openvpn vs ipsec vs wireguard ikev2


Mitä VPN-protokollat ​​ovat ja miksi sinun on ymmärrettävä eri vaihtoehdot?

Koska suurin osa VPN-palveluntarjoajista tarjoaa erilaisia ​​VPN-protokollia, joista on hyvä valita, on hyvä tietää näiden eri vaihtoehtojen edut ja haitat, jotta voit valita parhaiten sopivan yksilöllisiin tarpeisiisi..

Tässä oppaassa vertaamme kahta suosituinta VPN-protokollaa - OpenVPN vs. IPSec - sekä L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP ja SSTP. Tämän tarkoitus on antaa sinulle lyhyt kuvaus kunkin VPN-protokollan eduista ja haitoista.

Joten sukellaan sisään.

Mitkä ovat eri VPN-protokollat?

Mikä on VPN-protokolla?

VPN-protokolla on joukko ohjeita suojatun ja salatun yhteyden luomiseksi laitteen ja VPN-palvelimen välille tiedonsiirtoa varten.

Useimmat kaupalliset VPN-palveluntarjoajat tarjoavat erilaisia ​​VPN-protokollia, joita voit käyttää VPN-asiakasohjelmassa. Esimerkiksi alla olevassa kuvakaappauksessa testaan ​​ExpressVPN: tä ja minulla on mahdollisuus valita OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec ja PPTP.

openvpn l2tp sstp pptpNämä ovat ExpressVPN-asiakkaan erilaisia ​​VPN-protokollia.

Nyt tarkastelemme lähemmin erilaisia ​​VPN-protokollia.

OpenVPN

OpenVPN on monipuolinen, avoimen lähdekoodin VPN-protokolla, jonka on kehittänyt OpenVPN Technologies. Se on kiistatta turvallisin ja suosituin nykyään käytössä oleva VPN-protokolla, ja se on läpäissyt useita kolmansien osapuolien tietoturva-auditointeja.

OpenVPN: ää pidetään yleisesti alan standardina, kun se on toteutettu oikein ja siinä käytetään SSL / TLS avaintenvaihtoon. Se tarjoaa täydellisen luottamuksellisuuden, todennuksen ja eheyden, ja on myös erittäin joustava useissa käyttötapauksissa.

openvpn

Perustaa: OpenVPN vaatii käyttämään erityistä asiakasohjelmistoa sen sijaan, että se olisi rakennettu eri käyttöjärjestelmiin. Useimmat VPN-palvelut tarjoavat räätälöityjä OpenVPN-sovelluksia, joita voidaan käyttää eri käyttöjärjestelmissä ja laitteissa. Asennus on yleensä nopeaa ja helppoa. OpenVPN: ää voidaan käyttää kaikilla tärkeillä alustoilla kolmansien osapuolien kautta: Windows, Mac OS, Linux, Apple iOS, Android ja useat reitittimet (tarkista laiteohjelmiston yhteensopivuus).

salaus: OpenVPN käyttää OpenSSL-kirjastoa ja TLS-protokollia salauksen tarjoamiseen. OpenSSL tukee useita erilaisia ​​algoritmeja ja salauksia, kuten AES, Blowfish, Camellia ja ChaCha20.

turvallisuus: OpenVPN: tä pidetään turvallisimpana käytettävissä olevana VPN-protokollana, jos se on toteutettu oikein. Sillä ei ole tunnettuja merkittäviä haavoittuvuuksia.

Esitys: OpenVPN tarjoaa hyvää suorituskykyä, etenkin jos suoritetaan UDP: n (User Datagram Protocol) sijasta TCP: n (Transmission Control Protocol) sijasta. OpenVPN on myös vakaa ja luotettava riippumatta siitä, käytetäänkö sitä langattomissa tai matkapuhelinverkoissa. Jos sinulla on yhteysongelmia, voit käyttää OpenVPN: ää TCP: n kanssa, joka vahvistaa kaikki lähetetyt paketit, mutta se on hitaampaa.

satamat: OpenVPN: ää voidaan käyttää missä tahansa portissa, joka käyttää UDP: tä tai TCP: tä.

tuomio: Erittäin suositeltavaa.

IPSec - Internet-protokollan suojaus

Mikä on IPSec?

