WireGuard vs OpenVPN: welk protocol moet je gebruiken?

WireGuard vs OpenVPN: korte samenvatting

OpenVPN kwam in 2001 op de markt en wordt sindsdien beschouwd als de industriestandaard op het gebied van privacy en veiligheid.

WireGuard, een toevoeging uit 2019, heeft echter de commerciële VPN-industrie overgenomen dankzij zijn hoge snelheden en relatief indrukwekkende beveiligingsstandaarden.

Zowel WireGuard als OpenVPN zijn open source, en enkele van de beste VPN-aanbieders zoals NordVPN, Surfshark, Private Internet Access en CyberGhost bieden deze protocols aan in hun VPN apps.

Sommige VPN-providers hebben eigen protocollen ontwikkeld op basis van WireGuard VPN- of OpenVPN-code.

De voornaamste doelstellingen van WireGuard zijn het verbeteren van de bestaande VPN-protocollen door middel van eenvoud, snelheid, gebruiksgemak en verkleining van het aanvalsterrein – het maakt gebruik van de allernieuwste cryptografie.

Het is dus ontworpen om een oplossing te bieden voor elk onderdeel van een VPN (virtueel privénetwerk).

OpenVPN gebruikt meerdere versleutelingstechnieken, en heeft meer dan 60 miljoen downloads. Omdat OpenVPN al zo lang in de industrie actief is, wordt het vrijwel door elke VPN-klant op de markt gebruikt, zowel commercieel als zakelijk.

Zelfs met de opkomst van nieuwe protocollen en hevige concurrentie, blijft OpenVPN het centrale element van VPN beveiliging.

Zelfs met verschillen tussen de twee protocollen, zijn ze allebei snel, veilig, stabiel en betrouwbaar.

Belichting van kenmerken

Het WireGuard protocol is het beste bekend om het volgende:

• Superhoge verbindingssnelheden.
• Maakt meerdere schakelaars tussen netwerken mogelijk.
• Je kunt zelf handmatig een VPN-netwerk opzetten.
• Verbruikt minder bandbreedte

OpenVPN is het beste bekend om het volgende:

• Toegang tot zwaar gecensureerde regio’s zoals China, Rusland, en meer.
• Topklasse beveiligingsprotocol.
• Maakt gebruik van de uitgebreide OpenSSL-bibliotheek voor cryptografie.
• Grondig getest en heeft de tand des tijds doorstaan.

Hier is een korte vergelijking van de kenmerken om je op weg te helpen:

Omvang van de code

WireGuard omvat ongeveer 4.000 regels code. OpenVPN daarentegen, heeft meer dan 70.000 regels.

Bovendien is bekend dat de aangepaste versies van OpenVPN kunnen oplopen tot 600.000 regels code.

Door minder regels code te gebruiken, verkleint WireGuard het aanvalsterrein en daarmee de kans op een mogelijke cyberaanval.

Met een kleinere hoeveelheid code kunnen ontwikkelaars kwetsbaarheden gemakkelijker opsporen en kan een enkele auditor de code snel controleren. Hackers hebben dus minder kans om beveiligingslekken in WireGuard te ontdekken.

Zelfs met een enorme hoeveelheid code is OpenVPN niet kwetsbaar voor aanvallen. Misschien was het dat vroeger wel.

Een van de voordelen van bijna twee decennia actief te zijn in de industrie is grondig onderzoek.

Bovendien heeft OpenVPN een grote gemeenschap met verschillende belanghebbenden die ervoor zorgen dat het altijd bugvrij is.

Controleerbaarheid

Zowel WireGuard als OpenVPN zijn open source. Dit maakt het voor iedereen gemakkelijk om toegang te krijgen tot de broncode en andere aspecten en deze te controleren.

Doordat de code van WireGuard minder omvangrijk is dan die van OpenVPN, kan WireGuard snel worden gecontroleerd.

Maar zelfs met de minder omvangrijke code heeft WireGuard niet het vertrouwen van beveiligingsauditors verdiend.

In tegenstelling tot WireGuard heeft OpenVPN de tand des tijds doorstaan en verschillende audits ondergaan.

Zelfs met meer dan 70.000 regels code en de noodzaak van een groter team, is OpenVPN een goed gecontroleerd protocol, en verschillende beveiligingsexperts erkennen dit.

Dit komt omdat de meeste VPN-tunnelverbindingen erop vertrouwen.

Toch is WireGuard bezig met een inhaalslag; na massale adoptie zal dit protocol dezelfde aandacht krijgen als OpenVPN.

Met zijn minder omvangrijke code kan het in korte tijd meerdere malen vaker worden gecontroleerd dan OpenVPN.

