openvpn vs ipsec vs wireguard ikev2


Kas ir VPN protokoli un kāpēc jums ir jāsaprot dažādas iespējas?

Tā kā vairums VPN pakalpojumu sniedzēju piedāvā dažādus VPN protokolus, no kuriem izvēlēties, ir labi zināt šo dažādo iespēju plusus un mīnusus, lai jūs varētu izvēlēties vispiemērotāko jūsu unikālajām vajadzībām.

Šajā rokasgrāmatā mēs salīdzināsim divus populārākos VPN protokolus - OpenVPN vs IPSec -, kā arī L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP un SSTP. Tas ir paredzēts, lai sniegtu īsu pārskatu par katra VPN protokola plusiem un mīnusiem.

Tāpēc ienirsim iekšā.

Kādi ir dažādi VPN protokoli?

Kas ir VPN protokols?

VPN protokols ir instrukciju kopums, lai izveidotu drošu un šifrētu savienojumu starp jūsu ierīci un VPN serveri datu pārsūtīšanai..

Lielākā daļa komerciālo VPN pakalpojumu sniedzēju piedāvā dažādus VPN protokolus, kurus varat izmantot VPN klientā. Piemēram, zemāk esošajā ekrānuzņēmumā es testēju ExpressVPN un man ir iespēja atlasīt OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec un PPTP.

openvpn l2tp sstp pptpŠie ir dažādi VPN protokoli ExpressVPN klientā.

Tagad mēs tuvāk apskatīsim dažādus VPN protokolus.

OpenVPN

OpenVPN ir universāls, atvērtā koda VPN protokols, ko izstrādājusi OpenVPN Technologies. Tas, bez šaubām, ir visdrošākais un populārākais šodien izmantotais VPN protokols, un tas ir izturējis dažādus trešo personu drošības auditus.

Parasti OpenVPN tiek uzskatīts par nozares standartu, ja tas tiek pareizi ieviests un atslēgu apmaiņai izmanto SSL / TLS. Tas nodrošina pilnīgu konfidencialitāti, autentifikāciju un integritāti, kā arī ir ļoti elastīgs dažādiem lietojuma gadījumiem.

openvpn

Uzstādīt: OpenVPN lietošanai ir nepieciešama īpaša klienta programmatūra, nevis tā, lai būtu iebūvēts dažādās operētājsistēmās. Lielākā daļa VPN pakalpojumu nodrošina pielāgotas OpenVPN lietotnes, kuras var izmantot dažādās operētājsistēmās un ierīcēs. Instalēšana parasti ir ātra un vienkārša. OpenVPN var izmantot visās galvenajās platformās, izmantojot trešo pušu klientus: Windows, Mac OS, Linux, Apple iOS, Android un dažādus maršrutētājus (pārbaudiet, vai programmaparatūra nav saderīga)..

Šifrēšana: OpenVPN izmanto OpenSSL bibliotēku un TLS protokolus, lai nodrošinātu šifrēšanu. OpenSSL atbalsta vairākus dažādus algoritmus un šifrus, ieskaitot AES, Blowfish, Camellia un ChaCha20.

Drošība: OpenVPN tiek uzskatīts par visdrošāko pieejamo VPN protokolu, ja tas ir pareizi ieviests. Tam nav zināmu galveno ievainojamību.

Performance: OpenVPN piedāvā labu veiktspēju, it īpaši, ja darbojas virs UDP (User Datagram Protocol), nevis TCP (Transmission Control Protocol). OpenVPN ir arī stabils un uzticams neatkarīgi no tā, vai to izmanto bezvadu vai mobilajos tīklos. Ja rodas savienojuma problēmas, varat izmantot OpenVPN ar TCP, kas apstiprinās visas nosūtītās paketes, taču tas notiks lēnāk.

Ostas: OpenVPN var izmantot jebkurā ostā, izmantojot UDP vai TCP.

Spriedums: Augsti ieteicams.

IPSec - interneta protokola drošība

Kas ir IPSec??

