VPN-protokolopdeling: VPN’er bag kulisserne

“Sikkerhed og privatliv” er en af ​​de vigtigste sektioner i vores VPN-anmeldelser. Hvis du har læst dem – og vi anbefaler ydmygt, at du gør det – ved du, at vi dækker de protokoller, VPNs tilbyder, sikkerhedsfunktioner, såsom at have en dræbte og den personlige politik, der er på plads.


Alle disse emner udgør VPN-sikkerhed, hvilket er vigtigt for at få et bredt perspektiv på, hvor godt du er beskyttet. Når det er sagt, er VPN-protokollen den største sikkerhedsmæssige bekymring, og det er vanskeligt at vide, hvilken af ​​de indbyggede open source og proprietære muligheder at bruge..

I denne VPN-protokollopdeling vil vi fjerne forvirringen. Der er mange netværksprotokoller, så vi har undersøgt og samlet vores liste til de VPN-protokoller, du sandsynligvis vil se i din ansøgning. Før vi kommer til detaljerne, skal vi dog definere, hvad en VPN-protokol er.

Hvad er en VPN-protokol?

VPN-protokoller

Et virtuelt privat netværk sikrer og anonymiserer din internetforbindelse ved at forbinde dig til en fjernserver, før du starter websteder. Forbindelsen til denne server er også krypteret, hvilket betyder, at ingen af ​​dine webbaserede anmodninger kan ses af omverdenen.

Krypteringstypen og niveauet bestemmes af sikkerhedsprotokollen. Afhængig af den protokol, du bruger, opretter du forbindelse til VPN via forskellige porte og med forskellige sikkerhedsniveauer.

Selvom krypteringstype er den største forskel mellem protokoller, påvirker den også andre aspekter af brugen af ​​en VPN. For eksempel vil et mere sofistikeret krypteringsniveau beskytte din forbindelse mere, men det vil ikke være så hurtigt som en protokol, der bruger mindre sikker kryptering.

På praktisk niveau kommer valget i protokol ned på, hvordan du vil afbalancere sikkerhed og hastighed. VPN-protokoller er en form for netværksprotokol, hvilket betyder, at de samler kravene til oprettelse af en forbindelse mellem to enheder. Det inkluderer sikkerhed og hastighed.

Som de fleste netværksemner er det desværre ikke så enkelt. Platformsunderstøttelse er vigtig, såvel som hvor og hvornår krypteringen sker i kommunikationskæden. Disse forskelle er grunden til at de bedste VPN-udbydere inkluderer flere protokolindstillinger.

I betragtning af hvor lette VPN’er er at bruge, er det dog usandsynligt, at du vil bemærke eller passe på at ændre din protokol. Alligevel vil vi gennemgå de fælles protokoller, der er tilgængelige for dig, og de forskellige anvendelsessager for dem. Dermed er vores håb, at du lærer, hvorfor du bruger OpenVPN, når du konfigurerer en VPN til en router og IKEv2, når du bruger en på din telefon.

Almindelige VPN-protokoller

Nedenfor finder du de mest almindelige protokoller, vi har fundet. Der er selvfølgelig nogle få mere eksotiske varianter omkring, men de fleste VPN-udbydere bruger en kombination af disse.

OpenVPN

OpenVPN

OpenVPN er en populær protokol, der skal bruges, fordi den er open source og gratis. Nogle udbydere, såsom AirVPN og e-VPN (læs vores AirVPN-gennemgang og e-VPN-anmeldelse), har bygget deres tjenester omkring det. Den er over 15 år gammel og har et samfund omkring det, der konstant scanner kildefilerne for sikkerhedssårbarheder, hvilket gør det til en af ​​de mest sikre muligheder.

Det kan bruge to transportprotokoller: TCP eller UDP. Transmission Control Protocol er mest almindelig. Din maskine sender en pakke og venter derefter på bekræftelse, før den sender en anden, hvilket giver en mere pålidelig forbindelse.

