openvpn vs ipsec vs wireguard ikev2


Co to są protokoły VPN i dlaczego musisz zrozumieć różne opcje?

Ponieważ większość dostawców VPN oferuje różnorodne protokoły VPN do wyboru, dobrze jest poznać zalety i wady tych różnych opcji, abyś mógł wybrać najlepsze dopasowanie do swoich unikalnych potrzeb.

W tym przewodniku porównamy dwa najpopularniejsze protokoły VPN - OpenVPN vs IPSec - a także L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP i SSTP. Ma to na celu dać ci krótki przegląd zalet i wad każdego protokołu VPN.

Zanurzmy się.

Jakie są różne protokoły VPN?

Co to jest protokół VPN?

Protokół VPN to zestaw instrukcji ustanawiających bezpieczne i szyfrowane połączenie między urządzeniem a serwerem VPN w celu przesyłania danych.

Większość komercyjnych dostawców VPN oferuje wiele różnych protokołów VPN, z których można korzystać w kliencie VPN. Na przykład na poniższym zrzucie ekranu testuję ExpressVPN i mam opcję wyboru OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec i PPTP.

openvpn l2tp sstp pptpSą to różne protokoły VPN w kliencie ExpressVPN.

Teraz przyjrzymy się bliżej różnym protokołom VPN.

OpenVPN

OpenVPN to wszechstronny protokół VPN typu open source opracowany przez OpenVPN Technologies. Jest to prawdopodobnie najbezpieczniejszy i najpopularniejszy obecnie używany protokół VPN i przeszedł różne audyty bezpieczeństwa innych firm.

OpenVPN jest ogólnie uważany za standard branżowy, jeśli jest odpowiednio wdrożony i używa SSL / TLS do wymiany kluczy. Zapewnia pełną poufność, uwierzytelnianie i integralność, a także jest bardzo elastyczny w przypadku różnych zastosowań.

openvpn

Ustawiać: OpenVPN wymaga specjalnego oprogramowania klienckiego do używania, a nie wbudowanego w różne systemy operacyjne. Większość usług VPN zapewnia niestandardowe aplikacje OpenVPN, których można używać w różnych systemach operacyjnych i urządzeniach. Instalacja jest zwykle szybka i prosta. OpenVPN może być używany na wszystkich głównych platformach za pośrednictwem klientów innych firm: Windows, Mac OS, Linux, Apple iOS, Android i różnych routerów (sprawdź zgodność oprogramowania układowego).

Szyfrowanie: OpenVPN korzysta z biblioteki OpenSSL i protokołów TLS w celu zapewnienia szyfrowania. OpenSSL obsługuje wiele różnych algorytmów i szyfrów, w tym AES, Blowfish, Camellia i ChaCha20.

Bezpieczeństwo: OpenVPN jest uważany za najbezpieczniejszy dostępny protokół VPN, pod warunkiem, że jest poprawnie wdrożony. Nie ma żadnych znanych poważnych luk w zabezpieczeniach.

Występ: OpenVPN oferuje dobrą wydajność, szczególnie jeśli działa na UDP (User Datagram Protocol), a nie na TCP (Transmission Control Protocol). OpenVPN jest również stabilny i niezawodny, niezależnie od tego, czy jest używany w sieciach bezprzewodowych czy komórkowych. Jeśli masz problemy z połączeniem, możesz użyć OpenVPN z TCP, który potwierdzi wszystkie wysłane pakiety, ale będzie wolniejszy.

Porty: OpenVPN może być używany na dowolnym porcie za pomocą UDP lub TCP.

Werdykt: Wysoce polecany.

IPSec - Bezpieczeństwo protokołu internetowego

Co to jest IPSec?

IPSec to bezpieczny pakiet protokołów sieciowych, który uwierzytelnia i szyfruje pakiety danych wysyłane przez sieć IP. Oznacza Internet Protocol Security (IPSec) i został opracowany przez Internet Engineering Task Force. W przeciwieństwie do SSL, który działa na poziomie aplikacji, IPSec działa na poziomie sieci i może być używany natywnie z wieloma systemami operacyjnymi. Ponieważ większość systemów operacyjnych obsługuje natywnie IPSec, można go używać bez aplikacji innych firm (w przeciwieństwie do OpenVPN).

