Что такое VPN-протоколы и почему вам нужно знать их различные варианты?
Поскольку большинство провайдеров VPN предлагают различные протоколы VPN на выбор, полезно знать плюсы и минусы этих различных вариантов, чтобы вы могли выбрать наиболее подходящий для ваших потребностей.
В этом статье мы сравним два самых популярных протокола VPN - OpenVPN против IPSec - а также L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP и SSTP. Это должно дать вам краткий обзор преимуществ и недостатков каждого протокола VPN.
Итак, давайте начнем.
Какие существуют разные протоколы VPN?
Что такое протокол VPN?
Протокол VPN - это набор инструкций для установки безопасного и зашифрованного соединения между вашим устройством и сервером VPN для передачи данных.
Большинство коммерческих провайдеров VPN предлагают множество различных протоколов VPN, которые вы можете использовать в VPN-клиенте. Например, на скриншоте ниже видно окно выбора протоколов OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec и PPTP, провайдера ExpressVPN.
Теперь подробнее рассмотрим различные протоколы VPN.
OpenVPN
OpenVPN - это универсальный протокол VPN с открытым исходным кодом, разработанный компанией OpenVPN Technologies. Это, пожалуй, самый безопасный и самый популярный протокол VPN, используемый сегодня, и он прошел различные сторонние проверки безопасности .
OpenVPN, как правило, считается отраслевым стандартом, если он правильно реализован и использует SSL / TLS для обмена ключами. Он обеспечивает полную конфиденциальность, аутентификацию и целостность, а также очень гибок в различных случаях использования.
Настройка : OpenVPN требует специального клиентского программного обеспечения, а не встроенного в разные операционные системы. Большинство VPN-сервисов предоставляют пользовательские приложения OpenVPN, которые можно использовать в разных операционных системах и устройствах. Установка обычно быстрая и простая. OpenVPN можно использовать на всех основных платформах через сторонние клиенты: Windows, Mac OS, Linux, Apple iOS, Android и различные маршрутизаторы (проверьте совместимость встроенного программного обеспечения).
Шифрование : OpenVPN использует библиотеку OpenSSL и протоколы TLS для обеспечения шифрования. OpenSSL поддерживает ряд различных алгоритмов и шифров, включая AES, Blowfish, Camellia и ChaCha20.
Безопасность . OpenVPN считается наиболее безопасным из доступных протоколов VPN при условии его правильной реализации. У него нет известных серьезных уязвимостей.
Производительность : OpenVPN предлагает хорошую производительность, особенно если он работает через UDP (протокол пользовательских дейтаграмм), а не TCP (протокол управления передачей). OpenVPN также является стабильным и надежным независимо от того, используется ли он в беспроводных или сотовых сетях. Если у вас проблемы с подключением, вы можете использовать OpenVPN с TCP, который подтвердит все отправленные пакеты, но будет медленнее.
Порты : OpenVPN может использоваться на любом порту с использованием UDP или TCP.
Вердикт : настоятельно рекомендуется.
IPSec - Безопасность интернет-протокола
Что такое IPSec?
IPSec - это пакет защищенных сетевых протоколов, который аутентифицирует и шифрует пакеты данных, передаваемые по IP-сети. Он расшифровывается как Internet Protocol Security (IPSec) и был разработан Инженерной рабочей группой по Интернету . В отличие от SSL, который работает на уровне приложений, IPSec работает на сетевом уровне и может использоваться непосредственно во многих операционных системах. Поскольку большинство операционных систем изначально поддерживают IPSec, его можно использовать без сторонних приложений (в отличие от OpenVPN).
IPSec стал очень популярным протоколом для использования с VPN в паре с L2TP или IKEv2, о чем мы поговорим ниже.
IPSec шифрует весь IP-пакет, используя:
Заголовок аутентификации (AH), который помещает цифровую подпись в каждый пакет; а также
Протокол инкапсуляции безопасности (ESP), обеспечивающий конфиденциальность, целостность и аутентификацию пакета при передаче.
