Protocoalele VPN Explicate – Care ar trebui să-l folosești?

Ce este un Protocol VPN?

Un protocol VPN este un set de instrucțiuni/reguli care conturează cum ar trebui realizată o conexiune între dispozitivul tău și serverul VPN. Protocolul determină viteza și poate folosi algoritmi de criptare pentru a-ți menține datele în siguranță.

Diferitele protocoale au diferite parametri și specificații atunci când sunt utilizate. Acestea includ tehnici de autentificare, tipuri de corecție a erorilor, formatul adresei și dimensiunea pachetului de date, printre altele.

Acest ghid se va concentra mai mult pe securitate, intimitate, viteză și stabilitate.

Printre protocoalele VPN notabile, susținute de majoritatea furnizorilor comerciali de VPN, se numără PPTP, L2TP/IPSec, SSTP, OpenVPN, IKEv2/IPSec și WireGuard.

Fără mai multă vorbă, să începem!

O scurtă comparație a diverselor protocoale VPN standard:

Protocoale VPN Comun Folosite

Acestea sunt protocoalele pe care majoritatea furnizorilor reputabili de VPN preferă să le ofere. Acestea sunt sigure, cu viteze rapide și stabilitate, și nu sunt ușor de compromis.

Acestea sunt următoarele:

OpenVPN

OpenVPN este standardul de aur al protocoalelor VPN. OpenVPN este open source și utilizează librăria OpenSSL alături de alte tehnologii de securitate.

OpenSSL este un set de instrumente pentru SSL/TLS și criptografie – ceea ce este necesar pentru comunicații securizate de la un capăt la altul.

OpenVPN este cel mai sigur protocol VPN și este, de asemenea, foarte configurabil. OpenSSL oferă toată criptarea și autentificarea necesară.

Astfel, OpenVPN poate utiliza diverse cifruri oferite de librăria OpenSSL. Majoritatea furnizorilor de VPN preferă să utilizeze cifrul Blowfish și AES.

Criptarea VPN se face atât pe canalul de date, cât și pe cel de control. Criptarea canalului de date asigură datele tale, în timp ce criptarea canalului de control securizează conexiunea.

Aceasta asigură că conexiunea ta VPN și datele tale nu sunt niciodată în pericol. Cu toate acestea, majoritatea furnizorilor de VPN folosesc cea mai înaltă criptare pe canalul de control mai degrabă decât pe cel de date.

Cel mai frecvent, OpenVPN utilizează cea mai înaltă criptare disponibilă. Aceasta este un cifru cu criptare de 256, strângere de mână RSA-4096 și autentificare hash SHA-512. Uneori, poate adăuga autentificare HMAC și Perfect Forward Secrecy.

Utilizează chiar accelerare hardware pentru performanță îmbunătățită.

Fiind open-source, OpenVPN a fost auditat de diverse entități și s-a constatat că este sigur, fără vulnerabilități severe.

Adesea, atunci când sunt descoperite vulnerabilități, acestea sunt remediate rapid. În plus, nu poate fi slăbit chiar și de către agențiile guvernamentale, mai ales când se folosește Perfect Forward Secrecy.

OpenVPN TCP și OpenVPN UDP

Pe lângă securitatea impecabilă, OpenVPN oferă viteză și fiabilitate prin intermediul celor două protocoale de comunicare. OpenVPN TCP pentru fiabilitate și OpenVPN UDP pentru viteză.

OpenVPN TCP și UDP pot rula pe un singur port TCP/UDP 443. UDP poate fi setat să ruleze pe un alt port. Același port este utilizat pentru traficul web HTTP securizat. Acest lucru face dificilă blocarea conexiunilor OpenVPN.

Se recomandă utilizarea OpenVPN atunci când securitatea și intimitatea sunt de cea mai mare importanță. Din cauza overhead-ului de criptare, OpenVPN s-ar putea să nu fie potrivit pentru sarcini cu latență scăzută, cum ar fi jocurile. Cu toate acestea, dacă ai o conexiune de mare viteză, acest lucru nu va conta.

OpenVPN folosește software terț pentru a fi compatibil cu majoritatea dispozitivelor capabile de VPN. Aproape toți furnizorii de VPN oferă, de asemenea, acest protocol.

Mai mult, proiectul OpenVPN are clienți/aplicații OpenVPN personalizate care pot fi utilizate individual. Sunt implicate configurări manuale.