Protokół IPSec stał się bardzo popularnym protokołem do użytku z sieciami VPN po sparowaniu z L2TP lub IKEv2, które omówimy poniżej.

IPSec szyfruje cały pakiet IP za pomocą:

  • Authentication Header (AH), który umieszcza podpis cyfrowy na każdym pakiecie; i
  • Encapsaping Security Protocol (ESP), który poufność, integralność i uwierzytelnianie pakietu w transmisji.

Wyciekła prezentacja NSA - Dyskusja na temat IPSec nie byłaby kompletna bez odniesienia do wyciekającej prezentacji NSA, która omawia kompromisowe protokoły IPSec NSA (L2TP i IKE). Trudno jest dojść do konkretnych wniosków na podstawie niejasnych odniesień w tej datowanej prezentacji. Niemniej jednak, jeśli Twój model zagrożenia obejmuje ukierunkowany nadzór ze strony wyrafinowanych podmiotów na poziomie stanu, możesz rozważyć bardziej bezpieczny protokół, taki jak OpenVPN. Pozytywnie, protokoły IPSec są nadal powszechnie uważane za bezpieczne, jeśli są odpowiednio wdrażane.

Teraz zbadamy, jak IPSec jest używany z VPNami w połączeniu z L2TP i IKEv2.

IKEv2 / IPSec

Co to jest IKEv2 / IPSec?

IKEv2 to protokół tunelowania, który jest znormalizowany w RFC 7296 i oznacza Internet Key Exchange wersja 2 (IKEv2). Został opracowany jako wspólny projekt Cisco i Microsoft. Aby korzystać z VPN dla maksymalnego bezpieczeństwa, IKEv2 jest sparowany z IPSec.

Pierwsza wersja IKE (Internet Key Exchange) została wydana w 1998 r., A wersja 2 została wydana siedem lat później w grudniu 2005 r. W porównaniu z innymi protokołami VPN, IKEv2 oferuje zalety pod względem szybkości, bezpieczeństwa, stabilności, wykorzystania procesora i możliwość ponownego nawiązania połączenia. To sprawia, że ​​jest to dobry wybór dla użytkowników mobilnych, szczególnie z urządzeniami iOS (Apple), które natywnie obsługują IKEv2.

Ustawiać: Instalacja jest na ogół szybka i łatwa, wymaga importu plików konfiguracyjnych dla serwerów, których chcesz używać od dostawcy VPN. (Zobacz przykład z Perfect Privacy.) IKEv2 jest natywnie obsługiwany w systemach Windows 7+, Mac OS 10.11+, Blackberry i iOS (iPhone i iPad) oraz niektórych urządzeniach z Androidem. Niektóre systemy operacyjne obsługują również funkcję „zawsze włączoną”, która wymusza cały ruch internetowy przez tunel VPN, zapewniając w ten sposób brak wycieków danych.

Szyfrowanie: IKEv2 wykorzystuje duży wybór algorytmów kryptograficznych, w tym AES, Blowfish, Camellia i 3DES.

Bezpieczeństwo: Wadą IKEv2 / IPSec jest to, że jest to zamknięte źródło i zostało opracowane przez Cisco i Microsoft (ale istnieją wersje open source). Pozytywnie, IKEv2 jest powszechnie uważany za jeden z najszybszych i najbezpieczniejszych dostępnych protokołów, co czyni go popularnym wyborem wśród użytkowników VPN.

Występ: W wielu przypadkach IKEv2 jest szybszy niż OpenVPN, ponieważ wymaga mniejszej mocy obliczeniowej. Istnieje jednak wiele zmiennych, które wpływają na prędkość, więc może nie mieć to zastosowania we wszystkich przypadkach użycia. Z punktu widzenia wydajności u użytkowników mobilnych IKEv2 może być najlepszą opcją, ponieważ dobrze nawiązuje ponowne połączenie.

