WireGuard vs OpenVPN: Hangi Protokolü Kullanmalısınız?

WireGuard vs OpenVPN

OpenVPN piyasaya ilk girdiğinde takvimler 2001’i gösteriyordu ve o zamandan beri gizlilik ve güvenlik konusunda sektör standardı olarak kabul edilmekte.
Ancak 2019’da giriş yapan WireGuard, yüksek hızı ve gayet iyi güvenlik standartlarıyla ticari VPN sektöründe öne çıktı.

WireGuard da OpenVPN de açık kaynaklıdır ve NordVPN, Surfshark Private Internet Access ve CyberGhost gibi piyasanın en iyi VPN’leri, uygulamalarında bu protokolleri sunmaktadır.

Hatta bazı VPN sağlayıcıları WireGuard ve OpenVPN koduna adanan kendilerine ait protokoller çıkarmıştır.

WireGuard sadelik, hız, kullanım kolaylığı sunarak ve saldırılabilecek alanları küçülterek mevcut VPN protokollerini geliştirmeyi amaçlıyor ve bunun için son teknoloji bir kriptografi kullanıyor.

Yani bir VPN için gerekli olan her şeyi sunması için tasarlanmış.

OpenVPN ise birden fazla şifreleme tekniğine sahip, 60 milyon kere indirilmiş bir protokoldür. Piyasanın gediklisi olduğundan hemen hemen her şirket ve ticari VPN’de kullanılmaktadır.

Yeni protokol ve güçlü rakiplere rağmen OpenVPN, VPN güvenliğinin merkezinde kalmaya devam ediyor.

Bu iki protokolün farklılıkları olmakla beraber, ikisi de aynı amaca sahip: hızlı, güvenli, güvenilir ve stabil olmak.

Özelliklere Genel Bakış

WireGuard nelerle tanınır:

• Çok yüksek bağlantı hızı
• Ağlar arasında geçiş yapabilir
• Kendi VPN ağınızı kurmanızı sağlar
• Bant genişliğini daha az kullanır

OpenVPN nelerle tanınır:

• Çin ve Rusya gibi yoğun sansürlü ülkelerde kullanılabilir
• Sınıfının en iyisi güvenlik protokolü
• Kriptografi için büyük OpenSSL kütüphanesini kullanır
• Defalarca test edildi ve zamana asla yenik düşmedi

İşte özelliklerinin kısa bir karşılaştırması:

Kod boyutu

WireGuard yaklaşık 4.000 kod satırından oluşurken OpenVPN’in 70.000’den fazla kodu bulunuyor.

Hatta OpenVPN’in modifiye edilmiş versiyonları 600.000 kod satırına ulaşabiliyor.

WireGuard kod sayısını azaltarak saldırılabilecek alanları ve dolayısıyla da siber saldırı ihtimalini azaltma yoluna gitmiş.

Kod sayısı az olduğundan geliştiriciler, açıkları hemen saptayabiliyor ve tek bir denetçi, bütün kodu denetleyebiliyor. Bu sebeple, hacker’ların WireGuard’da bir güvenlik açığı bulma ihtimali son derece düşüktür.

Devasa kod büyüklüğüne rağmen OpenVPN, saldırılara karşı fazlasıyla sağlamdır. Belki ilk zamanlarında çeşitli zayıflıkları olmuş olabilse de şu anki güvenliği hiçbir şüphe getirmez.

Sektör içinde neredeyse 20 senedir bulununca defalarca denetimden geçmiş oluyorsunuz. Bu da OpenVPN’in en büyük avantajlarından.

Ayrıca çok sayıda paydaşa sahip büyük topluluğu sayesinde, OpenVPN her zaman hatasız kalabilmekte.

Denetlenebilirlik

WireGuard da OpenVPN de açık kaynaklıdır. Yani herkes istediği zaman kaynak koduna erişip denetleme fırsatına sahiptir.

