openvpn vs ipsec vs wireguard ikev2


Hva er VPN-protokoller, og hvorfor trenger du å forstå de forskjellige alternativene?

Med de fleste VPN-leverandører som tilbyr en rekke VPN-protokoller å velge mellom, er det godt å vite fordeler og ulemper med disse forskjellige alternativene, slik at du kan velge den beste passformen til dine unike behov.

I denne guiden vil vi sammenligne de to mest populære VPN-protokollene - OpenVPN vs IPSec - samt L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP og SSTP. Dette er ment å gi deg en kort oversikt over fordeler og ulemper ved hver VPN-protokoll.

Så la oss dykke inn.

Hva er de forskjellige VPN-protokollene?

Hva er en VPN-protokoll?

En VPN-protokoll er et sett med instruksjoner for å etablere en sikker og kryptert forbindelse mellom enheten din og en VPN-server for overføring av data.

De fleste kommersielle VPN-leverandører tilbyr en rekke forskjellige VPN-protokoller som du kan bruke i VPN-klienten. I skjermdumpen nedenfor tester jeg for eksempel ExpressVPN og har muligheten til å velge OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec og PPTP.

openvpn l2tp sstp pptpDette er de forskjellige VPN-protokollene i ExpressVPN-klienten.

Nå vil vi se nærmere på forskjellige VPN-protokoller.

OpenVPN

OpenVPN er en allsidig, åpen kildekode VPN-protokoll utviklet av OpenVPN Technologies. Det er uten tvil den mest sikre og mest populære VPN-protokollen som brukes i dag, og har bestått forskjellige tredjeparts sikkerhetsrevisjoner.

OpenVPN anses generelt for å være bransjestandarden når den er riktig implementert og bruker SSL / TLS for nøkkelutveksling. Det gir full konfidensialitet, autentisering og integritet og er også veldig fleksibel med forskjellige brukssaker.

OpenVPN

Setup: OpenVPN krever spesiell klientprogramvare for å bruke, i stedet for å være innebygd i forskjellige operativsystemer. De fleste VPN-tjenester tilbyr tilpassede OpenVPN-apper, som kan brukes på forskjellige operativsystemer og enheter. Installasjonen er vanligvis rask og enkel. OpenVPN kan brukes på alle større plattformer gjennom tredjepartsklienter: Windows, Mac OS, Linux, Apple iOS, Android og forskjellige rutere (sjekk firmware for kompatibilitet).

kryptering: OpenVPN bruker OpenSSL-biblioteket og TLS-protokoller for å gi kryptering. OpenSSL støtter en rekke forskjellige algoritmer og chiffer, inkludert AES, Blowfish, Camellia og ChaCha20.

Sikkerhet: OpenVPN anses å være den sikreste VPN-protokollen som er tilgjengelig, forutsatt at den er riktig implementert. Det har ingen kjente større sårbarheter.

Opptreden: OpenVPN tilbyr god ytelse, spesielt hvis du kjører over UDP (User Datagram Protocol), i stedet for TCP (Transmission Control Protocol). OpenVPN er også stabil og pålitelig enten det brukes over trådløse eller mobilnettverk. Hvis du har tilkoblingsproblemer, kan du bruke OpenVPN med TCP, som vil bekrefte alle sendte pakker, men det vil gå tregere.

porter: OpenVPN kan brukes på hvilken som helst port ved å bruke UDP eller TCP.

Kjennelse: Sterkt anbefalt.

IPSec - Internet Protocol Security

Hva er IPSec?

IPSec er en sikker nettverksprotokollserie som autentiserer og krypterer datapakker sendt over et IP-nettverk. Det står for Internet Protocol Security (IPSec) og ble utviklet av Internet Engineering Task Force. I motsetning til med SSL, som fungerer på applikasjonsnivå, opererer IPSec på nettverksnivå og kan brukes naturlig med mange operativsystemer. Fordi de fleste operativsystemer støtter IPSec naturlig, kan det brukes uten tredjepartsapper (i motsetning til OpenVPN).

IPSec har blitt en veldig populær protokoll å bruke med VPN-er når den er parret med L2TP eller IKEv2, som vi vil diskutere mer nedenfor.

IPSec krypterer hele IP-pakken ved å bruke:

  • Authentication Header (AH), som plasserer en digital signatur på hver pakke; og
  • Encapsulating Security Protocol (ESP), som konfidensialitet, integritet og autentisering av pakken under overføring.

