Пояснения по VPN протоколам – Какой из них выбрать?

Что такое VPN протокол?

Протокол VPN — это набор инструкций/правил, которые определяют, как должно быть установлено соединение между вашим устройством и сервером VPN. Протокол определяет скорость и может использовать алгоритмы шифрования для обеспечения безопасности ваших данных.

Разные протоколы имеют разные параметры и спецификации при использовании. К ним относятся методы аутентификации, типы коррекции ошибок, формат адреса, размер пакета данных и многое другое.

В этом руководстве больше будет сосредоточено на безопасности, конфиденциальности, скорости и стабильности.

Заметные протоколы VPN, поддерживаемые большинством коммерческих провайдеров VPN, включают PPTP, L2TP/IPSec, SSTP, OpenVPN, IKEv2/IPSec и WireGuard.

Без лишних слов, давайте начнем!

Краткое сравнение различных стандартных протоколов VPN:

Общепринятые протоколы VPN

Вот протоколы, которые большинство уважаемых VPN-провайдеров предпочитают предлагать. Они обеспечивают безопасность, быструю скорость и стабильность, и их не легко скомпрометировать.

Они следующие:

OpenVPN

OpenVPN является золотым стандартом в индустрии VPN-протоколов. OpenVPN — это открытое программное обеспечение, которое использует библиотеку OpenSSL и другие технологии безопасности.

OpenSSL — это набор инструментов для SSL/TLS и криптографии — то, что необходимо для безопасных конечно-конечных связей.

OpenVPN — это самый безопасный протокол VPN и он также высоко конфигурируемый. OpenSSL обеспечивает всю необходимую шифрование и аутентификацию.

OpenVPN, следовательно, может использовать различные шифры, предлагаемые библиотекой OpenSSL. Большинство VPN-провайдеров предпочитают использовать шифры Blowfish и AES.

Шифрование VPN производится на канале данных, а также на управляющем канале. Шифрование канала данных обеспечивает безопасность ваших данных, в то время как шифрование управляющего канала обеспечивает безопасность подключения.

Это гарантирует, что ваше VPN-подключение и ваши данные никогда не подвергнутся риску. Однако большинство VPN-провайдеров используют наивысшую степень шифрования на управляющем канале, а не на канале данных.

Наиболее часто OpenVPN использует наивысшую доступную степень шифрования. Это шифр с 256-битным шифрованием, RSA-4096 рукопожатие и SHA-512 хеш-аутентификация. Иногда он может добавлять HMAC-аутентификацию и идеальную прямую секретность.

Он даже использует аппаратное ускорение для повышения производительности.

Будучи открытым исходным кодом, OpenVPN был проверен различными сущностями и признан безопасным без серьезных уязвимостей.

Часто, когда обнаруживаются уязвимости, они быстро устраняются. Кроме того, его не может ослабить даже правительственное агентство, особенно когда используется идеальная прямая секретность.

OpenVPN TCP и OpenVPN UDP

Помимо безупречной безопасности, OpenVPN предлагает скорость и надежность с помощью своих двух протоколов связи. OpenVPN TCP для надежности и OpenVPN UDP для скорости.

OpenVPN TCP и UDP могут работать на одном TCP/UDP порту 443. UDP может быть настроен для работы на другом порту. Тот же порт используется для безопасного веб-трафика HTTP. Это затрудняет блокирование подключений OpenVPN.

Рекомендуется использовать OpenVPN, когда безопасность и конфиденциальность имеют первостепенное значение. Из-за издержек шифрования OpenVPN может не подходить для задач с низкой задержкой, таких как игры. Однако, если у вас есть высокоскоростное подключение, это не имеет значения.

OpenVPN использует стороннее программное обеспечение для совместимости с большинством устройств, поддерживающих VPN. Почти все VPN-провайдеры также предлагают этот протокол.

Более того, проект OpenVPN имеет собственные клиенты/приложения OpenVPN, которые могут быть использованы самостоятельно. Требуются ручные настройки.

У нас есть полное руководство по OpenVPN через TCP vs UDP, если вам интересно подробное описание.

Преимущества

• Открытый исходный код.
• Безупречная безопасность с использованием идеальной прямой секретности.
• Совместим с рядом шифров (конфигурируемый).
• Легко обходит брандмауэры/ограничения.
• Почти каждый VPN-провайдер предлагает его.
• Он был протестирован, проверен и доказан.
• Включает UDP и TCP.
• Трудно ослабить.

Недостатки

• Высокие издержки на шифрование.
• Не очень быстрый.
• Объемный исходный код.
• Требуется стороннее программное обеспечение для совместимости.

IKEv2

Этот протокол также известен как IKEv2/IPsec. Протокол обмена ключами в Интернете версии 2 (IKEv2) — это протокол туннелирования и, судя по его названию, используется для безопасного обмена ключами.