WireGuard’ın kodları OpenVPN’inkine kıyasla çok daha kısa olduğundan kolaylıkla denetimden geçirebilirsiniz. Ancak düşük boyutlu koduna rağmen WireGuard henüz güvenlik denetçilerinin güvenini kazanmış değil.

WireGuard’ın aksine OpenVPN popülerliğini korudu ve çok sayıda denetimden başarıyla geçti.

70.000’den fazla kod satırıyla denetim için büyük bir ekip gerektirse de OpenVPN fazlasıyla denetimden geçmiş, güvenlik uzmanlarının da onayladığı bir protokoldür.

Bunun sebebi de uzun süredir piyasada olup çoğu VPN tünel bağlantısının ona bel bağlamasındandır.

Yine de WireGuard hızla peşinden geliyor diyebiliriz. Eminiz ki kitlesel bir şekilde kullanılmaya başladıktan sonra OpenVPN’in popülerliğine erişecektir.
WireGuard, sade koduyla OpenVPN’e kıyasla çok çok daha kısa bir sürede defalarca denetimden geçebilir.

Güvenlik ve Şifreleme

Hem WireGuard hem de OpenVPN çok sayıda şifreleme tekniği ve cipher gibi şifreleme algoritmaları sunmaktadır.

Ancak son teknoloji kriptografisine rağmen WireGuard hâlen OpenVPN kadar süratli değil. WireGuard belli bir yazılım sürümünde çalışan sabit şifreleme teknikleri sunuyor.

Eğer bu şifreleme setinde bir hata veya güvenlik açığı bulunursa bir sonraki güncelleme, yeni simetrik şifreleme teknikleri ve kriptografik algoritmalarla bunlara çözüm buluyor.

Ne var ki bu ileride değişecektir. Mesela OpenVPN’de, çalışan başka bir şifrelemeye hemen geçebilirsiniz. Zaten WireGuard’ın OpenVPN’e göre daha az koda sahip olmasının sebebi de bu özelliğe sahip olmaması.

WireGuard’da en çok kullanılan cipher ve şifreleme teknikleri ChaCha20 ve Poly1305. ChaCha20 şifrelemelerde kullanılırken Poly1305 doğrulamalarda kullanılmakta.

Buna ek olarak Noise protokol çerçevesi, Curve25519, BLAKE2, SipHash24, ve HKDF gibi diğer kriptografi tekniklerini de kullanabilmekte.

Öte yandan, OpenVPN daha çok AES, Blowfish ve Camellia’yla kullanılır. Tabii OpenVPN, OpenSSL kütüphanesine bağlı olduğundan Chacha20, Poly1305, SEED, CAST-128, DES, SHA-2, SHA-3, BLAKE2, RSA, DSA, Diffie–Hellman anahtar takası, Elliptic curve ve benzeri çok sayıda kriptografi tekniğini de kullanabilir.

OpenVPN, WireGuard’ın daha yeni algoritmalarına kıyasla çok daha fazla testten geçmiş, daha güvenilir şifreleme tekniklerini kullanır. WireGuard’dan 18 yıl önce çıkmış bu teknolojide, on yıllık geçmişi olan AES cipher’ı kullanılır.

WireGuard, ChaCha20 ve Poly1035 gibi daha çok yeni teknikler kullanmakta.

Tabii bu iki protokolü, uygulama konusunda karşılaştırınca işler biraz değişiyor. Mesela WireGuard’ın daha yeni şifreleme teknolojisi, güvenlik açıdan hemen hemen hiçbir risk taşımaz. Bunun sebepleri:

• ChaCha20’nın 20’den fazla güvenlik seviyesine sahip, defalarca geliştirilmiş çok güvenli bir teknik olması
• Kod boyutu çok daha küçük olduğundan WireGuard’ı denetlemek daha az zaman alır
• Google ve güvenli işletim sistemi Linux gibi büyük teknoloji firmaları tarafından benimsenmektedir

Kripto Atikliği vs. Saldırılabilir Alan

Kripto atikliği, bir güvenlik sisteminin algoritma, protokol ve diğer şifreleme teknikleri arasında otomatik olarak geçiş yapabilme becerisine denir.