Porty: IKEv2 używa następujących portów: UDP 500 do początkowej wymiany kluczy i UDP 4500 do translacji NAT.

Werdykt: Zalecana.

L2TP / IPSec

Protokół tunelowania warstwy 2 (L2TP) w połączeniu z IPSec jest również popularnym protokołem VPN, który jest natywnie obsługiwany przez wiele systemów operacyjnych. L2TP / IPSec jest znormalizowany w RFC 3193 i zapewnia poufność, uwierzytelnianie i integralność.

Ustawiać: Konfiguracja L2TP / IPSec jest na ogół szybka i łatwa. Jest natywnie obsługiwany w wielu systemach operacyjnych, w tym Windows 2000 / XP +, Mac OS 10.3+, a także w większości systemów operacyjnych Android. Podobnie jak w przypadku IKEv2 / IPSec, wystarczy zaimportować pliki konfiguracyjne od dostawcy VPN.

Szyfrowanie: L2TP / IPSec hermetyzuje dane dwukrotnie, a szyfrowanie odbywa się za pośrednictwem standardowego protokołu IPSec.

Bezpieczeństwo: L2TP / IPSec jest ogólnie uważany za bezpieczny i nie ma żadnych poważnych znanych problemów. Jednak podobnie jak w przypadku IKEv2 / IPSec, L2TP / IPSec został również opracowany przez Cisco i Microsoft, co rodzi pytania dotyczące zaufania.

Występ: Pod względem wydajności L2TP / IPSec może się naprawdę różnić. Jednoczesne szyfrowanie / deszyfrowanie odbywa się w jądrze i obsługuje również wielowątkowość, co powinno poprawić szybkość. Ale z drugiej strony, ponieważ podwójnie hermetyzuje dane, może nie być tak szybkie jak inne opcje.

Porty: L2TP / IPSEC używa UDP 500 do początkowej wymiany kluczy, a także UDP 1701 do początkowej konfiguracji L2TP i UDP 4500 do przejścia NAT. Z powodu tego polegania na stałych protokołach i portach łatwiej jest blokować niż OpenVPN.

Werdykt: L2TP / IPSec nie jest złym wyborem, ale możesz zdecydować się na IKEv2 / IPSec lub OpenVPN, jeśli są dostępne.

WireGuard - nowy i eksperymentalny protokół VPN

WireGuard to nowy i eksperymentalny protokół VPN, który ma na celu zapewnienie lepszej wydajności i większego bezpieczeństwa w stosunku do istniejących protokołów.

wireguard

Jak omówiliśmy w głównym przewodniku WireGuard VPN, protokół ma kilka interesujących korzyści pod względem wydajności, ale ma również kilka istotnych wad. Główne wady są następujące:

  • WireGuard jest nadal intensywnie rozwijany i nie został jeszcze poddany audytowi.
  • Wiele usług VPN wzbudziło obawy dotyczące możliwości korzystania z WireGuard bez dzienników (wady prywatności).
  • Bardzo ograniczone przyjęcie przez przemysł VPN (przynajmniej na razie).
  • Brak obsługi TCP.

Ustawiać: WireGuard nie jest zawarty w żadnym systemie operacyjnym. Prawdopodobnie zmieni się to z czasem, gdy zostanie dołączone do jądra Linux, Mac OS i być może z niektórymi mobilnymi systemami operacyjnymi. Bardzo ograniczona liczba VPN obsługuje WireGuard - sprawdź u dostawcy instrukcje dotyczące konfiguracji.

Szyfrowanie: WireGuard wykorzystuje Curve25519 do wymiany kluczy, ChaCha20 i Poly1305 do uwierzytelniania danych i BLAKE2s do mieszania.

