodič i dalje ažurirati s nastavljanjem razvoja s ovim različitim VPN protokolima.

Posljednje ažuriranje 13. kolovoza 2019. godine.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me