Lekt NSA-presentasjon - En diskusjon av IPSec ville ikke være fullstendig uten å henvise til en lekket NSA-presentasjon som diskuterer NSA-kompromitterende IPSec-protokoller (L2TP og IKE). Det er vanskelig å komme til konkrete konklusjoner basert på vage referanser i denne daterte presentasjonen. Likevel, hvis din trusselmodell inkluderer målrettet overvåking fra sofistikerte aktører på statsnivå, kan det være lurt å vurdere en sikrere protokoll, for eksempel OpenVPN. På en positiv måte anses IPSec-protokoller fremdeles for å være sikre hvis de blir implementert riktig.

Nå skal vi undersøke hvordan IPSec brukes med VPN-er når de er parret med L2TP og IKEv2.

IKEv2 / IPSec

Hva er IKEv2 / IPSec?

IKEv2 er en tunnelprotokoll som er standardisert i RFC 7296 og den står for Internet Key Exchange versjon 2 (IKEv2). Det ble utviklet som et felles prosjekt mellom Cisco og Microsoft. For å bli brukt med VPN-er for maksimal sikkerhet, er IKEv2 sammenkoblet med IPSec.

Den første versjonen av IKE (Internet Key Exchange) kom ut i 1998, med versjon 2 som ble utgitt syv år senere i desember 2005. I sammenligning med andre VPN-protokoller tilbyr IKEv2 fordeler når det gjelder hastighet, sikkerhet, stabilitet, CPU-bruk og muligheten til å gjenopprette en forbindelse. Dette gjør det til et godt valg for mobilbrukere, spesielt med iOS (Apple) enheter som innfødt støtter IKEv2.

Setup: Oppsett er vanligvis raskt og enkelt, noe som krever at du importerer konfigurasjonsfilene for serverne du vil bruke fra VPN-leverandøren. (Se eksempel med Perfect Privacy.) IKEv2 støttes innfødt på Windows 7+, Mac OS 10.11+, Blackberry og iOS (iPhone og iPad), og noen Android-enheter. Noen operativsystemer støtter også en “alltid på” -funksjon, som tvinger all Internett-trafikk gjennom VPN-tunnelen, og dermed sikrer ingen datalekkasjer.

kryptering: IKEv2 bruker et stort utvalg av kryptografiske algoritmer, inkludert AES, Blowfish, Camellia og 3DES.

Sikkerhet: En ulempe med IKEv2 / IPSec er at den er lukket kildekode og ble utviklet av Cisco og Microsoft (men åpen kildekode-versjoner finnes). På en positiv måte er IKEv2 ansett for å være blant de raskeste og sikreste protokollene som er tilgjengelige, noe som gjør det til et populært valg blant VPN-brukere.

OpptredenI mange tilfeller er IKEv2 raskere enn OpenVPN siden den er mindre CPU-intensiv. Det er imidlertid mange variabler som påvirker hastigheten, så dette kan ikke hende at det gjelder i alle tilfeller av bruk. Ut fra et ytelsessynspunkt med mobilbrukere, er IKEv2 det beste alternativet fordi det gjør det bra å etablere en tilkobling igjen.

porter: IKEv2 bruker følgende porter: UDP 500 for den første nøkkelutvekslingen og UDP 4500 for NAT-kryss.

Kjennelse: Anbefalt.

L2TP / IPSec

Layer 2 Tunneling Protocol (L2TP) sammenkoblet med IPSec er også en populær VPN-protokoll som støttes av mange operativsystemer. L2TP / IPSec er standardisert i RFC 3193 og gir konfidensialitet, autentisering og integritet.

Setup: Å sette opp L2TP / IPSec er vanligvis raskt og enkelt. Det støttes naturlig på mange operativsystemer, inkludert Windows 2000 / XP +, Mac OS 10.3+, så vel som de fleste Android-operativsystemer. Akkurat som med IKEv2 / IPSec, trenger du ganske enkelt å importere konfigurasjonsfilene fra VPN-leverandøren din.

kryptering: L2TP / IPSec innkapsler data to ganger med kryptering som kommer via standard IPSec-protokoll.

Sikkerhet: L2TP / IPSec anses generelt som sikker og har ikke noen store kjente problemer. Akkurat som med IKEv2 / IPSec, ble L2TP / IPSec imidlertid også utviklet av Cisco og Microsoft, noe som reiser spørsmål om tillit.

Opptreden: Når det gjelder ytelse, kan L2TP / IPSec virkelig variere. På den ene siden kryptering / dekryptering forekommer i kjernen, og den støtter også flertråd, noe som skal forbedre hastighetene. Men på den annen side, fordi det dobbeltkapsler data, er det ikke sikkert at det går like raskt som andre alternativer.

porter: L2TP / IPSEC bruker UDP 500 for den innledende nøkkelutvekslingen samt UDP 1701 for den innledende L2TP-konfigurasjonen og UDP 4500 for NAT-gjennomgang. På grunn av denne avhengigheten av faste protokoller og porter, er det lettere å blokkere enn OpenVPN.