WireGuard her versiyonu için tek bir kriptografik set kullandığından kripto atikliğine sahip değildir. Öte yandan, bu özelliği sayesinde, man-in-the-middle saldırıları dâhil, tüm saldırıların karmaşıklığını ve açıkları azaltır.

Sonuç olarak baktığımızda, saldırı açısından daha güvenli ama koruma açısından daha güvensizdir.

OpenVPN ise tam tersine çok atik bir protokoldür. Çeşitli kriptografik set arasında hızlıca geçiş yapabildiğinden daha sağlam bir koruma sunar.

Gelgelim, set sayısı daha fazla olunca karmaşıklık ve dolayısıyla da saldırılabilir alan yüzeyi artar. Neyse ki OpenVPN bir saldırı meydana geldiğinde, sizi WireGuard gibi üst versiyona geçirmeye zorlamaz.

WireGuard, bir güvenlik açığı olması riskine karşı, kriptografik setleri değiştirmeye yarayan “Versioning” adındaki sistemi kullanır. Bu WireGuard sistemi, sunuculara, eski paketi görmezden gelip bağlantıları yeni versiyon üzerinden göndermesini söyler.

Bu sayede WireGuard şu ana kadar kripto atikliğine sahip olmayan sistem saldırılarından kaçmayı başarabilmiştir.

Gizlilik ve Kayıt Tutma

Eğer gizliliğe önem veren biriyseniz kayıt tutmayan gizlilik garantili bir VPN hizmeti seçmeniz elzemdir. Bu, seçtiğiniz VPN’in kullandığı VPN protokolü için de geçerlidir.

OpenVPN’in zero log (sıfır kayıt) politikası vardır. Ancak WireGuard, izin verilen IP adresleri bir sonraki sunucu başlatmasına kadar depolanacak şekilde tasarlanmıştır.

Bu anlamda, WireGuard’ın güvenlik riski mevcuttur. Eğer bir VPN’in sunucusu ele geçirilirse kaydedilmiş bütün IP adresleri, internetteki faaliyetlerinizle ilişkilendirilebilir.

Anlayacağınız, eğer standart WireGuard protokolünü kullanıyorsanız IP adresiniz muhtemelen kaydedilecektir. Bu yüzden bazı VPN sağlayıcıları, bu gizlilik sorununa çözüm bulmak için WireGuard’ın üzerine kendi protokollerini kurmakta.

WireGuard tabanlı bir protokol kurmanın yanı sıra, diğer kaliteli VPN’lerin bu gizlilik riskini azaltmada kullandıkları başka yöntemler vardır. İşte bu yöntemlerin bazıları:

• Çift Ağ Adresi Çevrimi (NAT) kullanma: NAT, kurduğunuz her VPN bağlantısı için dinamik bir IP adresi atar. Yani VPN sunucusu ile olan bağlantınızı kesene kadar, her oturumda benzersiz bir IP adresi almış olursunuz.
• Multihop (ikili VPN) kullanma: Bu özellik, WireGuard’ı kullanarak online trafiğinizi birden fazla sunucudan geçirir. Bu teknik ayrıca, belli bir süre faaliyet görülmediğinde IP adresinizi sunucudan siler.

Eğer gizliliğinden endişe ediyorsanız, VPN sağlayıcınıza ulaşıp WireGuard için herhangi bir gizlilik artırıcı özellik kullanıp kullanmadıklarını sormanız tavsiye edilir.

Sansür Aşabilme

OpenVPN, UDP yerine port 443’le TCP kullanabildiğinden (Bu ayrıca HTTPS tarafından da kullanılır.) internet sansürlerini aşmada çok başarılıdır.

Bu özellik, güvenlik duvarlarının OpenVPN trafiğiyle normal, güvenli web trafiğini ayırt etmesini zorlaştırır.