Beveiliging en versleuteling

Zowel WireGuard als OpenVPN ondersteunen een reeks veilige versleutelingstechnieken en -algoritmen, met name ciphers.

Maar zelfs met de modernste cryptografie is WireGuard niet zo flexibel als OpenVPN. WireGuard heeft een vaste set versleutelingstechnieken die werken voor een specifieke software-release.

Als er binnen die set een bug of een beveiligingslek wordt gevonden, wordt dat in de volgende update verholpen met een andere set symmetrische versleutelingstechnieken en cryptografische algoritmen.

Maar dit zal ongetwijfeld veranderen. Voor OpenVPN kan snel worden overgeschakeld op de versleuteling die werkt. Dit verklaart ook waarom WireGuard minder omvangrijk is dan OpenVPN.

Veelgebruikte ciphers en versleutelingstechnieken voor WireGuard zijn ChaCha20 en Poly1305. ChaCha20 wordt gebruikt voor versleutelingen, terwijl Poly1305 wordt gebruikt voor authenticaties.

Er kunnen ook andere cryptografietechnieken worden gebruikt, zoals Noise protocol framework, Curve25519, BLAKE2, SipHash24 en HKDF.

Aan de andere kant gebruikt OpenVPN gewoonlijk AES, Blowfish en Camellia. Aangezien OpenVPN ook vertrouwt op de OpenSSL bibliotheek, kan het bovendien andere cryptografietechnieken gebruiken zoals Chacha20, Poly1305, SEED, CAST-128, DES, SHA-2, SHA-3, BLAKE2, RSA, DSA, Diffie-Hellman sleuteluitwisselingsprotocol, Elliptic curve en vele andere.

OpenVPN gebruikt de meest geteste versleutelingstechnieken – welke tevens betrouwbaarder zijn – in tegenstelling tot de nieuwere algoritmen van WireGuard. De technologie is 18 jaar ouder en gebruikt een decennium oude AES cipher.

WireGuard gebruikt veel nieuwere technieken zoals ChaCha20 en Poly1035.

Toch verandert de discussie wanneer je de twee protocollen in de praktijk gebruikt. De veel nieuwere versleutelingstechnologie van WireGuard vormt bijvoorbeeld weinig tot geen bedreiging voor de veiligheid, en wel om de volgende redenen:

• ChaCha20 is zeer veilig omdat het in de loop der tijd is geëvolueerd en nu meer dan 20 beveiligingsniveaus heeft.
• Dankzij de minimale omvang van de code is er minder tijd nodig om WireGuard te controleren.
• Erkenning van techgiganten als Google en het veiligere besturingssysteem Linux.

Cryptoagiliteit vs het aanvalsterrein

Cryptoagiliteit is het vermogen van een beveiligingssysteem om automatisch te wisselen tussen algoritmen, protocollen en andere versleutelingstechnieken.

WireGuard heeft geen cryptoagiliteit omdat het voor elke versie een vaste set van een enkele cryptografische suite gebruikt. Dit compromis op cryptoagiliteit vermindert de complexiteit en kwetsbaarheid van aanvallen, waaronder de man-in-the-middle-aanval.

Dit maakt het dus veiliger vanuit het aanvalsperspectief maar niet vanuit het beschermingsperspectief.

Aan de andere kant is OpenVPN een crypto-agiel protocol; het kan meerdere cryptografische suites gebruiken, wat resulteert in een robuustere bescherming.

Maar nogmaals, met meer suites krijg je meer complexiteit, waardoor het aanvalsoppervlak toeneemt en de aanvallen afnemen. Positief is dat OpenVPN je niet dwingt om te upgraden, zoals WireGuard wel doet, wanneer zich een aanval voordoet.

WireGuard gebruikt een systeem genaamd ‘Versioning’ om de cryptografische suites te veranderen in geval van een kwetsbaarheid. Dit WireGuard-systeem vraagt servers om verbindingen over de nieuwe versie aan te vragen en het oude pakket te negeren.

Dankzij dit systeem is WireGuard erin geslaagd om geen slachtoffer te worden van regelmatige aanvallen op niet-crypto-beveiligde systemen.

Privacy en het logbeleid

Als je privacy belangrijk vindt, is het cruciaal om een VPN-dienst te kiezen met een zerologbeleid dat absolute privacy garandeert. Dit moet ook gelden voor het VPN-protocol dat door de dienst wordt gebruikt.

OpenVPN heeft een volledig zerologbeleid. Maar dat is niet het geval bij WireGuard, dat ontworpen is om toegestane IP-adressen op te slaan tot de volgende herstart van de server.