IPSec on suojattu verkkoprotokolla-sarja, joka todentaa ja salaa IP-verkon kautta lähetetyt datapaketit. Se on Internet Protocol Security (IPSec), ja sen on kehittänyt Internet Engineering Task Force. Toisin kuin sovellustasolla toimivassa SSL: ssä, IPSec toimii verkkotasolla ja sitä voidaan käyttää natiivisti monien käyttöjärjestelmien kanssa. Koska useimmat käyttöjärjestelmät tukevat IPSec: ää natiivisti, sitä voidaan käyttää ilman kolmannen osapuolen sovelluksia (toisin kuin OpenVPN).

IPSec: stä on tullut erittäin suosittu protokolla käytettäväksi VPN: ien kanssa pariksi L2TP: n tai IKEv2: n kanssa..

IPSec salaa koko IP-paketin seuraavasti:

  • Authentication Header (AH), joka asettaa digitaalisen allekirjoituksen jokaiselle paketille; ja
  • Kapseloiva tietoturvaprotokolla (ESP), joka välittää lähetettävän paketin luottamuksellisuutta, eheyttä ja todennusta.

Vuotanut NSA-esitys - IPSec-keskustelu ei olisi täydellinen viittamatta vuotaneeseen NSA-esitykseen, joka käsittelee NSA: ta vaarantavia IPSec-protokollia (L2TP ja IKE). Tässä päivätyssä esityksessä on vaikea tehdä konkreettisia johtopäätöksiä epämääräisten viitteiden perusteella. Siitä huolimatta, jos uhkamallisi sisältää hienostuneiden valtion tason toimijoiden kohdennetun seurannan, kannattaa ehkä harkita turvallisempaa protokollaa, kuten OpenVPN. Myönteistä on, että IPSec-protokollia pidetään edelleen laajasti turvallisina, jos ne pannaan täytäntöön oikein.

Nyt tutkitaan, miten IPSeciä käytetään VPN: ien kanssa pariksi L2TP: n ja IKEv2: n kanssa.

IKEv2 / IPSec

Mikä on IKEv2 / IPSec?

IKEv2 on RFC 7296: ssa standardisoitu tunnelointiprotokolla, joka tarkoittaa Internet Key Exchange -versiota 2 (IKEv2). Se kehitettiin Ciscon ja Microsoftin yhteisprojektina. Jotta sitä voidaan käyttää VPN: ien kanssa maksimaalisen turvallisuuden varmistamiseksi, IKEv2 on muodostettu pariksi IPSecin kanssa.

Ensimmäinen versio IKE: stä (Internet Key Exchange) ilmestyi vuonna 1998, kun versio 2 julkaistiin seitsemän vuotta myöhemmin joulukuussa 2005. Verrattuna muihin VPN-protokolliin, IKEv2 tarjoaa etuja nopeuden, turvallisuuden, vakauden, prosessorin käytön ja kyky luoda yhteys uudelleen. Tämä tekee siitä hyvän valinnan mobiilikäyttäjille, etenkin iOS (Apple) -laitteilla, jotka tukevat natiivi IKEv2: ta.

Perustaa: Asennus on yleensä nopeaa ja helppoa, mikä edellyttää sinun tuoda käytettävien palvelimien määritystiedostot VPN-palveluntarjoajalta. (Katso esimerkki täydellisestä tietosuojasta.) IKEv2: ta tuetaan natiivisti Windows 7+: ssä, Mac OS 10.11+: ssä, Blackberryssä ja iOS: ssä (iPhone ja iPad) sekä joissakin Android-laitteissa. Jotkut käyttöjärjestelmät tukevat myös ”aina päällä” -toimintoa, joka pakottaa kaiken Internet-liikenteen VPN-tunnelin läpi varmistaen siten tiedonvuodot.

salaus: IKEv2 käyttää laajaa valikoimaa salausalgoritmeja, mukaan lukien AES, Blowfish, Camellia ja 3DES.

turvallisuus: Yksi puutteista IKEv2 / IPSec: llä on, että se on suljettu lähde ja sen ovat kehittäneet Cisco ja Microsoft (mutta avoimen lähdekoodin versioita on olemassa). Myönteisenä seikkana, että IKEv2: ta pidetään laajasti nopeimpien ja turvallisimpien käytettävissä olevien protokollien joukossa, mikä tekee siitä suositun valinnan VPN-käyttäjien keskuudessa.

