В последнее время численность пользователей VPN значительно возросла. При этом речь идет не только о тех, кто стремится обойти блокировки и получить доступ к заблокированным сайтам, но и о тех, кто использует VPN для безопасной удаленной работы. Это создает необходимость вновь рассмотреть доступные протоколы и оценить их с точки зрения безопасности.
Начнем с основных сведений о VPN. Существует множество сценариев его использования, наиболее распространенные из которых:
- создание защищенного канала между несколькими удаленными сегментами сети.
- виртуальное изменение местоположения с помощью услуг провайдеров VPN.
- подключение удаленных сотрудников к корпоративной сети.
Для реализации этих задач разработано множество VPN-протоколов, предназначенных для связи, шифрования трафика и других функций. Наиболее известные и часто используемые протоколы — OpenVPN и IPSec, а недавно появился WireGuard, который вызвал некоторые споры. Существуют также и другие альтернативы, которые, хотя и устарели, все еще способны решать определенные задачи.
Эффективность того или иного VPN-протокола определяется многими факторами и условиями их применения:
Устройства — различные устройства поддерживают разные VPN-протоколы.
Сеть — если некоторые сервисы недоступны в вашем регионе, определенные протоколы могут быть нецелесообразными.
Производительность — определенные протоколы могут обеспечивать большую скорость и стабильность, особенно на мобильных терминалах, в то время как другие лучше подходят для крупных сетевых окружений.
Модель угроз — у разных протоколов уровень безопасности может отличаться, что делает их более или менее уязвимыми к атакам со стороны злоумышленников.
PPTP
Протокол туннелирования точка-точка (PPTP) — это один из самых давних VPN-протоколов, который продолжает использоваться и по сей день, изначально созданный компанией Microsoft.
SSTP
Протокол безопасного туннелирования сокетов (SSTP) является запатентованным решением от компании Microsoft. Подобно PPTP, SSTP не получил широкого распространения в сфере VPN, однако, в отличие от PPTP, у него не выявлены серьезные уязвимости в области безопасности.
IPsec
Internet Protocol Security (IPsec) — это комплекс протоколов, предназначенный для обеспечения безопасности данных, передаваемых через IP-сеть. В отличие от SSL, который функционирует на уровне приложений, IPsec работает на сетевом уровне и может быть встроен в различные операционные системы, что позволяет его использовать без установки стороннего программного обеспечения (в отличие от OpenVPN).
L2TP/IPsec
Протокол туннелирования второго уровня (L2TP) был представлен в 1999 году как альтернатива протоколам L2F (Cisco) и PPTP (Microsoft). Сам по себе L2TP не предоставляет шифрования или механизмов аутентификации, поэтому его часто комбинируют с IPsec. В тандеме с IPsec L2TP поддерживается множеством операционных систем и был стандартизирован в RFC 3193.
IKEv2/IPsec
Версия 2 Протокола обмена ключами в интернете (IKEv2) представляет собой протокол, связанный с IPsec, который предназначен для обеспечения взаимной аутентификации, а также для создания и поддержки ассоциаций безопасности (SA). Он стандартизирован в RFC 7296. IKEv2 и L2TP обеспечивают одинаковый уровень безопасности благодаря использованию IPsec. Этот протокол был разработан в сотрудничестве Microsoft и Cisco, однако существуют и реализации с открытым исходным кодом, такие как OpenIKEv2, Openswan и strongSwan.
OpenVPN
OpenVPN представляет собой многофункциональный VPN-протокол с открытым кодом, созданный компанией OpenVPN Technologies. В наши дни он, возможно, является наиболее распространенным протоколом для виртуальных частных сетей. Как открытый стандарт, он был предметом нескольких независимых проверок безопасности.
WireGuard
WireGuard — это свежий и ещё не полностью исследованный протокол VPN. Его создатели заявляют о его способности заменить IPsec и OpenVPN в большинстве сценариев использования, при этом обеспечивая большую безопасность, высокую производительность и легкость в эксплуатации.