Avem un ghid complet despre OpenVPN peste TCP vs UDP dacă ești interesat de o descriere detaliată.

Avantaje

• Open-source.
• Securitate impecabilă folosind Perfect Forward Secrecy.
• Compatibil cu o gamă de cifruri (configurabil).
• Ușor de ocolit firewall-urile/restricțiile.
• Aproape fiecare furnizor de VPN îl oferă.
• A fost testat, auditat și dovedit.
• Include UDP și TCP.
• Dificil de slăbit.

Dezavantaje

• Overhead de criptare mare.
• Nu este foarte rapid.
• Base de cod mare.
• Are nevoie de software terț pentru compatibilitate.

IKEv2

Acest protocol este cunoscut și sub numele de IKEv2/IPsec. Internet Key Exchange versiunea 2 (IKEv2) este un protocol de tunelare și, după cum sugerează și numele, este folosit pentru a schimba cheile de mod securizat.

Acesta are nevoie de un alt protocol pentru criptare și autentificare pentru a fi folosit ca protocol VPN. Din acest motiv, este asociat cu IPSec.

După cum am menționat mai devreme (L2TP/IPSec), IPSec oferă un canal securizat și permite diverse algoritme de criptare. Prin urmare, poți obține o criptare de până la 256 de biți cu acest protocol.

Deoarece IKEv2 este un protocol de schimb de chei, acesta utilizează schimbul de chei Diffie-Hellman și permite Perfect Forward Secrecy pentru a-și proteja datele.

Acest protocol este de încredere, deoarece utilizează recunoașteri, procesarea erorilor, controlul transmisiilor și traversarea incorporată a adresei de rețea.

Este și stabil, deoarece re-stabilește automat conexiunile VPN întrerupte mai eficient decât alte protocoale.

În plus, acesta suportă mobilitate normală prin intermediul Protocolului de mobilitate și multihoming (MOBIKE). Acest lucru permite utilizatorilor să schimbe rețelele păstrând în același timp o conexiune securizată.

Prin urmare, IKEv2 este potrivit pentru telefoanele mobile, deoarece acestea comută regulat între conexiunile la internet prin rețeaua mobilă și WIFI. Acesta este și motivul pentru care IKEv2 este protocolul încorporat în majoritatea telefoanelor mobile capabile de VPN.

Datorită unei îmbunătățiri de la IKEv1, IKEv2 este mai rapid și mai eficient, consumă mai puțină lățime de bandă și nu are vulnerabilități cunoscute. Vulnerabilitățile apar când furnizorii de VPN îl implementează necorespunzător.

Inițial, IKEv2 a fost dezvoltat printr-un efort comun între Microsoft și Cisco. A fost compatibil cu Blackberry, iOS și Windows 7.

Cu toate acestea, multe iterații ale IKEv2 sunt acum open-source și suportă alte platforme.

Un VPN bun care folosește IKEv2 este NordVPN.

Avantaje

• Viteze impresionant de rapide.
• Protecție maximă prin AES.
• Reconexiuni auto stabile.
• Poți schimba rețelele fără griji.
• Securizat, fără vulnerabilități.
• Compatibil cu dispozitivele Blackberry și alte platforme.

Dezavantaje

• Implementarea proastă poate cauza probleme.
• Versiune cu sursă închisă.
• Poate suferi de restricții de firewall.

Pentru o descriere detaliată, verifică ghidul nostru despre protocolul VPN IKEv2.

WireGuard

WireGuard este un protocol relativ nou, open-source, simplu și ușor de utilizat. A fost conceput pentru a fi mai rapid decât IPSec și mai eficient decât OpenVPN.

Deși încă se află în dezvoltare, majoritatea furnizorilor reputabili de VPN au adoptat WireGuard ca unul dintre principalele lor protocoale. Alții oferă o versiune modificată a acestuia sub un alt nume.

WireGuard folosește criptografie de ultimă generație pentru a-ți proteja traficul de internet. Utilizează cifruri noi care nu sunt adoptate de alte protocoale.

Pentru criptare, folosește ChaCha20. ChaCha20 este securizat și funcționează mai rapid decât AES-ul obișnuit, chiar și pe dispozitive mobile.

Această criptografie de ultimă generație asigură că calculul cuantic nu va rupe cu ușurință criptarea.

