Розбивка протоколу VPN: VPN поза кадром

“Безпека та конфіденційність” – це один з найважливіших розділів наших оглядів VPN. Якщо ви їх прочитали – і ми покірливо рекомендуємо це зробити – ви знаєте, що ми охоплюємо протоколи VPN, пропоновані VPN, функції безпеки, такі як перемикач Kills, та політику конфіденційності, що діє.


Усі ці теми складають безпеку VPN, що важливо для широкого розуміння того, наскільки ви захищені. Однак, протокол VPN є головним питанням безпеки, і розуміння того, який із вбудованих відкритих джерел та власницьких варіантів використовувати може бути складним..

Під час розбиття протоколу VPN ми збираємося усунути плутанину. Існує багато протоколів мереж, тому ми провели дослідження та звели наш список до протоколів VPN, які ви, ймовірно, побачите у своїй програмі. Перш ніж перейти до конкретики, ми маємо визначити, що таке протокол VPN.

Що таке протокол VPN?

VPN протоколи

Віртуальна приватна мережа захищає та анонімізує ваше інтернет-з’єднання, підключаючи вас до віддаленого сервера перед запуском веб-сайтів. Підключення до цього сервера теж зашифровано, що означає, що жоден із ваших веб-запитів не може бачити зовнішній світ.

Тип і рівень шифрування визначається протоколом захисту. Залежно від протоколу, який ви використовуєте, ви підключитесь до VPN через різні порти та з різним рівнем захисту.

Хоча тип шифрування є основною відмінністю протоколів, він впливає і на інші аспекти використання VPN. Наприклад, більш досконалий рівень шифрування захистить ваше з’єднання більше, але він не буде настільки швидким, як протокол, що використовує менш захищене шифрування.

На практичному рівні вибір протоколу зводиться до того, як ви хочете збалансувати безпеку та швидкість. Протоколи VPN – це форма мережевого протоколу, тобто вони об’єднують вимоги щодо встановлення зв’язку між двома пристроями. Це включає безпеку та швидкість.

На жаль, як і більшість тем для мереж, це не так просто. Важлива підтримка платформи, а також, де і коли відбувається шифрування в ланцюзі зв’язку. Ці відмінності полягають у тому, що кращі постачальники VPN включають кілька варіантів протоколу.

Зважаючи на те, як просто використовувати VPN, навряд чи ви помітите або подбаєте про зміну свого протоколу. Незважаючи на це, ми будемо проходити через загальні доступні вам протоколи та різні випадки використання для них. При цьому ми сподіваємось, що ви дізнаєтеся, чому використовувати OpenVPN під час налаштування VPN для маршрутизатора та IKEv2, коли використовуєте його на телефоні..

Загальні протоколи VPN

Нижче ви знайдете найпоширеніші протоколи, які ми зустріли. Звичайно, існує ще кілька екзотичних варіантів, але більшість постачальників VPN використовуватимуть їх комбінацію.

OpenVPN

OpenVPN

OpenVPN – популярний протокол, який використовується, оскільки він відкритий та безкоштовний. Деякі провайдери, такі як AirVPN та e-VPN (читайте наш огляд AirVPN та огляд e-VPN), створили свої послуги навколо нього. Він старше 15 років, і навколо нього є спільнота, яка постійно сканує вихідні файли на предмет вразливості безпеки, що робить його одним із найбезпечніших доступних варіантів.

Він може використовувати два транспортні протоколи: TCP або UDP. Протокол управління передачею є найбільш поширеним. Ваш апарат надсилає пакет, потім чекає підтвердження перед тим, як надсилати інший, роблячи більш надійне з’єднання.

Це виграє надійність, але не швидкість. Оскільки кожен пакет повинен чекати підтвердження, використання TCP додає накладні витрати на мережеве з’єднання. Тут надходить протокол User Datagram Protocol. Він продовжує надсилати пакети без підтвердження, роблячи швидке, якщо менш надійне, з’єднання.

Що стосується шифрування, OpenVPN є першокласним. Він використовує бібліотеку OpenSSL, тобто має доступ до всіх шифрів там. Він також використовує користувацький протокол безпеки на основі SSL / TLS, який забезпечує до 256-бітного шифрування.

256-бітове шифрування не потрібно. Деякі провайдери, такі як приватний доступ до Інтернету, за замовчуванням на 128-бітове шифрування, як ви можете прочитати в нашому огляді PIA. Використання меншого розміру ключа, як правило, дозволяє швидше підключитися, але це пов’язано з ціною безпеки.

Однак, навіть найшвидші постачальники VPN використовують 256-розрядний ключ, який показує, чому OpenVPN настільки популярний. Крім багатьох інших причин, за якими постачальник може запропонувати це, OpenVPN має найкращий баланс безпеки та швидкості.