OpenVPN bu özelliği sayesinde Çin, Rusya ve Türkiye gibi sansürün yoğun olarak uygulandığı ülkelerde çok etkilidir.

Normal şartlar altında daha yüksek hızından dolayı UDP kullanmanızı öneririz fakat aşmak istediğiniz yoğun bir sansür varsa TCP daha mantıklı bir seçim olacaktır.

TCP’nin UDP’ye göre tek dezavantajı, çok daha yavaş olması.

WireGuard sansür aşmada hiç başarılı değildir ve ayrıca Derin Paket Denetimi’nden fazlasıyla etkilenir. Bunun sebebi, WireGuard’ın daha yüksek hız için karartma/gizleme özelliğinden feragat etmiş olmasıdır. Yani WireGuard, TCP üzerinden tünellemeye izin vermez.

WireGuard’ın UDP bağlantıları kolaylıkla fark edilip çeşitli sansür teknikleriyle engellenir.

WireGuard web sitelerinin engelini aşmada pek de ideal bir seçim değildir.

Ağ Değiştirme Kabiliyeti

Konu ağ değiştirme olunca Mobility ve Multihoming Protocol desteği sunduğu için çoğu VPN sağlayıcı tarafından IKEv2 protokolü tercih edilir.

Ancak bu protokolün kapalı kaynak olması endişe vericidir. Ayrıca IKEv2 , çoğu mobil cihazda doğrudan kullanılabildiği için VPN bağlantısı yapılandırılabilir.

Ağ değiştirme konusunda WireGuard, OpenVPN’e göre daha iyi bir iş çıkarıyor.

WireGuard’la Wi-Fi ve mobil ağlar arasında akıcı bir şekilde geçiş yapabiliyorsunuz.

OpenVPN’de geçiş yaparken çoğu kullanıcının bağlantıyı kesip tekrar bağlanması gerekir. Bu da bağlantı kopmalarının yaşandığı anlamına gelir.

Eğer sık sık ağ değiştiren biriyseniz daha iyi bir deneyim için WireGuard’ı destekleyen bir VPN kullanmanızı tavsiye ederiz.

WireGuard tek taşla hem IKEv2’ye hem de OpenVPN’in geçiş sorununa açık kaynaklı bir çözüm bulmuş oluyor.

Bant Genişliği Kullanımı, Performans ve Hız

WireGuard, OpenVPN’e göre daha az bant genişliği kullanıyor. Bunun sebebi, rakibine kıyasla daha az şifreleme tekniği kullanması.

Dolayısıyla şifreleme hızı yüksek ve VPN kullanırken güvenlik sağlamada daha az veri harcıyor.

Eğer mobil veriyi kullanıyorsanız daha az şifreleme elzemdir. OpenVPN’in tünelleme işlemi sırasında çok fazla veri harcandığından mobil verinizi de aynı oranda harcayacaktır.

Hız ve performans bakımından, UDP bağlantı kullanan WireGuard daha hızlı.

Buna ek olarak, Linux çekirdeğinde yaşadığından mobil cihaz, gömülü sistem ve yönlendiricilerde daha az işlemci kaynağı harcar. WireGuard’ın bağlantı kurma hızı da daha yüksektir.

Öte yandan OpenVPN de hızlı olsa da UDP kullanırken bile WireGuard’ın hızına ulaşamıyor. Eğer daha stabil ve sansürleri aşabilen bir hizmet isterseniz TCP bağlantısını kullanmanız gerekiyor ve bunun sonucunda hızınız biraz daha düşebiliyor.

TCP bağlantısı, hız yerine istikrar ve güvenilirliğe öncelik verir.

Ayrıca OpenVPN’in daha fazla şifresi olduğu için kullandığı işlemci gücü de daha fazla olur. Bu da yönlendirici ve gömülü sistemler gibi fazla işlemci gücü olmayan cihazlar için sorun çıkarabilir.