In dit opzicht vormt WireGuard een veiligheidsrisico. Als een VPN-server namelijk wordt gecompromitteerd, zullen alle IP-adressen die erin zijn opgeslagen, worden gebruikt om een link te leggen naar je online activiteiten.

Dit betekent dat als je een standaard WireGuard-protocol gebruikt, je IP-adres waarschijnlijk wordt vastgelegd. Daarom ontwikkelen sommige aanbieders van VPN-oplossingen eigen protocollen op basis van WireGuard om dit privacyprobleem op te lossen.

Daarnaast is er een andere oplossing die voortbouwt op WireGuard, die andere vooraanstaande VPN’s gebruiken om dit privacyrisico te beperken. Hieronder volgen enkele van de gebruikte trucs:

• Network Address Translation (NAT): met NAT krijg je een dynamisch IP-adres voor elke VPN-verbinding die je maakt. Dit houdt in dat elke sessie een uniek IP-adres heeft dat alleen werkt totdat je de verbinding met een VPN-server verbreekt.
• De multihop-functie (dubbele VPN): deze functie stuurt je online verkeer via meerdere servers met behulp van WireGuard. Deze techniek verwijdert je IP-adres ook van de server na een bepaalde periode van inactiviteit.

Als je je zorgen maakt over privacy, is het belangrijk om bij je VPN-aanbieder na te vragen welke oplossingen ze hebben voor WireGuard.

Censuur omzeilen

OpenVPN is erg goed in het omzeilen van internetcensuur omdat het TCP in plaats van UDP kan gebruiken met poort 433, wat ook gebruikt wordt door HTTPS.

Deze truc maakt het moeilijk voor alle firewalls om onderscheid te maken tussen verkeer via OpenVPN en normaal, veilig webverkeer.

Dankzij deze truc is OpenVPN zeer geschikt in sterk gecensureerde landen zoals China, Rusland en Turkije.

Onder normale omstandigheden raden we het gebruik van UDP aan voor hogere snelheden, maar als je strenge censuur wilt omzeilen, is TCP een veel veiligere optie.

Het enige nadeel is dat TCP veel langzamer is dan UDP, maar wel zeer betrouwbaar.

WireGuard omzeilt nauwelijks censuur en is gevoelig voor Deep Packet Inspection. Dat komt omdat WireGuard versluiering inruilt voor snelheid. Zo ondersteunt WireGuard geen tunneling over TCP.

Zijn UDP-verbindingen worden gemakkelijk opgemerkt en geblokkeerd door diverse censuurtechnieken.

WireGuard is niet fantastisch voor het deblokkeren van websites.

Overschakelen van netwerk

Over het algemeen geven veel VPN-aanbieders de voorkeur aan het IKEv2-protocol wanneer het gaat om netwerkmobiliteit, omdat dit het Mobility and Multihoming Protocol ondersteunt.

Er zijn echter zorgen over de zogenaamde closed-source benadering van het protocol. Bovendien wordt IKEv2 door veel mobiele apparaten out-of-the-box aangeboden; je kunt je VPN-verbinding dus zelf configureren.

Vergeleken met OpenVPN biedt WireGuard een betere mobiliteit.

Met WireGuard kun je naadloos schakelen tussen wifi en mobiele netwerken, beter dan met OpenVPN.

Veel internetgebruikers hebben de neiging om OpenVPN te onderbreken en opnieuw te verbinden wanneer ze van netwerk veranderen en hebben dus last van verbindingstoringen.

Als je constant van netwerk wisselt, is het aan te raden om een VPN te gebruiken die WireGuard ondersteunt om een betere internetervaring te krijgen.

WireGuard biedt daarom een uitstekende oplossing voor zowel IKEv2- als OpenVPN-problemen; het is een open-source oplossing en elimineert het mobiliteitsprobleem van OpenVPN.

Bandbreedte, prestatie en snelheid

WireGuard gebruikt minder bandbreedte dan OpenVPN. Dat komt omdat WireGuard minder versleutelingstechnieken gebruikt dan zijn concurrent, waardoor er een lage versleutelingsoverhead is.

Daarom is de versleutelingstijd snel en zijn er minder gegevens nodig voor de veiligheid wanneer je een VPN gebruikt.

Minder versleutelingsoverhead is essentieel wanneer je gebruik maakt van mobiele bandbreedte op basis van pay-as-you-go. Met OpenVPN zul je meer data verbruiken door zijn enorme versleutelingsoverhead tijdens het tunnelingproces.