Kjennelse: L2TP / IPSec er ikke et dårlig valg, men det kan være lurt å velge IKEv2 / IPSec eller OpenVPN hvis tilgjengelig.

WireGuard - En ny og eksperimentell VPN-protokoll

WireGuard er en ny og eksperimentell VPN-protokoll som søker å gi bedre ytelse og mer sikkerhet over eksisterende protokoller.

wireguard

Som vi behandlet i WireGuard VPN-guiden, har protokollen noen interessante fordeler med tanke på ytelse, men den kommer også med noen få bemerkelsesverdige ulemper. De viktigste ulempene er som følger:

  • WireGuard er fortsatt under kraftig utvikling og er ennå ikke revidert.
  • Mange VPN-tjenester har vakt bekymring for WireGuards mulighet til å brukes uten logger (ulemper ved personvern).
  • Meget begrenset adopsjon fra VPN-bransjen (i det minste for nå).
  • Ingen støtte for TCP.

Setup: WireGuard er ikke inkludert i noe operativsystem. Dette vil sannsynligvis endre seg over tid når det er inkludert i kjernen for Linux, Mac OS, og kanskje med noen mobile operativsystemer. Et veldig begrenset antall VPN-er støtter WireGuard - ta kontakt med leverandøren for installasjonsinstruksjoner.

kryptering: WireGuard bruker Curve25519 for nøkkelutveksling, ChaCha20 og Poly1305 for datagodkjenning og BLAKE2 for hashing.

Sikkerhet: Det viktigste sikkerhetsspørsmålet med WireGuard er at det ennå ikke er revidert og fortsatt er under kraftig utvikling. Det er en håndfull VPN-er som allerede tilbyr WireGuard til brukerne sine for "testing" -formål, men gitt prosjektets tilstand, bør WireGuard ikke brukes når personvern og sikkerhet er viktig.

Opptreden: WireGuard skal teoretisk tilby gode ytelser med tanke på hastighet, pålitelighet og også batteriforbruk. Det kan være den ideelle protokollen for mobilbrukere fordi den lar deg veksle mellom nettverksgrensesnitt uten å miste forbindelsen. Re-tilkobling er også ment å skje mye raskere enn med OpenVPN og IPSec.

porter: WireGuard bruker UDP og kan konfigureres på hvilken som helst port. Dessverre er det ingen støtte for TCP, noe som gjør det lettere å blokkere.

Kjennelse: Ikke (ennå) anbefalt, men jeg vil følge med på prosjektets utvikling.

PPTP - utdatert og ikke sikkert

PPTP står for Point-to-Point Tunneling Protocol og er en av de eldste VPN-protokollene som fortsatt er i bruk i dag. Den kjører på TCP-port 1723 og ble opprinnelig utviklet av Microsoft.

PPTP er nå i hovedsak foreldet på grunn av alvorlige sikkerhetsproblemer. Vi vil ikke bruke for mye tid på å diskutere PPTP fordi de fleste ikke engang bruker det lenger.

PPTP støttes innfødt på alle versjoner av Windows og de fleste operativsystemer. Mens det er relativt raskt, er PPTP ikke like pålitelig og gjenoppretter ikke like raskt fra en droppet tilkobling som OpenVPN.

Totalt sett skal ikke PPTP brukes i noen situasjoner der sikkerhet og personvern er viktig. Hvis du bare bruker en VPN for å fjerne blokkering av innhold, er PPTP kanskje ikke et dårlig valg, men det er sikrere alternativer som er verdt å vurdere.

Kjennelse: Ikke anbefalt

SSTP - En VPN-protokoll for Windows, men ikke veldig vanlig

I likhet med PPTP er SSTP ikke mye brukt i VPN-bransjen, men i motsetning til PPTP har den ikke store kjente sikkerhetsproblemer.

SSTP står for Secure Socket Tunneling Protocol og er et Microsoft-produkt som kun er tilgjengelig for Windows. At det er et lukket kildeprodukt fra Microsoft er en åpenbar ulempe, selv om SSTP også anses for å være ganske sikker.

SSTP frakter trafikk gjennom SSL (Secure Socket Layer) -protokollen over TCP-port 443. Dette gjør det til en nyttig protokoll å bruke i begrensede nettverkssituasjoner, for eksempel hvis du trenger en VPN for Kina. Det er også støtte for andre operativsystemer, bortsett fra Windows, men det er ikke mye brukt.