IPSec ir droša tīkla protokola komplekts, kas autentificē un šifrē datu paketes, kas nosūtītas, izmantojot IP tīklu. Tas apzīmē interneta protokola drošību (IPSec), un to izstrādāja Interneta inženierijas darba grupa. Atšķirībā no SSL, kas darbojas lietojumprogrammu līmenī, IPSec darbojas tīkla līmenī, un to var izmantot sākotnēji ar daudzām operētājsistēmām. Tā kā lielākā daļa operētājsistēmu atbalsta IPSec nacionāli, to var izmantot bez trešo pušu lietotnēm (atšķirībā no OpenVPN).

IPSec ir kļuvis par ļoti populāru protokolu, kas izmantojams kopā ar VPN, kad tiek savienots pārī ar L2TP vai IKEv2, par ko sīkāk runāsim tālāk.

IPSec šifrē visu IP paketi, izmantojot:

  • Autentifikācijas galvene (AH), kas uz katras paketes ievieto ciparparakstu; un
  • Ietverošs drošības protokols (ESP), kas nodrošina pārraidītās paketes konfidencialitāti, integritāti un autentifikāciju.

Nopludināta NSA prezentācija - IPSec diskusija nebūtu pilnīga, ja nebūtu atsauces uz noplūdušo NSA prezentāciju, kurā apskatīti NSA apdraudošie IPSec protokoli (L2TP un IKE). Šajā datētajā prezentācijā ir grūti izdarīt konkrētus secinājumus, kuru pamatā ir neskaidras atsauces. Neskatoties uz to, ja jūsu draudu modelī ir iekļauta mērķtiecīga uzraudzība, ko veic sarežģīti valsts līmeņa dalībnieki, iespējams, vēlēsities apsvērt drošāku protokolu, piemēram, OpenVPN. Pozitīvi, ka IPSec protokoli joprojām tiek plaši uzskatīti par drošiem, ja tie tiek pareizi ieviesti.

Tagad mēs pārbaudīsim, kā IPSec tiek izmantots ar VPN, kad tas ir savienots pārī ar L2TP un IKEv2.

IKEv2 / IPSec

Kas ir IKEv2 / IPSec??

IKEv2 ir tunelēšanas protokols, kas standartizēts RFC 7296, un tas nozīmē Internet Key Exchange 2 versiju (IKEv2). Tas tika izstrādāts kā Cisco un Microsoft kopīgs projekts. Lai maksimālu drošību izmantotu kopā ar VPN, IKEv2 ir savienots pārī ar IPSec.

Pirmā IKE (interneta atslēgu apmaiņas) versija iznāca 1998. gadā, un 2. versija tika izlaista septiņus gadus vēlāk 2005. gada decembrī. Salīdzinājumā ar citiem VPN protokoliem, IKEv2 piedāvā priekšrocības ātruma, drošības, stabilitātes, CPU izmantošanas un spēja atjaunot savienojumu. Tas padara to par labu izvēli mobilajiem lietotājiem, it īpaši ar iOS (Apple) ierīcēm, kuras sākotnēji atbalsta IKEv2.

Uzstādīt: Iestatīšana parasti ir ātra un vienkārša, un no VPN pakalpojumu sniedzēja jums ir jāimportē konfigurējamos failus serveriem, kurus vēlaties izmantot. (Skatīt piemēru ar perfektu privātumu.) IKEv2 tiek sākotnēji atbalstīts operētājsistēmās Windows 7+, Mac OS 10.11+, Blackberry un iOS (iPhone un iPad) un dažās Android ierīcēs. Dažas operētājsistēmas atbalsta arī “vienmēr ieslēgtu” funkciju, kas piespiež visu interneta trafiku caur VPN tuneli, tādējādi nodrošinot datu noplūdi..

Šifrēšana: IKEv2 izmanto lielu kriptogrāfijas algoritmu izvēli, ieskaitot AES, Blowfish, Camellia un 3DES.

Drošība: Viens no IKEv2 / IPSec trūkumiem ir tas, ka tas ir slēgts avots, un to izstrādāja Cisco un Microsoft (taču pastāv atvērtā koda versijas). Pozitīvi, ka IKEv2 tiek plaši uzskatīts par ātrāko un drošāko pieejamo protokolu, padarot to par VPN lietotāju iecienītu izvēli..