Baza de cod este, de asemenea, ușoară pentru a asigura o suprafață de atac minimă.

Codul poate fi revizuit rapid chiar și de către indivizi, spre deosebire de OpenVPN, care are un cod voluminos. Cu cât codul este mai mic, cu atât este mai ușor de auditat și de identificat vulnerabilitățile și punctele slabe.

Fiindcă chiar mecanismul său de criptare este mai rapid pe telefoanele mobile, WireGuard se mândrește cu performanță înaltă. Utilizează și o interfață de rețea simplă care poate fi configurată cu ușurință.

Cu criptare eficientă, WireGuard utilizează cea mai mică lățime de bandă. Conexiunile sale se bazează pe UDP. Datorită performanței sale înalte, WireGuard oferă cele mai rapide viteze.

Pe lângă toate acestea, configurația implicită a WireGuard păstrează jurnalele cu adresele tale IP statice. Acesta este o problemă majoră de confidențialitate pentru majoritatea utilizatorilor.

De asemenea, fiind relativ nou și în curs de dezvoltare, încă are nevoie de mai multe teste.

WireGuard este compatibil cu aproape toate platformele de calcul. Este potrivit pentru sarcini care necesită viteză, nu consumă multă energie și oferă o criptare securizată.

Avantaje

• Open-source.
• Performanță înaltă cu viteze foarte rapide.
• Cod bază ușor.
• Funcționează bine chiar și cu telefoanele mobile.
• Consum redus de lățime de bandă.
• Securitate excelentă.
• Nu are vulnerabilități cunoscute.

Dezavantaje

• Folosește doar UDP.
• Ușor de blocat.
• Este încă în dezvoltare.
• Configurația implicită riscantă – jurnalizarea IP-urilor.

Pentru o analiză detaliată a acestor două protocoale, verifică ghidul nostru despre OpenVPN vs. WireGuard.

Protocoale VPN Învechite

Acestea sunt protocoale pe care majoritatea furnizorilor reputabili de VPN au încetat să le ofere din cauza vulnerabilităților lor. Cu toate acestea, le poți găsi la majoritatea furnizorilor de VPN.

Protocoalele includ:

PPTP

Point-to-Point Tunneling Protocol (PPTP) este unul dintre cele mai vechi protocoale VPN. Acest protocol nu specifică cum ar trebui implementată securitatea.

Se bazează pe diverse metode de autentificare pentru a asigura securitatea, cum ar fi MS-CHAP v2. Această metodă de autentificare nu este sigură și are mai multe slăbiciuni și vulnerabilități cunoscute.

În ceea ce privește criptarea, PPTP se bazează pe cifrul de criptare RC4 cu criptare de 128 de biți. Acest cifru RC4 este rapid și ușor. Este, de asemenea, vulnerabil la atacuri de tip dictionar, atacuri brute-force și chiar bit-flipping.

Cu mai bine de un deceniu în urmă, PPTP a fost spart în două zile din cauza unei exploatații pe MS-CHAP v2. Unele unelte mai noi s-au lăudat că l-au spart în mai puțin de 24 de ore. Împreună cu MS-CHAP v2, PPTP nu este recomandat pentru confidențialitate și securitate.

Cu toate acestea, poți folosi PPTP pentru sarcini cu viteză mare. Este ușor de configurat (fără software suplimentar) și are o sarcină computațională foarte mică.

Prin urmare, până în prezent, PPTP rămâne un standard pentru serviciile VPN corporative și comerciale. De asemenea, este un protocol VPN încorporat în majoritatea dispozitivelor capabile de VPN.

PPTP folosește portul TCP 1723, ceea ce îl face mai ușor de blocat.

Avantaje

• Viteze foarte rapide.
• Foarte ușor de configurat.
• Marea majoritate a furnizorilor de VPN îl suportă.
• Compatibil cu majoritatea platformelor.

Dezavantaje

• Securitate și criptare slabe.
• Nu îți crește confidențialitatea.
• Agențiile guvernamentale sau chiar indivizii pasionați de tehnologie îl pot sparge ușor.
• Nu poate ocoli restricțiile/este ușor de blocat.
• Mai multe vulnerabilități cunoscute.