Siden SSTP er lukket kildekode og forblir helt under eierskap og vedlikehold av Microsoft, kan det være lurt å vurdere andre alternativer. Selvfølgelig kan SSTP fremdeles være det beste alternativet hvis alle andre protokoller blokkeres i nettverket ditt.

Når det gjelder ytelse, gjør SSTP bra og er raskt, stabilt og sikkert. Dessverre er det svært få VPN-leverandører som støtter SSTP. I mange år støttet ExpressVPN SSTP i Windows-klienten, men det støttes ikke lenger i dag.

Kjennelse: SSTP kan være nyttig hvis andre VPN-protokoller blokkeres, men OpenVPN ville være et bedre valg (hvis tilgjengelig). De fleste VPN-er tilbyr ingen støtte for SSTP.

OpenVPN UDP vs OpenVPN TCP

Når OpenVPN er den mest populære VPN-protokollen, kan du vanligvis velge mellom to varianter: OpenVPN UDP eller OpenVPN TCP. Så hvilken du skal velge?

Nedenfor tester jeg ut NordVPN, som gir meg muligheten til å velge TCP- eller UDP-protokoller.

openvpn udp vs openvpn tcp

Her er en kort oversikt over begge protokollene:

  • TCP (Transmission Control Protocol): TCP er det mer pålitelige alternativet for de to, men det kommer med noen ytelsesulemper. Med TCP blir pakker sendt først etter at den siste pakken er bekreftet å ha kommet, og derfor bremser du ting. Hvis bekreftelse ikke mottas, vil en pakke ganske enkelt bli sendt på nytt - det som kalles feilretting.
  • UDP (User Datagram Protocol): UDP er det raskeste av de to alternativene. Pakker sendes uten noen bekreftelse, noe som forbedrer hastigheten, men som kanskje ikke er så pålitelig.

Som standard ville OpenVPN UDP være det bedre valget fordi det gir overlegen ytelse over OpenVPN TCP. Hvis du har tilkoblingsproblemer, bytter du imidlertid til TCP for mer pålitelighet.

TCP brukes ofte for å tilsløre VPN-trafikk for å se ut som vanlig HTTPS-trafikk. Dette kan gjøres ved å bruke OpenVPN TCP på port 443, med trafikken dirigert i TLS-kryptering. Mange VPN-leverandører tilbyr forskjellige former for tilskudd for å beseire VPN-blokker, og de fleste benytter seg av OpenVPN TCP.

Hva er den beste VPN-protokollen?

Som nevnt i min oversikt over de beste VPN-tjenestene, er det ingen løsning for alle størrelser som passer for enhver person. Dette gjelder valg av VPN-tjeneste og valg av VPN-protokoll. Den beste protokollen for din situasjon vil avhenge av noen få forskjellige faktorer:

  • De enhet du bruker - forskjellige enheter støtter forskjellige protokoller.
  • Din Nettverk - Hvis du er i en begrenset nettverkssituasjon, for eksempel i Kina eller med skole- og arbeidsnettverk, kan det hende at noen protokoller ikke slipper gjennom. Noen VPN-leverandører tilbyr utpekte VPN-protokoller for disse situasjonene - se VPN for Kina-guiden for mer omtale av dette emnet..
  • Opptreden - Noen protokoller gir store fordeler med tanke på ytelse, spesielt på mobile enheter som går inn og ut av tilkoblingsmuligheter.
  • Trusselmodell - Noen protokoller er svakere og mindre sikre enn andre. Velg den beste VPN-protokollen for dine sikkerhets- og personvernbehov, gitt din trusselmodell.

Som en generell tommelfingerregel, imidlertid, OpenVPN er uten tvil den beste rundt VPN-protokollen. Det er veldig sikkert, pålitelig, mye brukt i bransjen, og det gir god hastighet og pålitelighet. Hvis OpenVPN ikke er et alternativ for din situasjon, kan du bare vurdere alternativene.

Med de fleste VPN-tjenester er OpenVPN vanligvis standardprotokollen som brukes i appene deres, selv om L2TP / IPSec og IKEv2 / IPSec er vanlige med mobile VPN-klienter..

Konklusjon av VPN-protokoller

Denne VPN-protokollguiden er ment å tjene som en grunnleggende oversikt over de viktigste VPN-protokollene som brukes i dag: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP og SSTP.

For mer detaljert informasjon om hver protokoll, kan du undersøke referanser fra de respektive utviklerne.

Denne guiden vil fortsette å bli oppdatert når utviklingen fortsetter med disse forskjellige VPN-protokollene.

Oppdatert 13. august 2019.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me