Wat snelheid en prestaties betreft, is WireGuard sneller omdat het voornamelijk op UDP-verbindingen vertrouwt.

Bovendien gebruikt het minder CPU-bronnen in mobiele apparaten, embedded systemen en routers omdat het zich in de Linux-kernel bevindt. Ook brengt WireGuard snel verbindingen tot stand.

Aan de andere kant is Open VPN ook snel, maar niet zo snel als WireGuard wanneer het UDP gebruikt. Kies je echter voor betrouwbaarheid en het omzeilen van beperkingen, dan krijg je lagere snelheden omdat je de TCP-verbinding moet gebruiken.

Een TCP-verbinding stelt betrouwbaarheid boven snelheid.

Aangezien OpenVPN een hogere versleutelingsoverhead heeft, verbruikt het ook meer CPU, wat problematisch kan zijn voor toestellen die geen krachtige CPU’s hebben, zoals routers en embedded systemen.

Ook zul je merken dat de batterij leeg raakt door het hoge CPU-verbruik.

Qua prestaties is OpenVPN nooit de beste optie geweest, aangezien zelfs andere verouderde protocollen betere resultaten opleveren.

De moderne WireGuard maakt beter gebruik van multi-threading in moderne CPU’s, iets wat OpenVPN nog steeds niet volledig heeft benut.

WireGuard heeft een krachtige benchmark uitgevoerd met dezelfde parameters op IPSec, WireGuard en het OpenVPN-protocol.

Dit zijn de resultaten:

Uit de bovenstaande grafiek blijkt dat WireGuard een betere doorvoersnelheid en een lagere pingtijd heeft dan zijn tegenhangers.

Je kunt ook snelheidstests uitvoeren om te bevestigen welk protocol voor jou de beste snelheden oplevert.

Voor optimale resultaten sluit je alle programma’s en start je een VPN die WireGuard ondersteunt, misschien Surfshark of NordVPN.

Maak verbinding met verschillende servers en meet de snelheden via Speedtest van Ookla. Je kunt UDP en TCP van OpenVPN gebruiken tegen WireGuard.

Compatibiliteit en gebruiksgemak

Vrijwel elke VPN in de industrie gebruikt OpenVPN. Je kunt OpenVPN ook op de meeste routers, consoles en andere apparaten gebruiken.

WireGuard geniet echter nog niet van deze populariteit, maar zal binnenkort een soortgelijke aanwezigheid hebben als OpenVPN dankzij de massale adoptie.

Vanwege de compacte code is het gemakkelijk voor ontwikkelaars om WireGuard te tweaken zodat het werkt of meer apparaten ondersteunt, met uitzondering van verouderde systemen die geen ondersteuning bieden voor nieuwe protocollen. Bovendien is WireGuard erg gebruiksvriendelijk en heeft het cross-platform ondersteuning.

De meeste VPN’s gebruiken nog steeds het OpenVPN-protocol op routerniveau. Maar het is fijn om te weten dat enkele VPN’s nu ook de optie bieden om WireGuard op routerniveau te gebruiken.

Op mobiele toestellen bieden de meeste populaire VPN’s het WireGuard-protocol aan.

Wat betreft gebruiksgemak is WireGuard eenvoudiger in vergelijking met OpenVPN. Dit kan ook te danken zijn aan de minder omvangrijke broncode, waardoor het een betere optie is voor embedded systemen.

OpenVPN was en is nog steeds moeilijk handmatig te configureren. Niettemin is het proces eenvoudiger met een externe cliënt.

Conclusie

WireGuard is een nieuwkomer in de industrie, maar heeft al een naam voor zichzelf gemaakt. Dit blijkt uit het aantal vooraanstaande VPN’s die het protocol in hun dienstverlening opnemen.

Het beste is dat WireGuard nu beschikbaar is in de Linux-kernel.

OpenVPN komt over als een veel ouder en meer respectabel protocol in de industrie. Dit zal altijd meer vertrouwen en loyaliteit afdwingen bij technische gebruikers.

Toch valt niet te ontkennen hoe snel WireGuard overeenkomt met en het soms zelfs aantoonbaar beter doet dan OpenVPN op verschillende vlakken, waaronder snelheid, broncode, prestaties en bruikbaarheid.

Kortom, de protocollen van WireGuard en OpenVPN zijn behoorlijk aan elkaar gewaagd in deze vergelijking. Het is dus niet eenvoudig om te beslissen welke van de twee VPN-protocollen de beste is.

Om te bepalen welk protocol je moet gebruiken, zul je moeten beslissen welk aspect je wilt opgeven. Desondanks zijn beide protocollen prima voor dagelijks gebruik.