L2TP/IPsec

Acest protocol este format din două părți, chiar dacă, uneori, este numit doar L2TP. Acestea sunt Layer 2 Tunneling Protocol (L2TP) și Securitatea Protocolului Internet (IPsec).

L2TP este doar un protocol de tunelare – creează o conexiune securizată pentru schimbul de date, dar nu le criptează. Prin urmare, trebuie să fie asociat cu un protocol care permite criptarea datelor. Acesta este rolul lui IPSec.

IPSec este responsabil pentru criptare, schimb de chei și autentificare. Permite utilizarea diverselor algoritme de criptare. IPSec oferă un canal securizat atunci când este utilizat împreună, în timp ce L2TP este responsabil pentru tunel.

L2TP/IPSec poate utiliza criptarea de 256 de biți, care este foarte sigură. Cu toate acestea, majoritatea VPN-urilor nu implementează acest protocol așa cum ar trebui. Folosesc chei pre-partajate, care pot fi ușor de găsit. Prin urmare, îl fac slab.

În plus, majoritatea experților sugerează puternic că NSA a slăbit IPsec când era în curs de dezvoltare.

L2TP/IPSec este relativ mai lent decât alte protocoale. Aceasta se datorează dublei encapsulări. La fel ca PPTP, acest protocol folosește, de asemenea, porturi fixe, ceea ce face blocarea mai ușoară.

Poți să-l folosești când alte protocoale dau greș, oferind o bună stabilitate. Este mai ușor de configurat și este suportat de aproape toate dispozitivele capabile de VPN.

Avantaje

• Mai sigur comparativ cu predecesorul său PPTP.
• Relativ stabil.
• Ușor de configurat.
• Majoritatea furnizorilor de VPN îl suportă.
• Disponibil pe majoritatea platformelor de calcul.

Dezavantaje

• Dependenta de porturi fixe.
• Poate fi blocat.
• Poate fi compromis.
• Relativ mai lent.
• Implementarea slabă îl face vulnerabil.

SSTP

Secure Socket Tunneling Protocol (SSTP) este un protocol sigur care oferă criptare utilizând standardele de criptare SSL/TLS.

Aceste standarde sunt utilizate și pentru a asigura traficul HTTP securizat. SSTP poate securiza Protocolul Punct-la-Punct (PPP – un protocol de comunicare) și, în unele cazuri, L2TP.

Cu o integrare strânsă, SSTP poate fi puternic și stabil ca alte protocoale securizate. Prin canalul SSL/TSL, SSTP poate folosi diverse cifruri care pot oferi criptare de 256 de biți. Cu toate acestea, SSL este susceptibil la atacurile de tip POODLE Man-in-the-middle (MITM).

Ceea ce este unic la SSTP este utilizarea portului 443. Acest port este folosit pentru traficul HTTPS, practic majoritatea activităților tale pe web.

Acest lucru face ca SSTP să fie un protocol de VPN stealth. Poate depăși blocările geografice și este greu de blocat pe firewall-uri, cu excepția cazului în care nimeni nu vrea ca traficul web să continue.

Dacă alte protocoale mai bune nu sunt disponibile, SSTP poate ajuta la depășirea restricțiilor. Atunci când este implementat corect, poate oferi viteze bune. Dar uneori poate suferi de topirea TCP, afectând fiabilitatea și performanța.

SSTP este un protocol Microsoft și este suportat doar de câteva platforme. Acestea includ Windows, Linux și BSD. Ca protocol Microsoft, SSTP nu este disponibil pentru audituri publice.

De asemenea, cooperarea Microsoft cu NSA poate să te descurajeze de la acest protocol. Adică, dacă intimitatea și securitatea sunt principalele tale priorități.

Avantaje

• Stealth, poate ocoli firewall-urile.
• Securizat.
• Excelentă integrare cu Windows.

Dezavantaje

• Sursă închisă.
• SSL este susceptibil la atacuri MITM.
• Poate fi compromis.
• Nu este larg acceptat/compatibil.

Notă: Evită protocoalele învechite dacă îți pasă de intimitatea și securitatea ta. Acestea pot fi ultima soluție atunci când totul altceva nu funcționează.

Protocoale VPN Rareori Folosite

Acestea sunt protocoale VPN folosite doar de câțiva furnizori de VPN.

SoftEther

SoftEther este un protocol VPN open-source pentru securitatea excelentă și vitezele rapide pe care le oferă. A început ca parte a unei teze de master la Universitatea din Tsukuba.