Утечка презентации NSA . Обсуждение IPSec не было бы полным без ссылки на утечку презентации NSA, в которой обсуждаются компрометирующие протоколы NSA IPSec (L2TP и IKE). Трудно прийти к каким-либо конкретным выводам, основанным на расплывчатых ссылках в этой устаревшей презентации. Тем не менее, если ваша модель угроз включает в себя целенаправленное наблюдение со стороны опытных субъектов на государственном уровне, вы можете рассмотреть вопрос о более безопасном протоколе, таком как OpenVPN. Положительным моментом является то, что протоколы IPSec по-прежнему широко считаются безопасными, если они реализованы должным образом.
Теперь мы рассмотрим, как IPSec используется с VPN при соединении с L2TP и IKEv2.
IKEv2 / IPSec
Что такое IKEv2 / IPSec?
IKEv2 - это протокол туннелирования, стандартизированный в RFC 7296, и он обозначает Internet Key Exchange version 2 (IKEv2). Он был разработан как совместный проект Cisco и Microsoft. Чтобы использовать с VPN для максимальной безопасности, IKEv2 в паре с IPSec.
Первая версия IKE ( Internet Key Exchange ) вышла в 1998 году, а версия 2 была выпущена спустя семь лет в декабре 2005 года. По сравнению с другими протоколами VPN, IKEv2 предлагает преимущества с точки зрения скорости, безопасности, стабильности, использования ЦП и возможность восстановить соединение. Это делает его хорошим выбором для мобильных пользователей, особенно с устройствами iOS (Apple), которые изначально поддерживают IKEv2.
Настройка : установка обычно быстрая и простая, требующая импорта файлов конфигурации для серверов, которые вы хотите использовать, от вашего провайдера VPN. (См. Этот пример настройки с Perfect Privacy .) IKEv2 изначально поддерживается на Windows 7+, Mac OS 10.11+, Blackberry и iOS (iPhone и iPad) и некоторых устройствах Android. Некоторые операционные системы также поддерживают функцию «всегда включен», которая пропускает весь интернет-трафик через VPN-туннель, что предотвращает утечку данных.
Шифрование : IKEv2 использует большой выбор криптографических алгоритмов , включая AES, Blowfish, Camellia и 3DES.
Безопасность : один недостаток IKEv2 / IPSec заключается в том, что он является закрытым исходным кодом и был разработан Cisco и Microsoft (но версии с открытым исходным кодом все же существуют). Положительным моментом является то, что IKEv2 считается одним из самых быстрых и безопасных протоколов, что делает его популярным среди пользователей VPN.
Производительность : во многих случаях IKEv2 работает быстрее, чем OpenVPN, так как он менее ресурсоемкий. Однако существует множество переменных, которые влияют на скорость, поэтому это может не применяться во всех случаях использования. С точки зрения производительности для мобильных пользователей IKEv2 может быть лучшим вариантом, поскольку он хорошо устанавливает переподключение.
Порты : IKEv2 использует следующие порты: UDP 500 для первоначального обмена ключами и UDP 4500 для NAT-обхода.
Вердикт : рекомендуется.
L2TP / IPSec
Протокол туннелирования уровня 2 (L2TP) в паре с IPSec также является популярным протоколом VPN, который изначально поддерживается многими операционными системами. L2TP / IPSec стандартизирован в RFC 3193 и обеспечивает конфиденциальность, аутентификацию и целостность.
Настройка : Настройка L2TP / IPSec обычно быстрая и простая. Он изначально поддерживается во многих операционных системах, включая Windows 2000 / XP +, Mac OS 10.3+, а также в большинстве операционных систем Android. Как и в случае с IKEv2 / IPSec, вам просто необходимо импортировать файлы конфигурации из вашего провайдера VPN.
Шифрование : L2TP / IPSec инкапсулирует данные дважды, шифрование осуществляется по стандартному протоколу IPSec.
Безопасность : L2TP / IPSec обычно считается безопасным и не имеет каких-либо серьезных известных проблем. Однако, как и в случае с IKEv2 / IPSec, L2TP / IPSec был также разработан Cisco и Microsoft, что вызывает вопросы о доверии.