Bezpieczeństwo: Głównym problemem związanym z bezpieczeństwem w WireGuard jest to, że nie jest on jeszcze kontrolowany i pozostaje w fazie intensywnego rozwoju. Istnieje kilka sieci VPN, które już oferują WireGuard swoim użytkownikom w celach „testowania”, ale biorąc pod uwagę stan projektu, WireGuard nie powinien być używany, gdy ważna jest prywatność i bezpieczeństwo.

Występ: WireGuard powinien teoretycznie oferować doskonałą wydajność pod względem szybkości, niezawodności, a także zużycia baterii. Może to być idealny protokół dla użytkowników mobilnych, ponieważ umożliwia przełączanie między interfejsami sieciowymi bez utraty połączenia. Ponowne połączenie ma również nastąpić znacznie szybciej niż w przypadku OpenVPN i IPSec.

Porty: WireGuard używa UDP i można go skonfigurować na dowolnym porcie. Niestety nie ma obsługi TCP, co ułatwia blokowanie.

Werdykt: Nie (jeszcze) zalecane, ale będę pilnować rozwoju projektu.

PPTP - nieaktualny i niezabezpieczony

PPTP to skrót od Point-to-Point Tunneling Protocol i jest jednym z najstarszych obecnie używanych protokołów VPN. Działa na porcie TCP 1723 i został pierwotnie opracowany przez Microsoft.

PPTP jest obecnie zasadniczo przestarzały z powodu poważnych luk w zabezpieczeniach. Nie spędzamy zbyt wiele czasu na omawianiu PPTP, ponieważ większość ludzi już go nie używa.

PPTP jest obsługiwany natywnie we wszystkich wersjach systemu Windows i większości systemów operacyjnych. Chociaż jest stosunkowo szybki, PPTP nie jest tak niezawodny i nie odzyskuje tak szybko po zerwanych połączeniach jak OpenVPN.

Ogólnie rzecz biorąc, PPTP nie należy stosować w sytuacjach, w których bezpieczeństwo i prywatność są ważne. Jeśli używasz VPN do odblokowania zawartości, PPTP może nie być złym wyborem, ale istnieją bezpieczniejsze opcje, które warto rozważyć.

Werdykt: Niepolecane

SSTP - protokół VPN dla systemu Windows, ale niezbyt powszechny

Podobnie jak PPTP, SSTP nie jest szeroko stosowany w branży VPN, ale w przeciwieństwie do PPTP, nie ma poważnych znanych problemów bezpieczeństwa.

SSTP oznacza Protokół bezpiecznego tunelowania gniazd i jest produktem Microsoft, który jest dostępny tylko dla systemu Windows. Fakt, że jest to zamknięty produkt firmy Microsoft, jest oczywistą wadą, chociaż SSTP jest również uważany za dość bezpieczny.

SSTP przenosi ruch przez protokół SSL (Secure Socket Layer) przez port TCP 443. To sprawia, że ​​jest to przydatny protokół do użycia w ograniczonych sytuacjach sieciowych, takich jak np. VPN dla Chin. Istnieje również obsługa innych systemów operacyjnych, oprócz Windows, ale nie jest ona powszechnie używana.

Ponieważ SSTP jest zamkniętym źródłem i pozostaje całkowicie własnością i utrzymaniem firmy Microsoft, możesz rozważyć inne opcje. Oczywiście SSTP może nadal być najlepszą opcją, jeśli wszystkie inne protokoły są blokowane w sieci.

Pod względem wydajności SSTP ma się dobrze, jest szybki, stabilny i bezpieczny. Niestety, bardzo niewielu dostawców VPN obsługuje SSTP. Przez wiele lat ExpressVPN obsługiwał SSTP w kliencie Windows, ale dziś nie jest już obsługiwany.

Werdykt: SSTP może być przydatny, jeśli inne protokoły VPN są blokowane, ale OpenVPN byłby lepszym wyborem (jeśli jest dostępny). Większość sieci VPN nie oferuje żadnego wsparcia dla SSTP.