Performance: Daudzos gadījumos IKEv2 ir ātrāks nekā OpenVPN, jo tas prasa mazāk CPU. Tomēr ir daudz mainīgo, kas ietekmē ātrumu, tāpēc tas var nebūt piemērojams visos lietošanas gadījumos. Raugoties no darbības viedokļa ar mobilo sakaru lietotājiem, IKEv2 var būt labākais risinājums, jo tas labi izveido atkārtotu savienojumu.

Ostas: IKEv2 izmanto šādus portus: UDP 500 sākotnējai atslēgu apmaiņai un UDP 4500 NAT šķērsošanai.

Spriedums: Ieteicams.

L2TP / IPSec

2. slāņa tunelēšanas protokols (L2TP), kas savienots pārī ar IPSec, ir arī populārs VPN protokols, ko sākotnēji atbalsta daudzas operētājsistēmas. L2TP / IPSec ir standartizēts RFC 3193 un nodrošina konfidencialitāti, autentifikāciju un integritāti.

Uzstādīt: L2TP / IPSec iestatīšana parasti ir ātra un vienkārša. Tas tiek dabiski atbalstīts daudzās operētājsistēmās, ieskaitot Windows 2000 / XP +, Mac OS 10.3 un jaunākās versijās, kā arī lielākajā daļā Android operētājsistēmu. Tāpat kā ar IKEv2 / IPSec, jums vienkārši ir jāimportē konfigurācijas faili no sava VPN pakalpojumu sniedzēja.

Šifrēšana: L2TP / IPSec divreiz iekapsulē datus ar šifrēšanu, izmantojot standarta IPSec protokolu.

Drošība: L2TP / IPSec parasti tiek uzskatīts par drošu, un tam nav būtisku zināmu problēmu. L2TP / IPSec tāpat kā IKEv2 / IPSec izstrādāja arī Cisco un Microsoft, kas rada jautājumus par uzticēšanos.

Performance: Veiktspējas ziņā L2TP / IPSec tiešām var atšķirties. Kodēšana notiek ar vienas puses šifrēšanu / atšifrēšanu, un tā atbalsta arī vairāku pavedienu veidošanu, kam vajadzētu uzlabot ātrumu. Bet no otras puses, tā kā tas dubultā iekapsulē datus, tas var nebūt tik ātrs kā citas iespējas.

Ostas: L2TP / IPSEC izmanto UDP 500 sākotnējai atslēgu apmaiņai, kā arī UDP 1701 sākotnējai L2TP konfigurācijai un UDP 4500 NAT šķērsošanai. Sakarā ar šo paļaušanos uz fiksētajiem protokoliem un portiem to ir vieglāk bloķēt nekā OpenVPN.

Spriedums: L2TP / IPSec nav slikta izvēle, taču, ja ir pieejams, ieteicams izvēlēties IKEv2 / IPSec vai OpenVPN..

WireGuard - jauns un eksperimentāls VPN protokols

WireGuard ir jauns un eksperimentāls VPN protokols, kura mērķis ir nodrošināt labāku veiktspēju un lielāku drošību pār esošajiem protokoliem.

stiepļu sargs

Kā mēs apskatījām galvenajā WireGuard VPN rokasgrāmatā, protokolam ir dažas interesantas priekšrocības veiktspējas ziņā, taču tam ir arī daži vērā ņemami trūkumi. Galvenie trūkumi ir šādi:

  • WireGuard joprojām tiek smagi attīstīts, un tas vēl nav revidēts.
  • Daudzi VPN pakalpojumi ir raduši bažas par WireGuard spēju izmantot bez žurnāliem (privātuma trūkumi).
  • Ļoti ierobežota pieņemšana VPN nozarē (vismaz pagaidām).
  • TCP netiek atbalstīts.

Uzstādīt: WireGuard nav iekļauts nevienā operētājsistēmā. Tas, iespējams, laika gaitā mainīsies, kad tas tiks iekļauts Linux, Mac OS kodolā un, iespējams, arī ar dažām mobilajām operētājsistēmām. Ļoti ierobežots skaits VPN atbalsta WireGuard - uzstādīšanas instrukcijas sazinieties ar pakalpojumu sniedzēju.

Šifrēšana: WireGuard izmanto Curve25519 atslēgu apmaiņai, ChaCha20 un Poly1305 datu autentifikācijai un BLAKE2s sajaukšanai..