Производительность : с точки зрения производительности L2TP / IPSec действительно может варьироваться. С одной стороны, в ядре происходит шифрование / дешифрование одной рукой, и оно также поддерживает многопоточность, что должно повысить скорость. Но, с другой стороны, поскольку он дважды инкапсулирует данные, он может работать не так быстро, как другие варианты.
Порты : L2TP / IPSEC использует UDP 500 для первоначального обмена ключами, а также UDP 1701 для начальной конфигурации L2TP и UDP 4500 для прохождения NAT. Из-за этой зависимости от фиксированных протоколов и портов их легче блокировать, чем OpenVPN.
Вердикт : L2TP / IPSec - неплохой выбор, но лучше выбрать IKEv2 / IPSec или OpenVPN, если они доступны.
WireGuard - новый и экспериментальный протокол VPN
WireGuard - это новый экспериментальный протокол VPN, который стремится обеспечить более высокую производительность и большую безопасность по сравнению с существующими протоколами.
Протокол обладает некоторыми интересными преимуществами с точки зрения производительности, но он также имеет несколько примечательных недостатков. Основные недостатки заключаются в следующем:
WireGuard находится в стадии интенсивного развития и еще не прошел аудит.
Многие VPN-сервисы вызывают опасения по поводу возможности использования WireGuard без логов (недостатки конфиденциальности).
Очень ограниченное принятие индустрией VPN (по крайней мере, на данный момент).
Нет поддержки TCP.
Настройка : WireGuard не входит ни в одну операционную систему. Вероятно, со временем это изменится, когда оно будет включено в ядро для Linux, Mac OS и, возможно, с некоторыми мобильными операционными системами. WireGuard поддерживает очень ограниченное количество VPN - обратитесь к провайдеру за инструкциями по настройке.
Шифрование : WireGuard использует Curve25519 для обмена ключами , ChaCha20 и Poly1305 для аутентификации данных и BLAKE2 для хеширования .
Безопасность : Главная проблема безопасности в WireGuard заключается в том, что он еще не прошел аудит и находится в стадии интенсивного развития. Есть несколько VPN, которые уже предлагают WireGuard своим пользователям для «тестирования», но, учитывая состояние проекта, WireGuard не следует использовать, когда важны конфиденциальность и безопасность.
Производительность : WireGuard теоретически должен обеспечивать отличную производительность с точки зрения скорости, надежности, а также потребления батареи. Это может быть идеальный протокол для мобильных пользователей, поскольку он позволяет переключаться между сетевыми интерфейсами без потери соединения. Предполагается, что переподключение будет происходить намного быстрее, чем с OpenVPN и IPSec.
Порты : WireGuard использует UDP и может быть настроен на любой порт. К сожалению, нет поддержки TCP, что облегчает блокировку.
Вердикт : Не рекомендуется (пока), но я буду следить за развитием проекта.
PPTP - устаревший и небезопасный
PPTP расшифровывается как протокол туннелирования точка-точка и является одним из старейших протоколов VPN, используемых до сих пор. Он работает на TCP-порту 1723 и был изначально разработан Microsoft.
PPTP сейчас по сути устарел из-за серьезных уязвимостей в безопасности . Мы не будем тратить слишком много времени на обсуждение PPTP, потому что большинство людей его уже не используют.
PPTP изначально поддерживается во всех версиях Windows и в большинстве операционных систем. Несмотря на то, что он относительно быстрый, PPTP не так надежен и не восстанавливается так быстро после сброшенных соединений, как OpenVPN.
В целом, PPTP не следует использовать в ситуациях, когда важны безопасность и конфиденциальность. Если вы просто используете VPN для разблокировки контента, PPTP может быть не плохим выбором, но есть более безопасные варианты, которые стоит рассмотреть.
Вердикт : не рекомендуется
SSTP - протокол VPN для Windows, но не очень распространенный
Как и PPTP, SSTP не широко используется в индустрии VPN, но, в отличие от PPTP, он не имеет серьезных известных проблем безопасности.
SSTP расшифровывается как Secure Socket Tunneling Protocol и является продуктом Microsoft, доступным только для Windows. Тот факт, что это продукт с закрытым исходным кодом от Microsoft, является очевидным недостатком, хотя SSTP также считается достаточно безопасным.
