openvpn vs ipsec vs wireguard ikev2


Hvad er VPN-protokoller, og hvorfor skal du forstå de forskellige muligheder?

Da de fleste VPN-udbydere tilbyder forskellige VPN-protokoller at vælge imellem, er det godt at kende fordele og ulemper ved disse forskellige muligheder, så du kan vælge den bedst egnede til dine unikke behov.

I denne vejledning sammenligner vi de to mest populære VPN-protokoller - OpenVPN vs IPSec - samt L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP og SSTP. Dette er beregnet til at give dig en kort oversigt over fordele og ulemper ved hver VPN-protokol.

Så lad os dykke ind.

Hvad er de forskellige VPN-protokoller?

Hvad er en VPN-protokol?

En VPN-protokol er et sæt instruktioner til at etablere en sikker og krypteret forbindelse mellem din enhed og en VPN-server til transmission af data.

De fleste kommercielle VPN-udbydere tilbyder en række forskellige VPN-protokoller, som du kan bruge i VPN-klienten. I skærmbilledet nedenfor tester jeg for eksempel ExpressVPN og har mulighed for at vælge OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec og PPTP.

openvpn l2tp sstp pptpDette er de forskellige VPN-protokoller i ExpressVPN-klienten.

Nu vil vi se nærmere på forskellige VPN-protokoller.

OpenVPN

OpenVPN er en alsidig open source VPN-protokol udviklet af OpenVPN Technologies. Det er uden tvivl den mest sikre og mest populære VPN-protokol, der bruges i dag og har bestået forskellige sikkerhedsrevisioner fra tredjepart.

OpenVPN anses generelt for at være branchestandarden, når det er korrekt implementeret og bruger SSL / TLS til nøgleudveksling. Det giver fuld fortrolighed, godkendelse og integritet og er også meget fleksibel med forskellige anvendelsessager.

OpenVPN

Opsætning: OpenVPN kræver særlig klientsoftware til at bruge i stedet for at blive indbygget i forskellige operativsystemer. De fleste VPN-tjenester leverer tilpassede OpenVPN-apps, der kan bruges på forskellige operativsystemer og enheder. Installation er normalt hurtig og enkel. OpenVPN kan bruges på alle større platforme gennem tredjepartsklienter: Windows, Mac OS, Linux, Apple iOS, Android og forskellige routere (tjek firmwarens kompatibilitet).

Kryptering: OpenVPN bruger OpenSSL-biblioteket og TLS-protokoller til at tilvejebringe kryptering. OpenSSL understøtter en række forskellige algoritmer og cifre, herunder AES, Blowfish, Camellia og ChaCha20.

Sikkerhed: OpenVPN betragtes som den mest sikre VPN-protokol, der er tilgængelig, forudsat at den er korrekt implementeret. Det har ikke kendte større sårbarheder.

Ydeevne: OpenVPN tilbyder god ydelse, især hvis du kører over UDP (User Datagram Protocol), snarere end TCP (Transmission Control Protocol). OpenVPN er også stabil og pålidelig, uanset om det bruges over trådløse eller mobilnetværk. Hvis du har forbindelsesproblemer, kan du bruge OpenVPN med TCP, som vil bekræfte alle sendte pakker, men det vil være langsommere.

Havne: OpenVPN kan bruges på enhver port ved hjælp af UDP eller TCP.

Dom: Højt anbefalet.

IPSec - Internet Protocol Security

Hvad er IPSec?

IPSec er en sikker netværksprotokol suite, der godkender og krypterer datapakker sendt via et IP-netværk. Det står for Internet Protocol Security (IPSec) og blev udviklet af Internet Engineering Task Force. I modsætning til med SSL, der fungerer på applikationsniveau, fungerer IPSec på netværksniveau og kan bruges naturligt med mange operativsystemer. Da de fleste operativsystemer understøtter IPSec naturligt, kan det bruges uden tredjeparts apps (i modsætning til OpenVPN).

IPSec er blevet en meget populær protokol til brug med VPN'er, når den er parret med L2TP eller IKEv2, som vi vil diskutere mere nedenfor.

IPSec krypterer hele IP-pakken ved hjælp af:

  • Authentication Header (AH), der placerer en digital signatur på hver pakke; og
  • Indkapsling af sikkerhedsprotokol (ESP), som fortrolighed, integritet og godkendelse af pakken i transmission.

