Phân tích giao thức VPN: VPN đằng sau hậu trường

Bảo mật và quyền riêng tư của Nhật Bản là một trong những phần quan trọng nhất trong các đánh giá VPN của chúng tôi. Nếu bạn đã đọc chúng – và chúng tôi thực sự khuyên bạn nên làm điều đó – bạn biết rằng chúng tôi bao gồm các giao thức mà VPN cung cấp, các tính năng bảo mật, chẳng hạn như có một killswitch và chính sách quyền riêng tư mà.


Tất cả các chủ đề này tạo nên bảo mật VPN, điều quan trọng là có được một viễn cảnh rộng lớn về mức độ bạn được bảo vệ. Điều đó nói rằng, giao thức VPN là mối quan tâm bảo mật chính và việc biết các tùy chọn độc quyền và nguồn mở tích hợp nào để sử dụng có thể khó khăn.

Trong sự cố giao thức VPN này, chúng tôi sẽ xóa bỏ sự nhầm lẫn. Có rất nhiều giao thức mạng, vì vậy chúng tôi đã thực hiện nghiên cứu và cô đọng danh sách của chúng tôi với các giao thức VPN mà bạn có thể thấy trong ứng dụng của mình. Tuy nhiên, trước khi đi đến chi tiết cụ thể, chúng ta phải xác định giao thức VPN là gì.

Giao thức VPN là gì?

Giao thức VPN

Mạng riêng ảo bảo mật và ẩn danh kết nối internet của bạn bằng cách kết nối bạn với máy chủ từ xa trước khi khởi chạy trang web. Kết nối đến máy chủ đó cũng được mã hóa, có nghĩa là không thể nhìn thấy các yêu cầu dựa trên web của bạn ở bên ngoài.

Loại và mức độ mã hóa được xác định bởi giao thức bảo mật. Tùy thuộc vào giao thức bạn sử dụng, bạn sẽ kết nối với VPN qua các cổng khác nhau và với mức độ bảo mật khác nhau.

Mặc dù loại mã hóa là sự khác biệt chính giữa các giao thức, nó cũng ảnh hưởng đến các khía cạnh khác của việc sử dụng VPN. Ví dụ: mức mã hóa tinh vi hơn sẽ bảo vệ kết nối của bạn nhiều hơn, nhưng nó đã thắng được tốc độ nhanh như một giao thức mà sử dụng mã hóa kém an toàn hơn.

Ở mức độ thực tế, sự lựa chọn trong giao thức tùy thuộc vào cách bạn muốn cân bằng giữa bảo mật và tốc độ. Giao thức VPN là một dạng giao thức mạng, nghĩa là chúng tập hợp các yêu cầu để thiết lập kết nối giữa hai thiết bị. Điều đó bao gồm bảo mật và tốc độ.

Thật không may, giống như hầu hết các chủ đề mạng, nó không đơn giản. Hỗ trợ nền tảng rất quan trọng, cũng như việc mã hóa xảy ra ở đâu và khi nào trong chuỗi truyền thông. Những khác biệt đó là lý do tại sao các nhà cung cấp VPN tốt nhất bao gồm nhiều tùy chọn giao thức.

Mặc dù sử dụng VPN dễ dàng như thế nào, tuy nhiên, nó không chắc bạn sẽ chú ý hay quan tâm đến việc thay đổi giao thức của mình. Mặc dù vậy, chúng tôi sẽ chạy qua các giao thức phổ biến có sẵn cho bạn và các trường hợp sử dụng khác nhau cho chúng. Khi làm như vậy, hy vọng của chúng tôi là bạn sẽ tìm hiểu lý do nên sử dụng OpenVPN khi định cấu hình VPN cho bộ định tuyến và IKEv2 khi sử dụng một thiết bị trên điện thoại của bạn.

Giao thức VPN phổ biến

Dưới đây bạn sẽ tìm thấy các giao thức phổ biến nhất mà chúng tôi gặp phải. Dĩ nhiên, có một vài biến thể kỳ lạ hơn, nhưng hầu hết các nhà cung cấp VPN sẽ sử dụng kết hợp cả hai.

OpenVPN

OpenVPN

OpenVPN là một giao thức phổ biến để sử dụng vì nó là nguồn mở và miễn phí. Một số nhà cung cấp, chẳng hạn như AirVPN và e-VPN (đọc bài đánh giá AirVPN và đánh giá e-VPN của chúng tôi), đã xây dựng các dịch vụ của họ xung quanh nó. Nó trên 15 tuổi và có một cộng đồng xung quanh nó liên tục quét các tệp nguồn để tìm lỗ hổng bảo mật, làm cho nó trở thành một trong những tùy chọn an toàn nhất hiện có.