Esitys: Monissa tapauksissa IKEv2 on nopeampi kuin OpenVPN, koska se on vähemmän CPU-intensiivinen. On kuitenkin olemassa lukuisia nopeuteen vaikuttavia muuttujia, joten tämä ei välttämättä koske kaikkia käyttötapauksia. Suorituskyvyn kannalta mobiililaitteiden käyttäjien kannalta IKEv2 voi olla paras vaihtoehto, koska se muodostaa hyvin uudelleenyhteyden.

satamat: IKEv2 käyttää seuraavia portteja: UDP 500 ensimmäiseen avaimenvaihtoon ja UDP 4500 NAT-poikkisuuntaan.

tuomio: Suositeltava.

L2TP / IPSec

Kerroksen 2 tunnelointiprotokolla (L2TP) pariksi IPSecin kanssa on myös suosittu VPN-yhteyskäytäntö, jota monet käyttöjärjestelmät tukevat natiivisti. L2TP / IPSec on standardisoitu RFC 3193: een ja tarjoaa luottamuksellisuuden, todennuksen ja eheyden.

Perustaa: L2TP / IPSec: n asennus on yleensä nopeaa ja helppoa. Sitä tuetaan natiivisti monissa käyttöjärjestelmissä, kuten Windows 2000 / XP +, Mac OS 10.3+, sekä useimmissa Android-käyttöjärjestelmissä. Aivan kuten IKEv2 / IPSec, sinun on vain tuotava kokoonpanotiedostot VPN-palveluntarjoajalta.

salaus: L2TP / IPSec kapseloi tiedot kahdesti salauksella, joka tulee normaalin IPSec-protokollan kautta.

turvallisuus: L2TP / IPSec: tä pidetään yleensä turvallisena, eikä siinä ole merkittäviä tunnettuja ongelmia. Kuten IKEv2 / IPSec, myös Cisco ja Microsoft kehittivät L2TP / IPSec: n, mikä herättää kysymyksiä luottamuksesta.

Esitys: Suorituskyvyn suhteen L2TP / IPSec voi todella vaihdella. Yksi tapahtuu salaus / salauksen purku ytimessä ja se tukee myös monisäikeistämistä, jonka pitäisi parantaa nopeutta. Mutta toisaalta, koska se kaksoiskappalee tiedot, se ei ehkä ole niin nopea kuin muut vaihtoehdot.

satamat: L2TP / IPSEC käyttää UDP 500: ta alkuperäiseen avaintenvaihtoon samoin kuin UDP 1701: tä alkuperäiseen L2TP: n konfiguraatioon ja UDP 4500: ta NAT-läpikulkuun. Kiinteän protokollan ja porttien nojaamisen vuoksi sitä on helpompi estää kuin OpenVPN.

tuomio: L2TP / IPSec ei ole huono valinta, mutta haluat ehkä valita IKEv2 / IPSec tai OpenVPN, jos käytettävissä.

WireGuard - uusi ja kokeellinen VPN-protokolla

WireGuard on uusi ja kokeellinen VPN-yhteyskäytäntö, joka pyrkii tarjoamaan parempaa suorituskykyä ja parempaa tietoturvaa olemassa oleviin protokolliin verrattuna.

wireguard

Kuten käsittelemme WireGuard VPN -pääoppaassa, protokollalla on joitain mielenkiintoisia etuja suorituskyvyn suhteen, mutta siihen liittyy myös muutama huomionarvoinen haitta. Tärkeimmät haitat ovat seuraavat:

  • WireGuard on edelleen kovan kehityksen alla, eikä sitä ole vielä auditoitu.
  • Monet VPN-palvelut ovat herättäneet huolta WireGuardin kyvystä käyttää ilman lokkeja (yksityisyyden haitat).
  • Hyvin rajallinen käyttöönotto VPN-teollisuudessa (ainakin toistaiseksi).
  • Ei tukea TCP: lle.

Perustaa: WireGuard ei kuulu mihinkään käyttöjärjestelmään. Tämä todennäköisesti muuttuu ajan myötä, kun se sisältyy Linuxin, Mac OS: n ytimeen ja kenties joihinkin mobiileihin käyttöjärjestelmiin. Hyvin rajallinen määrä VPN-verkkoja tukee WireGuardia - tarkista asennusohjeet toimittajalta.

salaus: WireGuard käyttää Curve25519 avaintenvaihtoon, ChaCha20 ja Poly1305 tietojen todennukseen ja BLAKE2s hajauttamiseen.

turvallisuus: Tärkein WireGuardin tietoturvaongelma on, että sitä ei vielä tarkisteta ja sitä kehitetään edelleen voimakkaasti. Eräät VPN-verkot tarjoavat jo nyt WireGuardia käyttäjilleen ”testaamiseen”, mutta ottaen huomioon projektin tilanne, WireGuardia ei tule käyttää, kun yksityisyys ja turvallisuus ovat tärkeitä.