OpenVPN UDP vs OpenVPN TCP

Ponieważ OpenVPN jest najpopularniejszym protokołem VPN, zwykle można wybrać jedną z dwóch odmian: OpenVPN UDP lub OpenVPN TCP. Więc który wybrać?

Poniżej testuję NordVPN, który daje mi możliwość wyboru protokołów TCP lub UDP.

openvpn udp vs openvpn tcp

Oto krótki przegląd obu protokołów:

  • TCP (Protokół kontroli transmisji): TCP jest bardziej niezawodną opcją, ale ma pewne wady wydajności. Dzięki TCP pakiety są wysyłane dopiero po potwierdzeniu, że ostatni pakiet dotarł, co spowalnia działanie. Jeśli potwierdzenie nie zostanie odebrane, pakiet zostanie po prostu ponownie wysłany - tak zwana korekcja błędów.
  • UDP (User Datagram Protocol): UDP jest najszybszą z dwóch opcji. Pakiety są wysyłane bez żadnego potwierdzenia, co poprawia szybkość, ale może też nie być tak niezawodne.

Domyślnie OpenVPN UDP byłby lepszym wyborem, ponieważ oferuje lepszą wydajność niż OpenVPN TCP. Jeśli masz problemy z połączeniem, przełącz się na TCP, aby uzyskać większą niezawodność.

TCP jest często używany do zaciemniania ruchu VPN, aby wyglądał jak zwykły ruch HTTPS. Można tego dokonać za pomocą OpenVPN TCP na porcie 443, z ruchem kierowanym w szyfrowaniu TLS. Wielu dostawców VPN oferuje różne formy zaciemniania w celu pokonania bloków VPN i większość korzysta z OpenVPN TCP.

Jaki jest najlepszy protokół VPN?

Jak zauważono w moim przeglądzie najlepszych usług VPN, nie ma jednego uniwersalnego rozwiązania dla każdej osoby. Dotyczy to wyboru usługi VPN, a także wyboru protokołu VPN. Najlepszy protokół dla twojej sytuacji będzie zależeć od kilku różnych czynników:

  • The urządzenie używasz - różne urządzenia obsługują różne protokoły.
  • Twój sieć - jeśli jesteś w sytuacji ograniczonej sieci, na przykład w Chinach lub w sieciach szkolnych i zawodowych, niektóre protokoły mogą się nie dostać. Niektórzy dostawcy VPN oferują wyznaczone protokoły VPN na takie sytuacje - więcej informacji na ten temat można znaleźć w przewodniku VPN dla Chin.
  • Występ - Niektóre protokoły oferują duże zalety pod względem wydajności, szczególnie na urządzeniach mobilnych, które łączą się i nie łączą.
  • Model zagrożenia - Niektóre protokoły są słabsze i mniej bezpieczne niż inne. Wybierz najlepszy protokół VPN dla swoich potrzeb w zakresie bezpieczeństwa i prywatności, biorąc pod uwagę model zagrożenia.

Zasadą jest jednak ogólna zasada, OpenVPN jest prawdopodobnie najlepszy wszechstronny protokół VPN. Jest bardzo bezpieczny, godny zaufania, szeroko stosowany w branży i oferuje dobrą szybkość i niezawodność. Jeśli OpenVPN nie jest opcją dla twojej sytuacji, po prostu rozważ alternatywy.

W przypadku większości usług VPN OpenVPN jest ogólnie domyślnym protokołem używanym w ich aplikacjach, chociaż L2TP / IPSec i IKEv2 / IPSec są wspólne dla mobilnych klientów VPN.

Zakończenie protokołów VPN

Ten przewodnik po protokołach VPN ma służyć jako podstawowy przegląd głównych obecnie używanych protokołów VPN: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP i SSTP.

Aby uzyskać bardziej szczegółowe informacje na temat każdego protokołu, możesz sprawdzić referencje od odpowiednich programistów.

Ten przewodnik będzie aktualizowany wraz z rozwojem tych różnych protokołów VPN.

Trwała aktualizacja 13 sierpnia 2019 r.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me