Lækket NSA-præsentation - En diskussion af IPSec ville ikke være fuldstændig uden at henvise til en lækket NSA-præsentation, der diskuterer NSA, der kompromitterer IPSec-protokoller (L2TP og IKE). Det er vanskeligt at komme til konkrete konklusioner baseret på vage referencer i denne daterede præsentation. Ikke desto mindre, hvis din trusselmodel inkluderer målrettet overvågning fra sofistikerede aktører på statsniveau, kan du overveje en mere sikker protokol, såsom OpenVPN. På en positiv note betragtes IPSec-protokoller stadig i vid udstrækning som sikre, hvis de implementeres korrekt.

Nu vil vi undersøge, hvordan IPSec bruges med VPN'er, når de er parret med L2TP og IKEv2.

IKEv2 / IPSec

Hvad er IKEv2 / IPSec?

IKEv2 er en tunnelprotokol, der er standardiseret i RFC 7296, og den står for Internet Key Exchange version 2 (IKEv2). Det blev udviklet som et fælles projekt mellem Cisco og Microsoft. For at blive brugt med VPN'er til maksimal sikkerhed er IKEv2 parret med IPSec.

Den første version af IKE (Internet Key Exchange) kom ud i 1998, hvor version 2 blev frigivet syv år senere i december 2005. IKEV2 tilbyder i sammenligning med andre VPN-protokoller fordele med hensyn til hastighed, sikkerhed, stabilitet, CPU-brug og evnen til at genoprette en forbindelse. Dette gør det til et godt valg for mobile brugere, især med iOS-enheder (Apple), der naturligt understøtter IKEv2.

Opsætning: Opsætning er generelt hurtig og nem, hvilket kræver, at du importerer konfigurationsfilerne til de servere, du vil bruge fra din VPN-udbyder. (Se eksempel med perfekt privatliv.) IKEv2 understøttes oprindeligt på Windows 7+, Mac OS 10.11+, Blackberry og iOS (iPhone og iPad) og nogle Android-enheder. Nogle operativsystemer understøtter også en "altid tændt" -funktion, som tvinger al internettrafik gennem VPN-tunnelen, hvilket derfor sikrer ingen datalækager.

Kryptering: IKEv2 bruger et stort udvalg af kryptografiske algoritmer, herunder AES, Blowfish, Camellia og 3DES.

Sikkerhed: En ulempe med IKEv2 / IPSec er, at det er en lukket kilde og blev udviklet af Cisco og Microsoft (men open source-versioner findes dog). På en positiv note betragtes IKEv2 bredt til at være blandt de hurtigste og mest sikre protokoller, der er tilgængelige, hvilket gør det til et populært valg blandt VPN-brugere.

YdeevneI mange tilfælde er IKEv2 hurtigere end OpenVPN, da den er mindre CPU-intensiv. Der er dog adskillige variabler, der påvirker hastigheden, så dette gælder muligvis ikke i alle tilfælde. Ud fra et ydelsesmæssigt synspunkt med mobile brugere er IKEv2 muligvis den bedste mulighed, fordi det godt gør at etablere en genforbindelse.

Havne: IKEv2 bruger følgende porte: UDP 500 til den indledende nøgleudveksling og UDP 4500 til NAT-gennemgang.

Dom: Anbefalede.

L2TP / IPSec

Layer 2 Tunneling Protocol (L2TP) parret med IPSec er også en populær VPN-protokol, der naturligt understøttes af mange operativsystemer. L2TP / IPSec er standardiseret i RFC 3193 og giver fortrolighed, godkendelse og integritet.

Opsætning: Opsætning af L2TP / IPSec er generelt hurtig og let. Det understøttes naturligt på mange operativsystemer, herunder Windows 2000 / XP +, Mac OS 10.3+ og såvel som de fleste Android-operativsystemer. Ligesom med IKEv2 / IPSec, skal du blot importere konfigurationsfilerne fra din VPN-udbyder.

Kryptering: L2TP / IPSec indkapsler data to gange med kryptering, der kommer via standard IPSec-protokollen.

Sikkerhed: L2TP / IPSec betragtes generelt som sikkert og har ikke nogen større kendte problemer. Ligesom med IKEv2 / IPSec blev L2TP / IPSec imidlertid også udviklet af Cisco og Microsoft, der rejser spørgsmål om tillid.

Ydeevne: Med hensyn til ydeevne kan L2TP / IPSec virkelig variere. På den ene side kryptering / dekryptering forekommer i kernen, og den understøtter også multi-threading, hvilket skulle forbedre hastigheden. Men på den anden side, fordi det dobbeltindkapsler data, er det muligvis ikke så hurtigt som andre indstillinger.