Esitys: WireGuardin pitäisi teoriassa tarjota erinomainen suorituskyky nopeuden, luotettavuuden ja myös akun kulutuksen suhteen. Se voi olla ihanteellinen yhteyskäytäntö mobiililaitteiden käyttäjille, koska sen avulla voit vaihtaa verkkorajapintojen välillä menettämättä yhteyttä. Uudelleenyhteyden on tarkoitus tapahtua myös paljon nopeammin kuin OpenVPN: n ja IPSecin kanssa.

satamat: WireGuard käyttää UDP: tä ja se voidaan konfiguroida mihin tahansa porttiin. Valitettavasti TCP: lle ei ole tukea, mikä helpottaa tukkeutumista.

tuomio: Ei (vielä) suositeltavaa, mutta seuraan aina projektin kehitystä.

PPTP - vanhentunut eikä ole suojattu

PPTP tarkoittaa point-to-point tunnelointiprotokollaa ja on yksi vanhimmista VPN-protokollista, jotka ovat edelleen käytössä. Se toimii TCP-portilla 1723 ja sen on alun perin kehittänyt Microsoft.

PPTP on nyt käytännössä vanhentunut vakavien tietoturva-aukkojen vuoksi. Emme viettää liian paljon aikaa keskustelemaan PPTP: stä, koska suurin osa ihmisistä ei edes käytä sitä enää.

PPTP: tä tuetaan natiivisti kaikissa Windows-versioissa ja useimmissa käyttöjärjestelmissä. Vaikka PPTP on suhteellisen nopea, se ei ole yhtä luotettava eikä palaudu yhtä nopeasti katkenneista yhteyksistä kuin OpenVPN.

Kaiken kaikkiaan PPTP: tä ei pitäisi käyttää missään tilanteessa, jossa turvallisuus ja yksityisyys ovat tärkeitä. Jos käytät vain VPN: ää sisällön estämiseen, PPTP ei ehkä ole huono valinta, mutta on olemassa turvallisempia vaihtoehtoja, jotka kannattaa harkita.

tuomio: Ei suositeltu

SSTP - VPN-protokolla Windowsille, mutta ei kovin yleinen

Kuten PPTP, SSTP: tä ei käytetä laajasti VPN-teollisuudessa, mutta toisin kuin PPTP, sillä ei ole merkittäviä tunnettuja tietoturvaongelmia.

SSTP tarkoittaa Secure Socket Tunneling Protocol ja on Microsoftin tuote, joka on saatavana vain Windowsille. Sillä, että kyseessä on Microsoftin suljetun lähdekoodin tuote, on selvä haitta, vaikka SSTP: tä pidetään myös melko turvallisena.

SSTP kuljettaa liikennettä SSL (Secure Socket Layer) -protokollan kautta TCP-portin 443 kautta. Tämä tekee siitä hyödyllisen protokollan, jota voidaan käyttää rajoitetuissa verkkotilanteissa, esimerkiksi jos tarvitset VPN: ää Kiinalle. Siellä on Windows-tuen lisäksi myös muita käyttöjärjestelmiä, mutta sitä ei käytetä laajasti.

Koska SSTP on suljettu lähde ja pysyy täysin Microsoftin omistuksessa ja ylläpidossa, kannattaa ehkä harkita muita vaihtoehtoja. Tietysti SSTP voi silti olla paras vaihtoehto, jos kaikki muut protokollat ​​estävät verkkoasi.

Suorituskyvyn kannalta SSTP menee hyvin ja on nopea, vakaa ja turvallinen. Valitettavasti hyvin harvat VPN-palveluntarjoajat tukevat SSTP: tä. ExpressVPN tuki SSTP: tä monien vuosien ajan Windows-asiakasohjelmassa, mutta sitä ei enää tueta tänään.

tuomio: SSTP voi olla hyödyllinen, jos muut VPN-protokollat ​​estetään, mutta OpenVPN olisi parempi vaihtoehto (jos käytettävissä). Useimmat VPN: t eivät tarjoa tukea SSTP: lle.