Ему нужен другой протокол для шифрования и аутентификации, чтобы быть использованным как VPN-протокол. Вот почему он объединен с IPSec.

Как упоминалось ранее (L2TP/IPSec), IPSec предлагает безопасный канал и позволяет использовать различные алгоритмы шифрования. Таким образом, вы можете получить шифрование до 256 бит в этом протоколе.

Поскольку IKEv2 — это протокол обмена ключами, он использует обмен ключами Diffie-Hellman и позволяет использовать идеальную прямую секретность для защиты своих данных.

Протокол надежен, так как использует подтверждения, обработку ошибок, управление передачей и встроенное обходное решение для сетевого адреса.

Он также стабилен, так как автоматически восстанавливает потерянные VPN-соединения эффективнее, чем другие протоколы.

Кроме того, он поддерживает нормальную мобильность через протокол мобильности и многодомового (MOBIKE). Это позволяет пользователям менять сети, сохраняя при этом безопасное подключение.

Таким образом, IKEv2 подходит для мобильных телефонов, так как они регулярно переключаются между WIFI и интернет-соединениями мобильной сети. Вот почему IKEv2 — это встроенный протокол в большинстве мобильных телефонов, поддерживающих VPN.

Благодаря улучшению от IKEv1, IKEv2 быстрее и эффективнее, потребляет меньше пропускной способности и не имеет известных уязвимостей. Уязвимости возникают, когда VPN-провайдеры плохо реализуют его.

Изначально IKEv2 был разработан совместными усилиями Microsoft и Cisco. Он был совместим с Blackberry, iOS и Windows 7.

Однако, многие версии IKEv2 теперь имеют открытый исходный код и поддерживают другие платформы.

Хороший VPN, использующий IKEv2/IPsec, имеет большую скорость, безопасность и стабильность.

Преимущества

• Поддерживает идеальную прямую секретность.
• Высокая скорость.
• Безопасен.
• Быстрое повторное соединение.
• Устойчив.
• Используется с мобильными устройствами.
• Открытый исходный код.

Недостатки

• Может быть подвергнут блокировке брандмауэра.
• Не все VPN-провайдеры предлагают его.
• Версия для Windows 7 требует стороннего программного обеспечения для поддержки.

WireGuard

WireGuard — это новейший VPN-протокол, который стал доступным для использования всем в 2020 году. WireGuard долгое время находился в разработке, и его ожидали многие люди из-за тех обещаний, которые он делал.

WireGuard предлагает более высокую скорость, стабильность и безопасность. Он является наиболее эффективным и простым протоколом VPN с точки зрения кода.

WireGuard использует криптографию нового поколения и обходит все старые и устаревшие методы, которые были приняты другими протоколами.

Код WireGuard намного меньше и проще, чем код других протоколов VPN, что делает его безопаснее и проще в проверке. На момент его выпуска WireGuard содержал около 4000 строк кода, в то время как другие протоколы имеют более 100 000 строк кода.

Это упрощает настройку, обеспечивает высокую скорость и большую стабильность. Это, в свою очередь, предлагает большую производительность и меньшее потребление батареи.

WireGuard использует шифрование с открытым ключом для аутентификации, что обеспечивает большую безопасность.

WireGuard использует шифрование ChaCha20 для симметричного шифрования, Curve25519 для ключей ECDH, BLAKE2 для хеширования и поли1305 для аутентификации сообщений, среди других криптографических протоколов.

WireGuard также предлагает идеальную прямую секретность и обеспечивает безопасность данных пользователей от пассивного мониторинга.

Протокол также поддерживает мобильность и может легко переключаться между сетями WIFI и мобильными данными без потери подключения.

WireGuard имеет открытый исходный код и может быть интегрирован в большинстве операционных систем и платформ.

Однако, многие VPN-провайдеры еще не начали предлагать его, поскольку он был выпущен совсем недавно и все еще находится в процессе аудита и проверки. Возможно, что он будет более широко принят, когда этот процесс будет завершен.

Преимущества

• Высокая скорость и производительность.
• Эффективное потребление батареи.
• Безупречная безопасность с использованием идеальной прямой секретности.
• Новейшие криптографические протоколы.
• Простой и небольшой код.
• Легкость использования.
• Поддерживает мобильность.
• Открытый исходный код.

Недостатки

• Все еще в процессе проверки и аудита.
• Не все VPN-провайдеры предлагают его.

Устаревшие протоколы VPN

Это протоколы, которые большинство авторитетных провайдеров VPN перестали предлагать из-за их уязвимостей. Однако, их можно найти у большинства провайдеров VPN.

