Разрыв протокола VPN: VPN за кулисами

«Безопасность и конфиденциальность» – один из самых важных разделов наших обзоров VPN. Если вы прочитали их – и мы смиренно рекомендуем вам это сделать – вы знаете, что мы покрываем протоколы, предлагаемые VPN, функции безопасности, такие как использование Killswitch, и действующую политику конфиденциальности.


Все эти темы составляют безопасность VPN, что важно для получения общего представления о том, насколько хорошо вы защищены. Тем не менее, протокол VPN является главной проблемой безопасности, и знание того, какой из встроенных вариантов с открытым исходным кодом и проприетарных вариантов использовать может быть трудным.

В этой поломке протокола VPN мы собираемся устранить путаницу. Существует множество сетевых протоколов, поэтому мы провели исследование и сократили наш список до протоколов VPN, которые вы, скорее всего, увидите в своем приложении. Прежде чем перейти к конкретике, мы должны определить, что такое протокол VPN..

Что такое протокол VPN?

Протоколы VPN

Виртуальная частная сеть защищает и анонимизирует ваше интернет-соединение, подключая вас к удаленному серверу перед запуском веб-сайтов. Соединение с этим сервером также зашифровано, что означает, что ни один из ваших веб-запросов не будет виден внешнему миру..

Тип и уровень шифрования определяется протоколом безопасности. В зависимости от протокола, который вы используете, вы будете подключаться к VPN через разные порты и с разными уровнями безопасности.

Хотя тип шифрования является основным отличием между протоколами, он влияет и на другие аспекты использования VPN. Например, более сложный уровень шифрования защитит ваше соединение больше, но он не будет таким же быстрым, как протокол, использующий менее безопасное шифрование..

На практическом уровне выбор протокола сводится к тому, как вы хотите сбалансировать безопасность и скорость. Протоколы VPN являются формой сетевого протокола, то есть они объединяют требования для установления соединения между двумя устройствами. Это включает в себя безопасность и скорость.

К сожалению, как и в большинстве сетевых тем, все не так просто. Важна поддержка платформы, а также где и когда происходит шифрование в коммуникационной цепочке. Именно из-за этих различий лучшие провайдеры VPN включают несколько вариантов протокола.

Однако, учитывая простоту использования VPN, вряд ли вы заметите или позаботитесь об изменении протокола. Тем не менее, мы собираемся изучить общие доступные вам протоколы и различные варианты их использования. При этом мы надеемся, что вы узнаете, почему использовать OpenVPN при настройке VPN для маршрутизатора и IKEv2 при его использовании на телефоне..

Общие VPN-протоколы

Ниже вы найдете самые распространенные протоколы, с которыми мы сталкивались. Конечно, есть еще несколько экзотических вариантов, но большинство провайдеров VPN будут использовать комбинацию этих.

OpenVPN

OpenVPN

OpenVPN – популярный протокол для использования, потому что он с открытым исходным кодом и бесплатный. Некоторые провайдеры, такие как AirVPN и e-VPN (см. Наш обзор AirVPN и обзор e-VPN), построили свои сервисы на этом. Ему более 15 лет, и его окружает сообщество, которое постоянно сканирует исходные файлы на наличие уязвимостей, что делает его одним из самых безопасных доступных вариантов..

Он может использовать два транспортных протокола: TCP или UDP. Протокол управления передачей является наиболее распространенным. Ваша машина отправляет пакет, затем ожидает подтверждения перед отправкой другого, обеспечивая более надежное соединение.

Это повышает надежность, но не скорость. Поскольку каждый пакет должен ждать подтверждения, использование TCP увеличивает нагрузку на сетевое соединение. Вот тут и вступает в силу протокол пользовательских дейтаграмм. Он продолжает отправлять пакеты без подтверждения, обеспечивая более быстрое, хотя и менее надежное соединение.

Что касается шифрования, OpenVPN является первоклассным. Он использует библиотеку OpenSSL, то есть имеет доступ ко всем там шифрам. Он также использует собственный протокол безопасности на основе SSL / TLS, который обеспечивает до 256-битное шифрование.

256-битное шифрование не требуется. Некоторые провайдеры, такие как частный доступ в Интернет, по умолчанию используют 128-битное шифрование, как вы можете прочитать в нашем обзоре PIA. Использование ключа меньшего размера обычно обеспечивает более быстрое соединение, но это происходит за счет безопасности.

Тем не менее, даже самые быстрые провайдеры VPN используют 256-битный ключ, что показывает, почему OpenVPN так популярен. Помимо множества других причин, по которым провайдер может предложить его, OpenVPN обладает наилучшим балансом безопасности и скорости..