OpenVPN UDP vs. OpenVPN TCP

Kun OpenVPN on suosituin VPN-protokolla, voit yleensä valita kahden muunnoksen välillä: OpenVPN UDP tai OpenVPN TCP. Joten mitä valita?

Alla testaan ​​NordVPN: ää, joka antaa minulle mahdollisuuden valita TCP- tai UDP-protokollat.

openvpn udp vs. openvpn tcp

Tässä on lyhyt kuvaus molemmista protokollista:

  • TCP (Transmission Control Protocol): TCP on luotettavampi vaihtoehto kahdesta, mutta siihen liittyy joitain suorituskyvyn haittoja. TCP: llä paketit lähetetään vasta kun viimeisen paketin on vahvistettu saapuvan, mikä hidastaa asioita. Jos vahvistusta ei saada, paketti vain lähetetään uudelleen - mikä tunnetaan virheenkorjauksena.
  • UDP (User Datagram Protocol): UDP on nopein kahdesta vaihtoehdosta. Paketit lähetetään ilman vahvistusta, mikä parantaa nopeutta, mutta ei myöskään välttämättä ole yhtä luotettava.

Oletuksena OpenVPN UDP olisi parempi valinta, koska se tarjoaa paremman suorituskyvyn kuin OpenVPN TCP. Jos sinulla on yhteysongelmia, siirry kuitenkin TCP: hen luotettavuuden lisäämiseksi.

TCP: tä käytetään usein VPN-liikenteen hämärtämiseen normaalin HTTPS-liikenteen näyttämiseksi. Tämä voidaan tehdä käyttämällä OpenVPN TCP: tä portissa 443 liikenteen reititettäessä TLS-salaukseen. Monet VPN-palveluntarjoajat tarjoavat erilaisia ​​hämärtämismuotoja VPN-lohkojen voittamiseksi, ja useimmat käyttävät OpenVPN TCP: tä..

Mikä on paras VPN-protokolla?

Kuten parhaan VPN-palvelun yleiskatsauksessani todettiin, jokaiselle henkilölle ei ole yhdenmukaista ratkaisua. Tämä koskee VPN-palvelun ja VPN-protokollan valitsemista. Paras protokolla tilanteeseesi riippuu muutamasta eri tekijästä:

  • laite käytät - eri laitteet tukevat erilaisia ​​protokollia.
  • teidän verkko - Jos olet rajoitetussa verkkotilanteessa, kuten Kiinassa, tai jos sinulla on koulu- ja työverkkoja, jotkut protokollat ​​eivät välttämättä pääse läpi. Jotkut VPN-palveluntarjoajat tarjoavat nimettyjä VPN-protokollia näihin tilanteisiin - katso VPN for China -oppaasta lisätietoja aiheesta käydystä keskustelusta.
  • Esitys - Jotkut protokollat ​​tarjoavat suuria etuja suorituskyvyn suhteen, etenkin mobiililaitteissa, jotka menevät sisään ja pois yhteydestä.
  • Uhkamalli - Jotkut protokollat ​​ovat heikompia ja vähemmän turvallisia kuin toiset. Valitse paras VPN-protokolla suojaus- ja yksityisyystarpeitasi varten, ottaen huomioon uhkamallisi.

Yleisenä nyrkkisääntönä kuitenkin, OpenVPN on kiistatta paras all-around VPN-protokolla. Se on erittäin turvallinen, luotettava, laajalti käytetty teollisuudessa, ja se tarjoaa hyvän nopeuden ja luotettavuuden. Jos OpenVPN ei ole vaihtoehto tilanteeseesi, harkitse vaihtoehtoja.

Suurimmassa osassa VPN-palveluita OpenVPN on yleensä heidän sovelluksissaan käytetty oletusprotokolla, vaikka L2TP / IPSec ja IKEv2 / IPSec ovat yleisiä mobiili-VPN-asiakkaiden kanssa..

VPN-protokollien päätelmä

Tämän VPN-yhteyskäytäntöoppaan on tarkoitus toimia yleiskatsauksena nykyään käytössä olevista tärkeimmistä VPN-protokollista: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP ja SSTP.

Tarkempia tietoja kustakin protokollasta saat tutkimalla vastaavien kehittäjien viitteitä.

Tätä opasta päivitetään edelleen, kun kehitystä jatketaan näiden erilaisten VPN-protokollien kanssa.

Kestää päivitetty 13. elokuuta 2019.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me