К таким протоколам относятся:

PPTP

Протокол туннелирования точка-точка (PPTP) — один из старейших протоколов VPN. Этот протокол не специфицирует, как следует реализовывать безопасность.

Он полагается на различные методы аутентификации для обеспечения безопасности, такие как MS-CHAP v2. Этот метод аутентификации не является безопасным и имеет несколько известных слабостей и уязвимостей.

Что касается шифрования, PPTP опирается на шифр RC4 с 128-битным шифрованием. Этот шифр RC4 быстр и легок. Однако он также подвержен атакам по словарю, атакам грубой силой и даже атакам с изменением бит.

Более десяти лет назад PPTP был взломан за два дня из-за эксплуатации уязвимости MS-CHAP v2. Тогда новые инструменты утверждали, что могут взломать его менее чем за 24 часа. В связи с этим, с учетом MS-CHAP v2, PPTP не рекомендуется для обеспечения приватности и безопасности.

Тем не менее, вы можете использовать PPTP для задач, требующих высокой скорости. Его легко настроить (без дополнительного программного обеспечения) и он имеет очень низкие вычислительные затраты.

Поэтому до сих пор PPTP остается стандартом для корпоративных и коммерческих услуг VPN. Он также является встроенным протоколом VPN в большинстве устройств, поддерживающих VPN.

PPTP использует порт TCP 1723, что упрощает его блокировку.

Преимущества

• Очень высокая скорость.
• Очень легко настроить.
• Поддерживается большинством провайдеров VPN.
• Совместим с большинством платформ.

Недостатки

• Слабая безопасность и шифрование.
• Не увеличивает вашу приватность.
• Правительственные агентства или даже технически подкованные лица легко могут его взломать.
• Не может обходить ограничения/легко блокируется.
• Несколько известных уязвимостей.

L2TP/IPsec

Этот протокол состоит из двух частей, хотя иногда его называют просто L2TP. Это протокол туннелирования второго уровня (L2TP) и Безопасность интернет-протокола (IPsec).

L2TP — это просто протокол туннелирования — он создает безопасное соединение для обмена данными, но не шифрует его. Поэтому ему необходимо быть сопряженным с протоколом, позволяющим шифрование данных. Здесь на помощь приходит IPSec.

IPSec отвечает за шифрование, обмен ключами и аутентификацию. Он позволяет использовать различные алгоритмы шифрования. IPSec обеспечивает безопасный канал при совместном использовании, в то время как L2TP отвечает за туннель.

L2TP/IPSec может использовать 256-битное шифрование, которое очень безопасно. Однако большинство VPN не реализуют этот протокол, как следует. Они используют предварительно разделенные ключи, которые можно легко найти. Таким образом, они делают его слабым.

Кроме того, большинство экспертов настоятельно утверждают, что NSA ослабила IPsec, когда он был на стадии разработки.

L2TP/IPSec относительно медленнее других протоколов. Это связано с двойной инкапсуляцией. Как и PPTP, этот протокол также использует фиксированные порты, что упрощает блокировку.

Вы можете использовать его, когда другие протоколы не справляются, он обеспечивает хорошую стабильность. Его легче настроить и он поддерживается почти всеми устройствами, способными работать с VPN.

Преимущества

• Более безопасен по сравнению с его предшественником PPTP.
• Относительно стабилен.
• Легко настраивается.
• Поддерживается большинством провайдеров VPN.
• Доступен на большинстве компьютерных платформ.

Недостатки

• Зависимость от фиксированных портов.
• Может быть заблокирован.
• Может быть скомпрометирован.
• Относительно медленнее.
• Плохая реализация делает его слабым.

SSTP

Протокол туннелирования безопасного сокета (SSTP) — это безопасный протокол, который обеспечивает шифрование с использованием стандартов шифрования SSL/TLS.

Эти стандарты также используются для обеспечения безопасного HTTP-трафика. SSTP может обеспечить безопасность протокола обмена точка-точка (PPP — протокол связи) и, в некоторых случаях, L2TP.

С тесной интеграцией, SSTP может быть таким же сильным и стабильным, как и другие безопасные протоколы. Через канал SSL/TSL, SSTP может использовать различные шифры, которые могут предложить 256-битное шифрование. Однако, SSL подвержен атакам типа POODLE «человек посередине» (MITM).

Особенностью SSTP является использование порта 443. Этот порт используется для HTTPS-трафика, что составляет практически все ваши веб-активности.

Это делает SSTP стелс-протоколом VPN. Он может обходить гео-блокировки и его трудно блокировать на брандмауэрах, если только кто-то не хочет следить за веб-трафиком.

Если другие лучшие протоколы недоступны, SSTP может помочь обойти ограничения. При правильной реализации он может обеспечить хорошие скорости. Но иногда он может страдать от сбоя TCP, что затрудняет надежность и производительность.