Drošība: Galvenā WireGuard drošības problēma ir tā, ka tā vēl nav revidēta un joprojām tiek smagi attīstīta. Daži VPN jau piedāvā lietotājiem WireGuard “testēšanas” nolūkos, taču, ņemot vērā projekta stāvokli, WireGuard nevajadzētu izmantot, ja svarīga ir privātums un drošība..

Performance: WireGuard teorētiski vajadzētu piedāvāt izcilu veiktspēju ātruma, uzticamības un arī akumulatora patēriņa ziņā. Tas var būt ideāls protokols mobilajiem lietotājiem, jo ​​tas ļauj pārslēgties starp tīkla saskarnēm, nezaudējot savienojumu. Paredzams, ka atkārtota savienošana notiks daudz ātrāk nekā ar OpenVPN un IPSec.

Ostas: WireGuard izmanto UDP un to var konfigurēt jebkurā ostā. Diemžēl TCP netiek atbalstīts, kas atvieglo bloķēšanu.

Spriedums: Nav (pagaidām) ieteikts, bet es sekošu līdzi projekta attīstībai.

PPTP - novecojis un nav drošs

PPTP apzīmē tunelēšanas protokolu no viena punkta uz otru un ir viens no vecākajiem VPN protokoliem, kas joprojām tiek izmantots mūsdienās. Tas darbojas uz TCP portu 1723, un sākotnēji to izstrādāja Microsoft.

Tagad PPTP būtībā ir novecojis nopietnu drošības ievainojamību dēļ. Mēs netērēsim pārāk daudz laika PPTP apspriešanai, jo lielākā daļa cilvēku to pat vairs neizmanto.

PPTP tiek atbalstīts sākotnēji visās Windows versijās un lielākajā daļā operētājsistēmu. Lai arī tas ir samērā ātrs, PPTP nav tik uzticams un neatjaunojas tik ātri no pārtrauktajiem savienojumiem kā OpenVPN.

Kopumā PPTP nevajadzētu izmantot nekādās situācijās, kurās svarīga ir drošība un privātums. Ja jūs tikai izmantojat VPN, lai atbloķētu saturu, PPTP var nebūt slikta izvēle, taču ir arī drošākas iespējas, kuras vērts apsvērt.

Spriedums: Nav ieteicams

SSTP - Windows VPN protokols, bet nav ļoti izplatīts

Tāpat kā PPTP, arī SSTP nav plaši izmantots VPN nozarē, taču atšķirībā no PPTP tam nav svarīgu zināmu drošības problēmu..

SSTP nozīmē Drošs ligzdas tunelēšanas protokols un ir Microsoft produkts, kas ir pieejams tikai operētājsistēmai Windows. Fakts, ka tas ir Microsoft slēgtā avota produkts, ir acīmredzams trūkums, kaut arī SSTP arī tiek uzskatīts par diezgan drošu.

SSTP pārvadā satiksmi caur SSL (Secure Socket Layer) protokolu, izmantojot TCP portu 443. Tas padara to par noderīgu protokolu, ko izmantot ierobežotās tīkla situācijās, piemēram, ja jums nepieciešams VPN Ķīnai. Atbalsts ir arī citām operētājsistēmām, izņemot Windows, taču tas netiek plaši izmantots.

Tā kā SSTP ir slēgts avots un pilnībā atrodas Microsoft īpašumā un uztur, ieteicams apsvērt citas iespējas. Protams, SSTP joprojām var būt labākā izvēle, ja visi citi protokoli tiek bloķēti jūsu tīklā.

Veiktspējas ziņā SSTP darbojas labi un ir ātrs, stabils un drošs. Diemžēl ļoti maz VPN pakalpojumu sniedzēju atbalsta SSTP. Daudzus gadus ExpressVPN atbalstīja SSTP Windows klientā, taču mūsdienās tas vairs netiek atbalstīts.

Spriedums: SSTP var būt noderīga, ja citi VPN protokoli tiek bloķēti, bet labāka izvēle būtu OpenVPN (ja pieejams). Lielākā daļa VPN nepiedāvā SSTP atbalstu.

OpenVPN UDP vs OpenVPN TCP

Tā kā OpenVPN ir vispopulārākais VPN protokols, parasti var izvēlēties starp divām šķirnēm: OpenVPN UDP vai OpenVPN TCP. Tātad, kuru izvēlēties?