Havne: L2TP / IPSEC bruger UDP 500 til den indledende nøgleudveksling såvel som UDP 1701 til den indledende L2TP-konfiguration og UDP 4500 til NAT-gennemgang. På grund af denne afhængighed af faste protokoller og porte er det lettere at blokere end OpenVPN.

Dom: L2TP / IPSec er ikke et dårligt valg, men du vil muligvis vælge IKEv2 / IPSec eller OpenVPN, hvis det er tilgængeligt.

WireGuard - En ny og eksperimentel VPN-protokol

WireGuard er en ny og eksperimentel VPN-protokol, der søger at give bedre ydelse og mere sikkerhed i forhold til eksisterende protokoller.

wireguard

Som vi dækkede i den vigtigste WireGuard VPN-guide, har protokollen nogle interessante fordele med hensyn til ydeevne, men den kommer også med et par bemærkelsesværdige ulemper. De største ulemper er som følger:

  • WireGuard forbliver under kraftig udvikling og er endnu ikke revideret.
  • Mange VPN-tjenester har givet anledning til bekymring over WireGuards evne til at blive brugt uden logfiler (ulemper ved privatlivets fred).
  • Meget begrænset vedtagelse fra VPN-branchen (i det mindste for nu).
  • Ingen support til TCP.

Opsætning: WireGuard er ikke inkluderet i noget operativsystem. Dette vil sandsynligvis ændre sig over tid, når det er inkluderet i kernen til Linux, Mac OS og måske med nogle mobile operativsystemer. Et meget begrænset antal VPN'er understøtter WireGuard - tjek med udbyderen for opsætningsinstruktioner.

Kryptering: WireGuard bruger Curve25519 til nøgleudveksling, ChaCha20 og Poly1305 til datagodkendelse og BLAKE2s til hashing.

Sikkerhed: Det største sikkerhedsspørgsmål med WireGuard er, at det endnu ikke er revideret og forbliver under kraftig udvikling. Der er en håndfuld VPN'er, der allerede tilbyder WireGuard til deres brugere til "test" -formål, men i betragtning af projektets tilstand skal WireGuard ikke bruges, når privatliv og sikkerhed er vigtige.

Ydeevne: WireGuard skal teoretisk tilbyde fremragende ydelse med hensyn til hastighed, pålidelighed og også batteriforbrug. Det kan være den ideelle protokol til mobile brugere, fordi det giver dig mulighed for at skifte mellem netværksgrænseflader uden at miste forbindelsen. Genforbindelse antages også at ske meget hurtigere end med OpenVPN og IPSec.

Havne: WireGuard bruger UDP og kan konfigureres på enhver port. Desværre er der ingen support til TCP, hvilket gør det lettere at blokere.

Dom: Ikke (endnu) anbefalet, men jeg vil holde øje med projektets udvikling.

PPTP - forældet og ikke sikkert

PPTP står for Point-to-Point Tunneling Protocol og er en af ​​de ældste VPN-protokoller, der stadig bruges i dag. Det kører på TCP-port 1723 og blev oprindeligt udviklet af Microsoft.

PPTP er nu i det væsentlige forældet på grund af alvorlige sikkerhedssårbarheder. Vi vil ikke bruge for meget tid på at diskutere PPTP, fordi de fleste mennesker ikke engang bruger det mere.

PPTP understøttes naturligt på alle versioner af Windows og de fleste operativsystemer. Selvom det er relativt hurtigt, er PPTP ikke så pålidelig og gendannes ikke så hurtigt fra en tabt forbindelse som OpenVPN.

Generelt bør PPTP ikke bruges i nogen situation, hvor sikkerhed og privatliv er vigtige. Hvis du bare bruger en VPN til at fjerne blokering af indhold, er PPTP muligvis ikke et dårligt valg, men der er mere sikre muligheder, der er værd at overveje.

Dom: Ikke anbefalet

SSTP - En VPN-protokol til Windows, men ikke meget almindelig

Ligesom PPTP bruges SSTP ikke meget i VPN-branchen, men i modsætning til PPTP har den ikke store kendte sikkerhedsproblemer.

SSTP står for Secure Socket Tunneling Protocol og er et Microsoft-produkt, der kun er tilgængeligt til Windows. Det faktum, at det er et lukket kildeprodukt fra Microsoft, er en åbenlys ulempe, selvom SSTP også betragtes som meget sikker.

SSTP transporterer trafik gennem SSL (Secure Socket Layer) -protokollen over TCP-port 443. Dette gør det til en nyttig protokol at bruge i begrænsede netværkssituationer, såsom hvis du har brug for en VPN til Kina. Der er også understøttelse af andre operativsystemer, bortset fra Windows, men det bruges ikke meget.