Deși nu a câștigat tracțiune în întreaga industrie, acesta a arătat deja rezultate excelente pe furnizorii de VPN care l-au adoptat.

SoftEther se bazează pe OpenSSL pentru criptare și autentificare. Acest lucru îi oferă acces la cifruri puternice, inclusiv AES-256 și RSA-4096.

De asemenea, SoftEther tunnelează traficul prin portul TCP 443, la fel ca OpenVPN. Acest port garantează că traficul SoftEther nu va fi blocat ușor, deoarece este portul pentru traficul HTTPS.

Acest protocol se mândrește cu una dintre cele mai bune viteze de conexiune. Are o traversare nativă a adresei de rețea încorporată și un DNS dinamic încorporat.

De asemenea, suportă compresia datelor, iar prioritatea este dată VoIP-ului datorită calității serviciului.

Doar două VPN-uri comerciale oferă protocolul SoftEther; Hide.me și CactusVPN. Spre deosebire de alte protocoale, acesta nu este suportat nativ de platformele de calcul.

Avantaje

• Open-source.
• Securizat.
• Viteze rapide.
• Soluție Anti-restricție Firewall.
• Poate aplica o gamă de cifruri.

Dezavantaje

• Relativ nou.
• Folosit de foarte puțini furnizori de VPN.
• Nu suportă nicio platformă în mod nativ.

Protocoale VPN Proprietare

Acestea sunt protocoale care sunt deținute și controlate de un anumit furnizor de VPN. Ele sunt create și personalizate în exclusivitate pentru a fi folosite în cadrul serviciilor lor de VPN.

Alți furnizori de VPN nu pot utiliza aceste protocoale deoarece ele sunt cu sursă închisă.

Protocoalele VPN proprietare sunt de obicei construite pentru a oferi viteze de conexiune mai bune, securitate și stabilitate și pentru a depăși provocările existente în protocoalele obișnuit folosite.

Unii furnizori pot crea propriile protocoale, în timp ce alții se bazează pe protocoalele open-source existente.

Deoarece acestea nu sunt open-source, nimeni nu știe ce este în interior, cu excepția furnizorilor. Unii furnizori afirmă că protocolul lor a fost auditat independent, fără erori, pentru a inspira încredere.

Cu toate acestea, ofertele din aceste protocoale includ cod ușor pentru a minimiza suprafața de atac, criptografie bine stabilită cu Secreție Perfectă Înainte, suport UDP și TCP, stabilitate excelentă, avantaj de performanță ridicată și alte caracteristici.

Unele dintre cele mai cunoscute protocoale VPN proprietare de la VPN-uri de renume includ; Catapult Hydra, Chameleon, Lightway și NordLynx.

Avantajele protocoalelor VPN proprietare

• Criptare impecabilă.
• Viteze rapide de conexiune.
• Performanță ridicată.
• Consum redus de lățime de bandă.
• Capacitatea de a ocoli restricțiile de cenzură/firewall.

Dezavantajele protocoalelor VPN proprietare

• Sursă închisă.
• Sunt folosite doar de un singur furnizor.
• Nu se poate ști despre vulnerabilități.

Încheiere

Protocoalele VPN oferă linii directoare și specificații despre cum ar trebui realizată o conexiune VPN. O conexiune VPN poate fi mai rapidă, mai sigură sau mai stabilă, în funcție de protocol.

Mulți furnizori de VPN preferă protocolul OpenVPN, deoarece este complet. Acesta are cea mai bună securitate, viteze bune de conexiune și fiabilitate.

De asemenea, ocolește firewalurile și alte restricții cu ușurință. Dacă acest protocol nu funcționează bine, poți folosi alte protocoale, cum ar fi WireGuard pentru viteze rapide și IKEv2/IPSec pentru stabilitate.

Obții de asemenea o securitate bună. IKEv2/IPSec funcționează cel mai bine cu telefoanele mobile și gestionează eficient schimbările de rețea.

Dacă furnizorul tău de VPN oferă SoftEther, îl poți folosi și pe acesta. Este o opțiune echilibrată excelentă, cum ar fi protocolul OpenVPN.

Dacă poți, evită protocoalele învechite. Cu excepția cazului în care confidențialitatea și securitatea nu sunt pe primul loc în prioritățile tale.