Zemāk es testēju NordVPN, kas man dod iespēju izvēlēties TCP vai UDP protokolus.

openvpn udp vs openvpn tcp

Šeit ir īss abu protokolu pārskats:

  • TCP (Pārraides vadības protokols): TCP ir uzticamāks variants no abiem, taču tam ir daži veiktspējas trūkumi. Izmantojot TCP, paketes tiek nosūtītas tikai pēc tam, kad tiek apstiprināts, ka ir saņemta pēdējā pakete, tāpēc lietas palēninās. Ja apstiprinājums netiek saņemts, paketi vienkārši atkārtoti nosūtīs no jauna - tā dēvēto kļūdu labošanu.
  • UDP (User Datagram Protocol): UDP ir ātrākais no abiem variantiem. Paketes tiek nosūtītas bez jebkāda apstiprinājuma, kas uzlabo ātrumu, taču var arī nebūt tik uzticams.

Pēc noklusējuma labāka izvēle būtu OpenVPN UDP, jo tas piedāvā izcilu veiktspēju salīdzinājumā ar OpenVPN TCP. Tomēr, ja rodas savienojuma problēmas, pārslēdzieties uz TCP, lai iegūtu lielāku uzticamību.

TCP bieži izmanto VPN trafika apmulsināšanai, lai tas izskatās kā parasts HTTPS trafiks. To var izdarīt, izmantojot OpenVPN TCP ostā 443, satiksmei novirzot TLS šifrēšanā. Daudzi VPN pakalpojumu sniedzēji piedāvā dažādus obfuzēšanas veidus, lai sakautu VPN blokus, un vairums izmanto OpenVPN TCP.

Kāds ir labākais VPN protokols?

Kā tika atzīmēts manā pārskatā par labākajiem VPN pakalpojumiem, katram cilvēkam nav viena principa, kas der visiem. Tas attiecas uz VPN pakalpojuma izvēli un arī uz VPN protokola izvēli. Jūsu situācijai vislabākais protokols būs atkarīgs no dažiem dažādiem faktoriem:

  • ierīce jūs izmantojat - dažādas ierīces atbalsta dažādus protokolus.
  • Jūsu tīkls - ja atrodaties ierobežotā tīkla situācijā, piemēram, Ķīnā vai ar skolu un darba tīkliem, daži protokoli, iespējams, netiks cauri. Daži VPN sniedzēji šīm situācijām piedāvā noteiktus VPN protokolus - lai uzzinātu vairāk par šo tēmu, skatiet ceļvedi VPN Ķīnai..
  • Performance - Daži protokoli sniedz lielas priekšrocības veiktspējas ziņā, jo īpaši mobilajās ierīcēs, kuras savieno vai aiziet no savienojamības.
  • Draudu modelis - Daži protokoli ir vājāki un mazāk droši nekā citi. Drošības un privātuma vajadzībām izvēlieties labāko VPN protokolu, ņemot vērā jūsu draudu modeli.

Tomēr kā vispārējs īkšķa noteikums, OpenVPN neapšaubāmi ir labākais vispusīgais VPN protokols. Tas ir ļoti drošs, uzticams, nozarē plaši izmantots, un tas piedāvā labu ātrumu un uzticamību. Ja OpenVPN nav jūsu situācijas risinājums, vienkārši apsveriet alternatīvas.

Lielākajā daļā VPN pakalpojumu OpenVPN parasti ir noklusējuma protokols, kas tiek izmantots viņu lietotnēs, lai gan L2TP / IPSec un IKEv2 / IPSec ir izplatīti mobilajiem VPN klientiem.

VPN protokolu slēdziens

Šis VPN protokolu ceļvedis ir paredzēts, lai kalpotu kā galveno pārskatu par galvenajiem šodien izmantotajiem VPN protokoliem: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP un SSTP.

Lai iegūtu sīkāku informāciju par katru protokolu, varat pārbaudīt attiecīgo izstrādātāju atsauces.

Šī rokasgrāmata tiks turpināta, tiklīdz tiks turpināta šo dažādo VPN protokolu izstrāde.

Atjaunināts 2019. gada 13. augustā.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me