Daha fazla işlemci gücü, daha fazla şarj tüketme anlamına da gelmektedir.

Tabii artık modası geçmiş protokoller bile hız konusunda daha iyi sonuç verdiği için OpenVPN hiçbir zaman performans konusunda ideal bir seçenek olmamıştır.

WireGuard, multi-threading’i modern işlemcilerde daha iyi kullanmaktadır. OpenVPN henüz bu noktada iyi bir seviyeye çıkamadı.

WireGuard ayrıca IPsec, WireGuard ve OpenVPN protokolündeki değişkenlerle ortaya yüksek performanslı bir değerlendirme koymayı başarıyor.

İşte sonuçlar:

Yukarıdaki grafikten, WireGuard’ın rakibine kıyasla daha iyi bir verimlilik ve daha düşük ping değerleri sunduğunu görebiliyoruz.

İsterseniz hangi protokolün daha yüksek hız sağlayacağını görmek için kendiniz de hız testi yapabilirsiniz.

En iyi sonuçlar için bütün programları kapatın ve Surfshark ya da NordVPN gibi WireGuard’ı destekleyen bir VPN’i açın.

Daha sonra farklı farklı sunuculara bağlanıp Ookla Speedtest’ten hızınızı ölçün.

Uyumluluk ve Kullanım Kolaylığı

Piyasadaki hemen hemen her VPN, OpenVPN’i kullanmaktadır. OpenVPN’i çoğu yönlendirici, konsol ve cihazda da kullanabiliyorsunuz.

WireGuard’ın henüz bu denli bir popülerliği olmasa da benimsendikçe OpenVPN’in popülerliğine ulaşacaktır.

Hafif kodu sayesinde, geliştiriciler WireGuard’da değişiklikler yapıp onu daha fazla cihazda kullanılabilir hâle getirebilirler. WireGuard’ın hâlihazırda çok kullanışlı olması ve çapraz platform desteği de cabası.

Şu an çoğu VPN hâlen OpenVPN’i yönlendirici seviyesinde kullanır. Ancak şu anda bazı VPN’ler yönlendirici seviyesinde WireGuard’ı kullanmaya başlamış durumda.

Mobil cihazlarda ise en popüler VPN’ler WireGuard protokolünü sunuyor.

Kullanım kolaylığı bakımından, WireGuard, OpenVPN’in gerisinde kalmıyor. Bunun en büyük nedenlerinden bir tanesi, gömülü sistemlerde kullanışlılığını artıran hafif kod tabanı.

OpenVPN eskiden olduğu gibi şu anda da manuel ayarlama yaparken epey bir uğraştırabiliyor. Tabii bu işlemin üçüncü taraf istemcilerle daha kolay olduğunu söylemeden geçmeyelim.

Sonuç

WireGuard sektöre yeni girmiş bir marka olsa da kısa sürede adından söz ettirmeyi başardı. Bunu en iyi VPN’lerin WireGuard’ı kullanmaya başlamasından da anlayabiliyoruz.

WireGuard’ın en iyi yanı, Linux çekirdeğinde kullanılıyor olması.

OpenVPN sektörün çok daha eski ve çok daha saygıdeğer protokollerinden. Bu da daha fazla güven aşılarken teknik kullanıcılar tarafından daha fazla destek görmesini sağlıyor.

Ancak WireGuard’ın hız, kod tabanı, performans ve kullanışlılık bakımından OpenVPN’e yetiştiği ve bazı durumlarda onu geride bıraktığı da ortada.

Sonuç olarak WireGuard ve OpenVPN protokollerinin birbirlerine benzer kalitede olduğunu söyleyebiliriz. Şu an bu iki VPN protokolünün hangisinin daha iyi olduğunu belirlemek zor.

Siz bir protokol seçimi yaparken önem verdiğiniz özellikleri göz önünde bulundurup bir karara varabilirsiniz. Kararınız hangisi olursa olsun iki protokolün de günlük kullanım için ideal olduğu gerçeği değişmeyecektir.