Nó có thể sử dụng hai giao thức truyền tải: TCP hoặc UDP. Giao thức điều khiển truyền dẫn là phổ biến nhất. Máy của bạn gửi một gói, sau đó chờ xác nhận trước khi gửi gói khác, tạo kết nối đáng tin cậy hơn.

Đó là lợi ích đáng tin cậy, nhưng không phải là tốc độ. Bởi vì mỗi gói phải chờ xác nhận, sử dụng TCP sẽ thêm chi phí vào kết nối mạng. Đó là nơi có Giao thức gói dữ liệu người dùng đến. Nó tiếp tục gửi các gói mà không cần xác nhận, giúp kết nối nhanh hơn, nếu kém tin cậy hơn.

Theo như mã hóa, OpenVPN là đỉnh cao. Nó sử dụng thư viện OpenSSL, có nghĩa là nó có quyền truy cập vào tất cả các mật mã ở đó. Nó cũng sử dụng giao thức bảo mật tùy chỉnh dựa trên SSL / TLS cung cấp mã hóa tối đa 256 bit.

Mặc dù vậy, mã hóa 256-bit là không bắt buộc. Một số nhà cung cấp, chẳng hạn như Truy cập Internet Riêng tư, mặc định là mã hóa 128 bit, như bạn có thể đọc trong bài đánh giá PIA của chúng tôi. Sử dụng kích thước khóa nhỏ hơn thường cho phép kết nối nhanh hơn, nhưng điều đó phải trả giá.

Điều đó nói rằng, ngay cả các nhà cung cấp VPN nhanh nhất cũng sử dụng khóa 256 bit, điều này cho thấy lý do tại sao OpenVPN rất phổ biến. Ngoài nhiều lý do khác để nhà cung cấp cung cấp dịch vụ này, OpenVPN có sự cân bằng tốt nhất về bảo mật và tốc độ.

Do tính chất nguồn mở của nó, nó cũng xuất hiện trong các giao thức tùy chỉnh từ một số nhà cung cấp VPN. Giao thức VyprVPN sườn Chameleon xáo trộn các gói OpenVPN và Astrill lùng StealthVPN thực hiện điều tương tự (đọc bài đánh giá VyprVPN của chúng tôi và đánh giá Astrill).

VyprVPN và Astrill đã phát triển các giao thức của họ để vượt qua kiểm duyệt ở Trung Quốc. OpenVPN, mặc dù có độ bảo mật cao, nhưng không có gì đặc biệt để ẩn khỏi việc kiểm tra gói sâu. VyprVPN được xếp hạng trong các dịch vụ VPN tốt nhất của chúng tôi cho hướng dẫn Trung Quốc vì giao thức Chameleon của nó có thể làm xáo trộn các gói OpenVPN đang được gửi.

Một lợi ích khác của OpenVPN là nó có thể thích nghi với hầu hết mọi nền tảng. Ví dụ, ExpressVPN cho phép bạn sử dụng OpenVPN trên bộ định tuyến của mình, như bạn có thể thấy trong bài đánh giá ExpressVPN của chúng tôi. Nó sử dụng phần sụn tùy chỉnh bao gồm phiên bản OpenVPN được cấu hình sẵn, cho phép bạn bảo mật lưu lượng truy cập đến bộ định tuyến và internet.

Giao thức đường hầm lớp 2

Giao thức đường hầm lớp 2 là một giao thức đường hầm cho phép dữ liệu di chuyển từ mạng này sang mạng khác. Không giống như OpenVPN, L2TP hoàn toàn là một giao thức đường hầm. Nó không cung cấp mã hóa trên chính nó. Do đó, L2TP thường được kết hợp với một giao thức mã hóa để cung cấp bảo mật.

Nó được tạo ra vào năm 1999 và dựa trên hai giao thức đường hầm cũ hơn được gọi là L2F và PPTP. Chúng tôi sẽ nói về cái sau trong phần sau. Mặc dù phiên bản mới của giao thức, được gọi là L2TPv3, được giới thiệu vào năm 2005 để thêm các tính năng bảo mật, L2TP hầu như giữ nguyên.

L2TP sử dụng hai loại gói: gói điều khiển và gói dữ liệu. Các gói điều khiển liên quan đến việc thiết lập kết nối và mở đường hầm giữa bạn và máy chủ mà bạn đang truy cập. Vì đó là chức năng cốt lõi của giao thức đường hầm, L2TP có các tính năng độ tin cậy, chẳng hạn như xác nhận gói, được gắn với các gói điều khiển.

Các gói dữ liệu don lồng có các tính năng như vậy. L2TP gửi các gói trong một datagram UDP, có nghĩa là chúng không được xác minh khi chúng được gửi. Điều đó làm cho kết nối nhanh hơn, nhưng kém tin cậy hơn.