Через свою відкритість він також відображається у користувацьких протоколах деяких постачальників VPN. Протокол Chameleon в протоколі VyprVPN перебирає пакети OpenVPN, а StealthVPN Astrill робить те ж саме (читайте наш огляд VyprVPN та огляд Astrill).

VyprVPN та Astrill розробили свої протоколи, щоб обійти цензуру в Китаї. OpenVPN, хоча і дуже захищений, не робить нічого особливого, щоб приховати від глибокої перевірки пакетів. VyprVPN займає найкращі послуги VPN для Китаю, оскільки його протокол Chameleon може перешикувати відправлені пакети OpenVPN..

Ще одна перевага OpenVPN полягає в тому, що він може бути адаптований практично до будь-якої платформи. Наприклад, ExpressVPN дозволяє використовувати OpenVPN на маршрутизаторі, як ви бачите в нашому огляді ExpressVPN. Він використовує власну прошивку, яка включає заздалегідь налаштовану версію OpenVPN, що дозволяє забезпечити безпеку трафіку на маршрутизатор та Інтернет.

Протокол тунелю рівня 2

Протокол тунелю рівня 2 – це протокол тунелювання, який дозволяє передавати дані з однієї мережі в іншу. На відміну від OpenVPN, L2TP є строго протоколом тунелювання. Він не забезпечує шифрування самостійно. Через це L2TP часто поєднується з протоколом шифрування для забезпечення безпеки.

Він був створений в 1999 році і базується на двох старих протоколах тунелювання під назвою L2F та PPTP. Про останнє ми поговоримо в наступному розділі. Незважаючи на те, що нова версія протоколу, відома як L2TPv3, була введена в 2005 році, щоб додати функції безпеки, L2TP здебільшого залишився колишнім.

L2TP використовує два типи пакетів: пакети управління та пакети даних. Пакети управління стосуються встановлення зв’язку та відкриття тунелю між вами та сервером, до якого ви отримуєте доступ. Оскільки це основна функція протоколу тунелювання, L2TP має функції надійності, такі як підтвердження пакетів, прив’язаних до контрольних пакетів.

Пакети даних не мають таких функцій. L2TP надсилає пакети в рамках дейтаграми UDP, тобто вони не перевірені під час надсилання. Це робить більш швидким, але менш надійним з’єднання.

Проблема з L2TP сама по собі полягає в тому, що пакети, які ви надсилаєте, не шифруються. Вони інкапсульовані, але не існує криптографічного алгоритму для приховування даних. Через це ви, швидше за все, знайдете L2TP у парі з IPSec у своєму VPN-клієнті.

IPSec забезпечує шифрування, інкапсулюючи вже інкапсульований пакет під час проходження через тунель L2TP. Це означає, що вихідні та цільові IP-адреси шифруються в пакеті IPSec, створюючи захищене VPN-з’єднання.

Що стосується шифрування, IPSec пропонує кілька варіантів, включаючи HMAC з відповідним алгоритмом хешування, TripleDES-CBC, AES-CBC та AES-GCM. Деякі постачальники VPN, наприклад TorGuard (читайте наш огляд TorGuard), дозволяють змінити шифр, який використовується, але ви знайдете L2TP / IPSec, захищені 128-бітним або 256-бітним AES.

L2TP / IPSec вважається безпечним, але деякі експерти з питань безпеки мають сумніви, оскільки IPSec був розроблений, зокрема, Агентством національної безпеки США. Тим не менш, це звичайно гірший вибір, ніж OpenVPN. Порт, який використовує L2TP, легко блокується брандмауерами, тому вам доведеться непросто перебирати цензуру, якщо ви не використовуєте VPN, що підтримує переадресацію портів.

Протокол безпечної тунельної розетки

SSTL

Протокол безпечної тунельної розвідки є власною технологією Microsoft, розробленою для Windows Vista. Хоча це протокол, розроблений Microsoft, SSTP також може використовуватися в Linux. Однак це не підтримується на macOS і, швидше за все, не буде. Прочитайте наш найкращий VPN для Mac, якщо ви працюєте в команді Apple.

Як і OpenVPN, SSTP дозволяє трафіку від точки до точки проходити через канал SSL / TLS. Через це він має ті ж плюси і мінуси використання такої системи. Наприклад, він використовує SSL / TLS через порт TCP 443, що робить його відмінним при проходженні через більшість брандмауерів, оскільки трафік виглядає нормальним.

Проблема з тим, що є тією ж проблемою, що і з використанням TCP на OpenVPN, полягає в тому, що ви вразливі до краху TCP. TCP повинен дочекатися підтвердження, перш ніж відправити пакет назад. Він має вбудовані функції для виявлення та спроби вирішити проблеми, якщо пакет не підтверджений.

У такому випадку пакет TCP в одному шарі може спробувати вирішити проблему, в результаті чого пакет у шарі над ним перекомпенсується. Коли це відбувається, продуктивність TCP-з’єднання значно падає. Уникнути цього можна за допомогою OpenVPN, використовуючи натомість UDP. Що стосується SSTP, проблема неминуча.