SSTP — это протокол Microsoft и он поддерживается только несколькими платформами. В их число входят Windows, Linux и BSD. Как протокол Microsoft, SSTP недоступен для аудита. Это несет в себе риск, что в нем может быть задний проход, о котором мы не знаем.

Преимущества

• Безопасный протокол.
• Может обходить гео-блокировки.
• Трудно блокировать.
• Поддерживается большинством провайдеров VPN.

Недостатки

• Производительность и надежность могут страдать.
• Поддерживается ограниченным числом платформ.
• Недоступен для аудита.
• Возможность заднего прохода.

Редко Используемые VPN Протоколы

Это VPN протоколы, которые используются только некоторыми VPN провайдерами.

SoftEther

SoftEther — это открытый VPN протокол, известный своей отличной безопасностью и быстрыми скоростями. Он был создан в рамках магистерской диссертации в Университете Цукуба.

Хотя он не получил широкого признания в отрасли, он уже продемонстрировал отличные результаты у VPN провайдеров, которые его приняли.

SoftEther опирается на OpenSSL для шифрования и аутентификации. Это дает ему доступ к мощным шифрам, включая AES-256 и RSA-4096.

Также SoftEther туннелирует трафик через TCP порт 443, как OpenVPN. Этот порт гарантирует, что трафик SoftEther не будет легко заблокирован, так как это порт для HTTPS трафика.

Этот протокол может похвастаться одной из лучших скоростей подключения. В нем встроен механизм обхода сетевого адресного перевода и встроенный динамический DNS.

Он также поддерживает сжатие данных, и приоритет отдается VoIP из-за качества обслуживания.

Только два коммерческих VPN предлагают протокол SoftEther; Hide.me и CactusVPN. В отличие от других протоколов, он не поддерживается нативно на платформах вычислительной техники.

Преимущества

• Открытый исходный код.
• Безопасен.
• Быстрые скорости.
• Решение для обхода ограничений брандмауэра.
• Может применять ряд шифров.

Недостатки

• Относительно новый.
• Используется очень небольшим числом VPN провайдеров.
• Не поддерживается нативно на любой платформе.

Проприетарные VPN Протоколы

Это протоколы, которые принадлежат и контролируются определенным VPN провайдером. Они создаются и настраиваются исключительно для использования в их VPN-услугах.

Другие VPN провайдеры не могут использовать эти протоколы, поскольку они закрыты.

Проприетарные VPN протоколы обычно создаются для обеспечения лучших скоростей подключения, безопасности и стабильности, а также для преодоления проблем, существующих в обычно используемых протоколах.

Некоторые провайдеры могут создавать свои собственные, в то время как другие строят на основе существующих открытых протоколов.

Поскольку они не являются открытыми, никто, кроме провайдеров, не знает, что находится под капотом. Некоторые провайдеры заявляют, что их протокол был независимо проверен и не имеет недостатков, чтобы внушить доверие.

Тем не менее, предложения этих протоколов включают легкий код для минимизации атаки, хорошо установленную криптографию с идеальной прямой секретностью, поддержку UDP и TCP, отличную стабильность, высокую производительность и другие функции.

Самые известные проприетарные VPN протоколы от надежных VPN включают; Catapult Hydra, Chameleon, Lightway и NordLynx.

Преимущества проприетарных VPN Протоколов

• Безупречное шифрование.
• Быстрые скорости подключения.
• Высокая производительность.
• Низкое потребление пропускной способности.
• Способность обходить цензуру / ограничения брандмауэра.

Недостатки проприетарных VPN Протоколов

• Закрытый исходный код.
• Их использует только один провайдер.
• Невозможно знать о уязвимостях.

Заключение

VPN протоколы предоставляют руководства и спецификации по тому, как должно быть установлено VPN-соединение. В зависимости от протокола, VPN-соединение может быть быстрее, более безопасным или более стабильным.

Многие VPN-провайдеры предпочитают протокол OpenVPN, так как он универсален. Он обеспечивает наилучшую безопасность, хорошую скорость соединения и надежность.

Он также легко обходит брандмауэры и другие ограничения. Если этот протокол работает не очень хорошо, вы можете использовать другие протоколы, такие как WireGuard для быстрой скорости и IKEv2/IPSec для стабильности.

Вы также получаете хорошую безопасность. IKEv2/IPSec также наилучшим образом работает с мобильными телефонами и эффективно справляется с изменениями сети.

Если ваш VPN-провайдер предлагает SoftEther, вы также можете использовать его. Это отличный сбалансированный вариант, подобно протоколу OpenVPN.

Если можно, избегайте устаревших протоколов. Если конечно, конфиденциальность и безопасность — не ваш приоритет.