Из-за своей природы с открытым исходным кодом, он также отображается в пользовательских протоколах от некоторых провайдеров VPN. Протокол VyprVPN Chameleon скремблирует пакеты OpenVPN, и StealthVPN от Astrill делает в основном то же самое (прочитайте наш обзор VyprVPN и обзор Astrill).

VyprVPN и Astrill разработали свои протоколы для обхода цензуры в Китае. OpenVPN, хотя и очень безопасный, не делает ничего особенного, чтобы скрыться от глубокой проверки пакетов. VyprVPN входит в число лучших наших услуг VPN для Китая, поскольку его протокол Chameleon может шифровать отправляемые пакеты OpenVPN..

Еще одно преимущество OpenVPN заключается в том, что его можно адаптировать практически к любой платформе. ExpressVPN, например, позволяет вам использовать OpenVPN на вашем маршрутизаторе, как вы можете видеть в нашем обзоре ExpressVPN. Он использует специальную прошивку, которая включает в себя предварительно настроенную версию OpenVPN, что позволяет вам защищать трафик, проходящий к вашему маршрутизатору и Интернету.

Туннельный протокол уровня 2

Туннельный протокол уровня 2 – это туннельный протокол, который позволяет данным перемещаться из одной сети в другую. В отличие от OpenVPN, L2TP является строго протоколом туннелирования. Он не обеспечивает шифрование самостоятельно. Из-за этого L2TP часто соединяется с протоколом шифрования для обеспечения безопасности..

Он был создан в 1999 году и основан на двух старых протоколах туннелирования, называемых L2F и PPTP. Мы поговорим о последнем в следующем разделе. Хотя новая версия протокола, известная как L2TPv3, была введена в 2005 году для добавления функций безопасности, L2TP в основном остался прежним.

L2TP использует два типа пакетов: контрольные пакеты и пакеты данных. Управляющие пакеты имеют дело с установлением соединения и открытием туннеля между вами и сервером, к которому вы обращаетесь. Поскольку это основная функция протокола туннелирования, L2TP обладает функциями надежности, такими как подтверждение пакетов, связанных с контрольными пакетами..

Пакеты данных не имеют таких функций. L2TP отправляет пакеты в дейтаграмме UDP, что означает, что они не проверяются во время отправки. Это обеспечивает более быстрое, но менее надежное соединение.

Проблема с L2TP сама по себе заключается в том, что отправляемые вами пакеты не шифруются. Они инкапсулированы, но нет криптографического алгоритма для сокрытия данных. Из-за этого вы скорее всего найдете L2TP в паре с IPSec в вашем VPN-клиенте.

IPSec обеспечивает шифрование, инкапсулируя уже инкапсулированный пакет, когда он проходит через туннель L2TP. Это означает, что IP-адреса источника и назначения шифруются в пакете IPSec, создавая безопасное VPN-соединение..

Что касается шифрования, IPSec предлагает несколько вариантов, включая HMAC с соответствующим алгоритмом хеширования, TripleDES-CBC, AES-CBC и AES-GCM. Некоторые провайдеры VPN, такие как TorGuard (см. Наш обзор TorGuard), позволяют изменять используемый шифр, но в большинстве случаев вы обнаружите, что L2TP / IPSec защищен 128-битным или 256-битным AES.

L2TP / IPSec считается безопасным, но некоторые эксперты по безопасности сомневаются, потому что IPSec был отчасти разработан Агентством национальной безопасности США. Несмотря на это, обычно это худший выбор, чем OpenVPN. Используемый порт L2TP легко блокируется брандмауэрами, поэтому вам будет нелегко обходить цензуру, если вы не используете VPN, поддерживающую переадресацию портов..

Протокол защищенного туннелирования сокетов

SSTL

Протокол защищенного туннелирования сокетов – это запатентованная технология Microsoft, разработанная для Windows Vista. Хотя это протокол, разработанный Microsoft, SSTP также можно использовать в Linux. Тем не менее, он не поддерживается в MacOS и, вероятно, никогда не будет. Прочитайте наш лучший VPN для Mac, если вы в Team Apple.

Как и OpenVPN, SSTP позволяет трафику точка-точка проходить через канал SSL / TLS. Из-за этого у него есть те же плюсы и минусы использования такой системы. Например, он использует SSL / TLS через порт 443 TCP, что делает его превосходным при прохождении через большинство брандмауэров, потому что трафик выглядит нормально.

Проблема с этим, которая является той же самой проблемой с использованием TCP на OpenVPN, состоит в том, что вы уязвимы для распада TCP. TCP должен ждать подтверждения перед отправкой пакета обратно. Он имеет встроенные функции для обнаружения и попытки решения проблем, если пакет не был подтвержден.

В таком случае пакет TCP на одном уровне может попытаться решить проблему, в результате чего пакет на уровне выше будет чрезмерно компенсирован. Когда это происходит, производительность TCP-соединения значительно падает. Этого можно избежать с помощью OpenVPN, используя вместо этого UDP. С SSTP проблема неизбежна.