Vấn đề với L2TP là các gói bạn đã gửi mã hóa aren. Họ đã đóng gói, nhưng có một thuật toán mã hóa để che giấu dữ liệu. Do đó, rất có thể bạn sẽ tìm thấy L2TP được ghép nối với IPSec trong máy khách VPN của bạn.

IPSec cung cấp mã hóa, đóng gói gói đã được đóng gói khi đi qua đường hầm L2TP. Điều đó có nghĩa là địa chỉ IP nguồn và đích được mã hóa trong gói IPSec, tạo kết nối VPN an toàn.

Theo như mã hóa, IPSec cung cấp một vài tùy chọn, bao gồm cả HMAC với thuật toán băm thích hợp, TripleDES-CBC, AES-CBC và AES-GCM. Một số nhà cung cấp VPN, chẳng hạn như TorGuard (đọc bài đánh giá TorGuard của chúng tôi), cho phép bạn thay đổi mật mã được sử dụng, nhưng bạn hầu như sẽ tìm thấy L2TP / IPSec được bảo mật bằng AES 128 bit hoặc 256 bit.

L2TP / IPSec được coi là an toàn, nhưng một số chuyên gia bảo mật nghi ngờ vì IPSec được phát triển, một phần, bởi Cơ quan An ninh Quốc gia Hoa Kỳ. Mặc dù vậy, nó thường là một lựa chọn tồi tệ hơn OpenVPN. Cổng L2TP sử dụng dễ dàng bị chặn bởi tường lửa, do đó, bạn sẽ có một thời gian khó khăn để kiểm duyệt trừ khi bạn sử dụng VPN hỗ trợ chuyển tiếp cổng.

Giao thức đường hầm ổ cắm an toàn

SSTL

Giao thức đường hầm ổ cắm an toàn là một công nghệ độc quyền của Microsoft được phát triển cho Windows Vista. Mặc dù nó là một giao thức do Microsoft phát triển, SSTP cũng có thể được sử dụng trên Linux. Điều đó nói rằng, nó không được hỗ trợ trên macOS và có thể sẽ không bao giờ. Đọc VPN tốt nhất của chúng tôi dành cho máy Mac nếu bạn sử dụng Team Apple.

Giống như OpenVPN, SSTP cho phép lưu lượng truy cập điểm-điểm đi qua kênh SSL / TLS. Do đó, nó có cùng ưu và nhược điểm của việc sử dụng một hệ thống như vậy. Chẳng hạn, nó sử dụng SSL / TLS qua cổng TCP 443, khiến nó trở nên tuyệt vời khi đi qua hầu hết các tường lửa vì lưu lượng truy cập có vẻ bình thường.

Vấn đề với điều đó, cũng là vấn đề tương tự với việc sử dụng TCP trên OpenVPN, là bạn có thể dễ bị tấn công TCP. TCP phải chờ xác nhận trước khi gửi lại gói tin. Nó có các tính năng tích hợp để phát hiện và cố gắng giải quyết vấn đề nếu một gói đã được xác nhận.

Trong trường hợp như vậy, một gói TCP trong một lớp có thể cố gắng giải quyết vấn đề, khiến gói trong lớp bên trên bị bù quá mức. Khi điều đó xảy ra, hiệu suất của kết nối TCP giảm đáng kể. Điều đó có thể tránh được với OpenVPN bằng cách sử dụng UDP thay thế. Với SSTP, vấn đề là không thể tránh khỏi.

Mặc dù SSTP có sẵn trong một số ứng dụng VPN, nhưng nó hiếm khi được sử dụng. Nó giỏi hơn trong việc đi xung quanh tường lửa so với L2TP, nhưng OpenVPN cũng vậy. Rắc rối với SSTP là nó không có cấu hình như OpenVPN, do đó, nó dễ bị các vấn đề hơn, chẳng hạn như TCP meltdown. OpenVPN cung cấp tất cả các ưu điểm của SSTP mà không có nhược điểm.

Trao đổi khóa Internet phiên bản 2

Internet Key Exchange là một giao thức được phát triển bởi Microsoft và Cisco vào năm 1998. Về mặt kỹ thuật, nó không phải là một giao thức VPN. IKE được sử dụng để thiết lập một hiệp hội bảo mật trong bộ giao thức IPSec. Hiệp hội bảo mật bao gồm các thuộc tính như mật mã và khóa mã hóa lưu lượng.

Mặc dù vậy, nó thường được coi là một giao thức VPN, được gọi là IKEv2, đơn giản là phiên bản thứ hai của IKE, hoặc IKEv2 / IPSec. Không giống như L2TP / IPSec, chỉ sử dụng IPSec để mã hóa, IKE sử dụng IPSec để vận chuyển dữ liệu.

Về bảo mật, nó cũng tốt như L2TP hoặc SSTP, giả sử bạn tin tưởng Microsoft. Nó có thể hỗ trợ nhiều phiên bản AES và rất có thể bạn sẽ thấy nó được ghép nối với khóa 128 bit hoặc 256 bit trong ứng dụng VPN của bạn.