Хоча SSTP доступний у деяких VPN-програмах, він використовується рідко. Краще обійти між брандмауерами, ніж L2TP, але так це OpenVPN. Проблема з SSTP полягає в тому, що він не такий конфігуруваний, як OpenVPN, тому він більш сприйнятливий до проблем, наприклад, зриву TCP. OpenVPN забезпечує всі переваги SSTP без недоліків.

Інтернет-обмін ключами версія 2

Інтернет-обмін ключами – це протокол, розроблений Microsoft і Cisco в 1998 році. Технічно це не VPN-протокол. IKE використовується для встановлення асоціації безпеки в наборі протоколів IPSec. Асоціація безпеки включає такі атрибути, як шифр і ключ шифрування трафіку.

Тим не менш, це часто трактується як протокол VPN, який називається IKEv2, що є просто другою версією IKE, або IKEv2 / IPSec. На відміну від L2TP / IPSec, який просто використовує IPSec для шифрування, IKE використовує IPSec для транспортування даних.

Що стосується безпеки, вона настільки ж добра, як L2TP або SSTP, якщо ви довіряєте Microsoft. Він може підтримувати кілька версій AES, і ви, швидше за все, знайдете його в парі із 128-бітним або 256-бітним ключем у вашій програмі VPN.

Це не просто інший варіант. IKEv2, як правило, пропонує найшвидший протокол VPN.

IKE використовує пакети UDP і починає створювати асоціацію безпеки після відправлення перших кількох пакетів. Потім асоціація безпеки переноситься в стек IPSec, через що він починає перехоплювати відповідні IP-пакети та шифрувати або розшифровувати їх за необхідності.

Через це IKE добре підключається після того, як з’єднання відпало. Що стосується дротового або бездротового з’єднання, це викликає занепокоєння, оскільки вони, як правило, статичні та стабільні. Однак для мобільних пристроїв IKE набагато привабливіше.

Мережі 3G та 4G LTE постійно змінюються, коли ваш телефон або планшет рухається разом з вами. Ви можете перейти з 4G LTE до 3G або тимчасово втратити зв’язок. Оскільки IKE швидко підключається, це ідеальний вибір для мобільних пристроїв. IKEv2 навіть вбудований у пристрої BlackBerry.

Протокол тунелювання “точка-точка”

PPTP

Протокол тунелювання “точка-точка-точка” – це датований і незахищений протокол тунелювання, який не слід використовувати, якщо ви стурбовані безпекою. Незважаючи на це, деякі постачальники VPN все ще включають його у свої програми. Для більшості користувачів це потрібно просто ігнорувати.

Найкращий випадок використання PPTP – це доступ до внутрішньої мережі корпоративного будинку зовні, тому VPN були розроблені в першу чергу. PPTP не вказує шифрування. Швидше, він покладається на протокол “точка-точка” для реалізації функцій безпеки.

Через нижчу форму шифрування PPTP швидкий. Це майже така ж швидкість, як і звичайне підключення до Інтернету. У випадку особистого користування це так само безпечно, як і звичайне підключення до Інтернету. Ось чому ми рекомендуємо використовувати PPTP лише тоді, коли ви робите щось, чого не можна зробити без VPN, наприклад, для доступу до зовнішньої мережі.

Однак не сподівайтеся, що це з’єднання буде безпечним. Існує багато інструментів для зламання тунелів PPTP, деякі з яких можуть просто витягнути ключ із методу аутентифікації, а інші, які можуть знайти ключ протягом декількох годин за допомогою атаки грубої сили.

Крім того, відомо, що АНБ активно шпигує за мережами PPTP через слабку безпеку. Якщо у вас немає конкретних причин використовувати його, радимо уникати PPTP, навіть якщо це є опцією для нього у вашому додатку VPN (більш детально ознайомтесь із нашою статтею PPTP проти OpenVPN).

Фінальні думки

Ми сподіваємось, що ви зможете зайти в свій VPN-додаток з більшою впевненістю, коли знаєте різницю між протоколами. Для більшості користувачів OpenVPN є найкращим варіантом, оскільки він забезпечує безпеку та налаштування вищого рівня поза коробкою. Крім того, його відкритий характер дозволяє завантажувати файли конфігурації та надалі підлаштовувати їх на свій смак.

Інші варіанти мають свої сильні сторони, але вони також мають слабкі сторони. SSTP вирішує проблему з брандмауером, але може стати жертвою краху TCP. L2TP швидкий і стабільний, але легко блокується. Єдиним винятком буде IKEv2, який хоч і, мабуть, поступається OpenVPN, але має багато переваг для мобільних користувачів.

Чи відчуваєте ви себе впевненіше у своїх знаннях протоколів VPN? Повідомте нас, як це змінило ваше використання VPN у коментарях нижче, і, як завжди, дякую за прочитане.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map