Da SSTP er en lukket kilde og forbliver helt under ejerskab og vedligeholdelse af Microsoft, kan du overveje andre muligheder. Naturligvis kan SSTP stadig være den bedste mulighed, hvis alle andre protokoller blokeres på dit netværk.

Med hensyn til ydeevne klarer SSTP sig godt og er hurtig, stabil og sikker. Desværre understøtter meget få VPN-udbydere SSTP. I mange år understøttet ExpressVPN SSTP i Windows-klienten, men det understøttes ikke længere i dag.

Dom: SSTP kan være nyttigt, hvis andre VPN-protokoller blokeres, men OpenVPN ville være et bedre valg (hvis tilgængeligt). De fleste VPN'er tilbyder ingen support til SSTP.

OpenVPN UDP vs OpenVPN TCP

Når OpenVPN er den mest populære VPN-protokol, kan du normalt vælge mellem to sorter: OpenVPN UDP eller OpenVPN TCP. Så hvilke man skal vælge?

Nedenfor tester jeg NordVPN, som giver mig muligheden for at vælge TCP- eller UDP-protokoller.

openvpn udp vs openvpn tcp

Her er en kort oversigt over begge protokoller:

  • TCP (Transmission Control Protocol): TCP er de mere pålidelige muligheder for de to, men det leveres med nogle ydelsesulemper. Med TCP sendes pakker først, efter at den sidste pakke er bekræftet at være ankommet, og derfor bremser tingene ned. Hvis der ikke modtages bekræftelse, sendes en pakke ganske enkelt igen - hvad der kaldes fejlkorrektion.
  • UDP (Bruger Datagram-protokol): UDP er den hurtigste af de to indstillinger. Pakker sendes uden nogen bekræftelse, hvilket forbedrer hastigheden, men også muligvis ikke er så pålidelige.

Som standard ville OpenVPN UDP være det bedre valg, fordi det tilbyder overlegen ydelse i forhold til OpenVPN TCP. Hvis du har forbindelsesproblemer, skal du dog skifte til TCP for at få mere pålidelighed.

TCP bruges ofte til at tilsløre VPN-trafik for at ligne almindelig HTTPS-trafik. Dette kan gøres ved at bruge OpenVPN TCP på port 443, med trafikken dirigeret i TLS-kryptering. Mange VPN-udbydere tilbyder forskellige former for tilsløring for at besejre VPN-blokke, og de fleste bruger OpenVPN TCP.

Hvad er den bedste VPN-protokol?

Som bemærket i min oversigt over de bedste VPN-tjenester, er der ingen løsning i én størrelse, der passer til enhver person. Dette gælder for valg af en VPN-tjeneste og også valg af en VPN-protokol. Den bedste protokol til din situation afhænger af et par forskellige faktorer:

  • Det apparat du bruger - forskellige enheder understøtter forskellige protokoller.
  • Dine netværk - Hvis du befinder dig i en begrænset netværkssituation, såsom i Kina eller med skole- og arbejdsnetværk, kommer nogle protokoller muligvis ikke igennem. Nogle VPN-udbydere tilbyder udpegede VPN-protokoller til disse situationer - se VPN for Kina-vejledningen for mere af en diskussion om dette emne.
  • Ydeevne - Nogle protokoller tilbyder store fordele med hensyn til ydeevne, især på mobile enheder, der går ind og ud af forbindelse.
  • Trusselmodel - Nogle protokoller er svagere og mindre sikre end andre. Vælg den bedste VPN-protokol til dit sikkerheds- og privatlivsbehov i betragtning af din trusselmodel.

Som en generel tommelfingerregel dog, OpenVPN er uden tvivl den bedste allround VPN-protokol. Det er meget sikkert, pålideligt, vidt brugt i branchen, og det giver god hastighed og pålidelighed. Hvis OpenVPN ikke er en mulighed for din situation, skal du bare overveje alternativerne.

Med størstedelen af ​​VPN-tjenester er OpenVPN generelt den standardprotokol, der bruges i deres apps, selvom L2TP / IPSec og IKEv2 / IPSec er almindelige med mobile VPN-klienter.

Konklusion om VPN-protokoller

Denne VPN-protokollguide er beregnet til at fungere som en grundlæggende oversigt over de vigtigste VPN-protokoller, der bruges i dag: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP og SSTP.

For mere detaljeret information om hver protokol kan du undersøge referencer fra de respektive udviklere.

Denne vejledning vil fortsat blive opdateret, når udviklingen fortsætter med disse forskellige VPN-protokoller.

Sidst opdateret den 13. august 2019.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me