Nó không chỉ là một lựa chọn khác. IKEv2 thường là cung cấp VPN giao thức nhanh nhất.

IKE sử dụng các gói UDP và bắt đầu tạo liên kết bảo mật sau khi một vài gói đầu tiên được gửi. Liên kết bảo mật sau đó được chuyển đến ngăn xếp IPSec, khiến cho nó bắt đầu chặn các gói IP có liên quan và mã hóa hoặc giải mã chúng khi thích hợp.

Do đó, IKE rất giỏi trong việc kết nối lại sau khi kết nối bị ngắt. Trên kết nối có dây hoặc WiFi, điều đó ít đáng quan tâm hơn vì chúng thường tĩnh và ổn định. Tuy nhiên, đối với thiết bị di động, IKE hấp dẫn hơn nhiều.

Mạng 3G và 4G LTE liên tục thay đổi khi điện thoại hoặc máy tính bảng của bạn di chuyển cùng bạn. Bạn có thể giảm từ 4G LTE xuống 3G hoặc tạm thời mất kết nối. Vì IKE nhanh chóng kết nối lại, nên nó là một lựa chọn lý tưởng trên thiết bị di động. IKEv2 thậm chí đã được tích hợp sẵn cho các thiết bị BlackBerry.

Giao thức đường hầm điểm-điểm

PPTP

Giao thức đường hầm điểm-điểm là một giao thức đường hầm ngày và không an toàn, không nên sử dụng nếu bạn quan tâm đến vấn đề bảo mật. Mặc dù vậy, một số nhà cung cấp VPN vẫn đưa nó vào ứng dụng của họ. Đối với hầu hết người dùng, đơn giản là nên bỏ qua.

Trường hợp sử dụng tốt nhất cho PPTP là truy cập bên ngoài mạng nội bộ của tòa nhà công ty, đó là lý do tại sao VPN được phát triển ngay từ đầu. PPTP không chỉ định mã hóa. Thay vào đó, nó dựa vào giao thức điểm-điểm để thực hiện các tính năng bảo mật.

Do hình thức mã hóa thấp hơn, PPTP nhanh. Nó có tốc độ gần như tương đương với kết nối internet thông thường của bạn. Trong trường hợp sử dụng cá nhân, nó cũng bảo mật như kết nối internet thông thường của bạn. Đó là lý do tại sao chúng tôi chỉ khuyên bạn nên sử dụng PPTP nếu bạn đang làm một việc gì đó mà bạn có thể thực hiện mà không cần VPN, chẳng hạn như truy cập mạng bên ngoài.

Mặc dù vậy, Don hy vọng rằng kết nối sẽ được an toàn. Có nhiều công cụ để bẻ khóa các đường hầm PPTP, một số trong đó có thể chỉ cần trích xuất khóa từ phương thức xác thực và các công cụ khác có thể tìm thấy khóa trong vài giờ bằng cách sử dụng một cuộc tấn công vũ phu.

Thêm vào đó, NSA đã được biết là chủ động theo dõi các mạng PPTP vì tính bảo mật yếu. Trừ khi bạn có lý do cụ thể để sử dụng nó, chúng tôi khuyên bạn nên tránh PPTP, ngay cả khi nó có một tùy chọn cho nó trong ứng dụng VPN của bạn (để biết thêm chi tiết, hãy xem bài viết PPTP vs OpenVPN của chúng tôi).

Suy nghĩ cuối cùng

Chúng tôi hy vọng rằng bạn có thể đi vào ứng dụng VPN của mình với sự tự tin hơn bây giờ khi bạn biết sự khác biệt giữa các giao thức. Đối với hầu hết người dùng, OpenVPN là tùy chọn tốt nhất vì nó cung cấp bảo mật và cấu hình cấp cao nhất. Thêm vào đó, bản chất nguồn mở của nó cho phép bạn tải xuống các tệp cấu hình và tiếp tục tinh chỉnh nó theo ý thích của bạn.

Các tùy chọn khác có điểm mạnh của họ, nhưng họ cũng có điểm yếu. SSTP giải quyết vấn đề tường lửa nhưng có thể trở thành nạn nhân của TCP meltdown. L2TP nhanh và ổn định, nhưng dễ bị chặn. Ngoại lệ duy nhất sẽ là IKEv2, mặc dù được cho là kém hơn OpenVPN, nhưng có rất nhiều ưu điểm cho người dùng di động.

Bạn có cảm thấy tự tin hơn về kiến ​​thức của mình về các giao thức VPN không? Hãy cho chúng tôi biết cách mà Thay đổi sử dụng VPN của bạn trong các bình luận bên dưới và, như mọi khi, cảm ơn vì đã đọc.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map