Хотя SSTP доступен в некоторых приложениях VPN, он используется редко. Лучше обходить межсетевые экраны, чем L2TP, но так же и OpenVPN. Проблема с SSTP заключается в том, что он не так настраиваем, как OpenVPN, поэтому он более подвержен таким проблемам, как распад TCP. OpenVPN предоставляет все преимущества SSTP без недостатков.

Обмен ключами в Интернете, версия 2

Internet Key Exchange – это протокол, разработанный Microsoft и Cisco в 1998 году. Технически это не протокол VPN. IKE используется для настройки ассоциации безопасности в наборе протоколов IPSec. Ассоциация безопасности включает в себя такие атрибуты, как шифр и ключ шифрования трафика..

Несмотря на это, его часто рассматривают как протокол VPN, называемый IKEv2, который является просто второй версией IKE, или IKEv2 / IPSec. В отличие от L2TP / IPSec, который просто использует IPSec для шифрования, IKE использует IPSec для передачи данных.

Что касается безопасности, она так же хороша, как L2TP или SSTP, если вы доверяете Microsoft. Он может поддерживать несколько версий AES, и вы, скорее всего, найдете его в сочетании с 128-битным или 256-битным ключом в приложении VPN..

Это не просто еще один вариант. IKEv2 обычно является самым быстрым протоколом VPN.

IKE использует пакеты UDP и начинает создавать ассоциацию безопасности после отправки первых нескольких пакетов. Ассоциация безопасности затем передается в стек IPSec, что приводит к тому, что он начинает перехватывать соответствующие IP-пакеты и шифровать или дешифровать их соответствующим образом..

Из-за этого IKE хорошо восстанавливает соединение после разрыва соединения. На проводном или Wi-Fi-соединении это менее важно, поскольку они обычно статичны и стабильны. Однако для мобильных устройств IKE гораздо более заманчивый.

Сети 3G и 4G LTE постоянно меняются по мере движения вашего телефона или планшета вместе с вами. Вы можете отказаться от 4G LTE до 3G или временно потерять соединение. Поскольку IKE быстро восстанавливает соединение, это идеальный выбор для мобильных устройств. IKEv2 даже был встроен в устройства BlackBerry.

Туннельный протокол точка-точка

PPTP

Протокол туннелирования «точка-точка» – это устаревший и незащищенный протокол туннелирования, который не следует использовать, если вы беспокоитесь о безопасности. Несмотря на это, некоторые провайдеры VPN по-прежнему включают его в свои приложения. Для большинства пользователей это следует просто игнорировать.

Наилучшим вариантом использования PPTP является внешний доступ к внутренней сети корпоративного здания, поэтому VPN были разработаны в первую очередь. PPTP не определяет шифрование. Скорее, он использует протокол точка-точка для реализации функций безопасности.

Из-за более низкой формы шифрования PPTP работает быстро. Это почти такая же скорость, как при обычном интернет-соединении. В случае личного использования он также безопасен, как и обычное интернет-соединение. Вот почему мы рекомендуем использовать PPTP только в том случае, если вы делаете то, что вы не можете сделать без VPN, например, получаете доступ к внешней сети..

Не ожидайте, что это соединение будет безопасным. Существует множество инструментов для взлома туннелей PPTP, некоторые из которых могут просто извлечь ключ из метода аутентификации, а другие могут найти ключ в течение нескольких часов, используя атаку методом подбора..

Кроме того, известно, что АНБ активно шпионит за сетями PPTP из-за слабой безопасности. Если у вас нет особой причины для его использования, мы рекомендуем избегать PPTP, даже если это вариант для вашего VPN-приложения (для получения более подробной информации ознакомьтесь с нашей статьей PPTP против OpenVPN).

Последние мысли

Мы надеемся, что вы сможете более уверенно заходить в свое VPN-приложение, зная разницу между протоколами. Для большинства пользователей OpenVPN является наилучшим вариантом, поскольку он обеспечивает безопасность и настраиваемость на самом высоком уровне. Кроме того, его природа с открытым исходным кодом позволяет загружать файлы конфигурации и дополнительно настраивать их по своему вкусу..

Другие варианты имеют свои сильные стороны, но они также имеют слабые стороны. SSTP решает проблему брандмауэра, но может стать жертвой распада TCP. L2TP быстрый и стабильный, но легко блокируется. Единственным исключением будет IKEv2, который, хотя и, возможно, уступает OpenVPN, имеет большие преимущества для мобильных пользователей..

Чувствуете ли вы себя более уверенно в своих знаниях о протоколах VPN? Дайте нам знать, как это изменило ваше использование VPN в комментариях ниже и, как всегда, спасибо за чтение.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me