SSTP передает трафик через протокол SSL (Secure Socket Layer) через TCP-порт 443. Это делает его полезным для использования в ограниченных сетевых ситуациях, например, если вам нужен VPN для Китая . Помимо Windows есть поддержка других операционных систем, но она не используется широко.
Поскольку SSTP является закрытым исходным кодом и полностью находится в собственности и обслуживании Microsoft, вы можете рассмотреть другие варианты. Конечно, SSTP все еще может быть лучшим вариантом, если все другие протоколы блокируются в вашей сети.
С точки зрения производительности SSTP работает хорошо, быстро, стабильно и безопасно. К сожалению, очень немногие провайдеры VPN поддерживают SSTP. В течение многих лет ExpressVPN поддерживал SSTP в клиенте Windows, но сегодня он больше не поддерживается.
Вердикт : SSTP может быть полезен, если другие протоколы VPN блокируются, но OpenVPN будет лучшим выбором (если доступно). Большинство VPN не поддерживают SSTP.
OpenVPN UDP против OpenVPN TCP
Поскольку OpenVPN является наиболее популярным протоколом VPN, вы обычно можете выбрать между двумя вариантами: OpenVPN UDP или OpenVPN TCP. Так что же выбрать?
Ниже я тестирую NordVPN , который дает мне возможность выбрать протоколы TCP или UDP.
Вот краткий обзор обоих протоколов:
TCP (протокол управления передачей): TCP является более надежным вариантом из двух, но он имеет некоторые недостатки производительности. При использовании TCP пакеты отправляются только после того, как подтверждено, что последний пакет прибыл, что замедляет работу. Если подтверждение не получено, пакет будет просто повторно отправлен - что называется исправлением ошибок.
UDP (протокол пользовательских дейтаграмм): UDP - самый быстрый из двух вариантов. Пакеты отправляются без какого-либо подтверждения, что повышает скорость, но также может быть не таким надежным.
По умолчанию, OpenVPN UDP будет лучшим выбором, поскольку он предлагает превосходную производительность по сравнению с OpenVPN TCP. Если у вас возникли проблемы с подключением, переключитесь на TCP для большей надежности.
TCP часто используется для обфускации VPN-трафика, чтобы он выглядел как обычный HTTPS-трафик. Это может быть сделано с помощью OpenVPN TCP на порту 443, с трафиком, маршрутизируемым в шифровании TLS. Многие провайдеры VPN предлагают различные формы запутывания, чтобы победить блоки VPN, и большинство используют TCP OpenVPN.
Какой протокол VPN лучше?
Как отмечалось в обзоре лучших VPN-сервисов , не существует универсального решения для каждого человека. Это относится к выбору услуги VPN, а также к выбору протокола VPN. Лучший протокол для вашей ситуации будет зависеть от нескольких факторов:
Устройство, которое вы используете - разные устройства поддерживают разные протоколы.
Ваша сеть - если вы находитесь в ограниченной сетевой ситуации, например, в Китае или со школьной и рабочими сетями, некоторые протоколы могут не пройти. Некоторые провайдеры VPN предлагают специальные протоколы VPN для этих ситуаций - см. Руководство по VPN для Китая для более подробного обсуждения этой темы.
Производительность. Некоторые протоколы предлагают большие преимущества с точки зрения производительности, особенно на мобильных устройствах, которые подключаются и отключаются.
Модель угрозы - некоторые протоколы слабее и менее безопасны, чем другие. Выберите лучший протокол VPN для ваших потребностей в области безопасности и конфиденциальности, учитывая вашу модель угроз.
Однако, как общее практическое правило, OpenVPN , возможно, является лучшим универсальным протоколом VPN . Он очень надежен, широко используется в отрасли и предлагает хорошую скорость и надежность. Если OpenVPN не подходит для вашей ситуации, просто рассмотрите альтернативы.
В большинстве VPN-сервисов OpenVPN, как правило, является протоколом по умолчанию, используемым в их приложениях, хотя L2TP / IPSec и IKEv2 / IPSec обычны для мобильных VPN-клиентов.
Заключение протоколов VPN
Это руководство по протоколам VPN служит базовым обзором основных протоколов VPN, используемых сегодня: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP и SSTP.