Det gavner pålidelighed, men ikke hastighed. Da hver pakke skal vente på bekræftelse, tilføjes brug af TCP overhead til netværksforbindelsen. Det er her Bruger Datagram-protokollen kommer ind. Den fortsætter med at sende pakker uden bekræftelse, hvilket skaber en hurtigere, hvis mindre pålidelige, forbindelse.

Hvad angår kryptering, er OpenVPN førsteklasses. Det bruger OpenSSL-biblioteket, hvilket betyder, at det har adgang til alle ciffererne der. Det bruger også en brugerdefineret sikkerhedsprotokol baseret på SSL / TLS, der giver op til 256-bit kryptering.

256-bit-kryptering er dog ikke påkrævet. Nogle udbydere, såsom Privat internetadgang, er standard til 128-bit-kryptering, som du kan læse i vores PIA-gennemgang. Brug af en mindre nøglestørrelse giver normalt mulighed for en hurtigere forbindelse, men det koster sikkerhed.

Når det er sagt, selv de hurtigste VPN-udbydere bruger en 256-bit nøgle, som viser hvorfor OpenVPN er så populær. Ud over de mange andre grunde til, at en udbyder tilbyder det, har OpenVPN den bedste balance mellem sikkerhed og hastighed.

På grund af dens open source-art vises det også i brugerdefinerede protokoller fra nogle VPN-udbydere. VyprVPNs Chameleon-protokol krymper OpenVPN-pakker, og Astrills StealthVPN gør stort set det samme (læs vores VyprVPN-gennemgang og Astrill-gennemgang).

VyprVPN og Astrill har udviklet deres protokoller til at omgå censur i Kina. Selv om OpenVPN er meget sikker, gør det ikke noget specielt for at skjule fra dyb pakkeinspektion. VyprVPN rangeres i vores bedste VPN-tjenester til Kina-guide, fordi dens Chameleon-protokol kan krydre de OpenVPN-pakker, der sendes.

En anden fordel ved OpenVPN er, at det kan tilpasses næsten enhver platform. ExpressVPN giver dig f.eks. Mulighed for at bruge OpenVPN på din router, som du kan se i vores ExpressVPN-gennemgang. Den bruger brugerdefineret firmware, der inkluderer en forudkonfigureret version af OpenVPN, så du kan sikre trafik, der rejser til din router og internettet.

Lag 2-tunnelprotokol

Layer 2 Tunnel Protocol er en tunnelprotokol, der giver data mulighed for at flytte fra et netværk til et andet. I modsætning til OpenVPN er L2TP strengt en tunnelprotokol. Det giver ikke kryptering på egen hånd. På grund af dette er L2TP ofte parret med en krypteringsprotokol for at give sikkerhed.

Det blev oprettet i 1999 og var baseret på to ældre tunnelprotokoller kaldet L2F og PPTP. Vi vil tale om sidstnævnte i et senere afsnit. Selvom en ny version af protokollen, kendt som L2TPv3, blev introduceret i 2005 for at tilføje sikkerhedsfunktioner, har L2TP for det meste forblevet den samme.

L2TP bruger to typer pakker: kontrolpakker og datapakker. Kontrolpakkerne handler om at etablere en forbindelse og åbne tunnelen mellem dig og den server, du har adgang til. Fordi det er kernefunktionen i tunnelprotokollen, har L2TP pålidelighedsfunktioner, såsom pakkebekræftelse, bundet til kontrolpakker.

Datapakker har ikke sådanne funktioner. L2TP sender pakker inden for et UDP-datagram, hvilket betyder, at de ikke verificeres, da de bliver sendt. Det giver en hurtigere, men mindre pålidelig forbindelse.

Problemet med L2TP alene er, at de pakker, du sender, ikke er krypterede. De er indkapslet, men der er ikke en kryptografisk algoritme til at skjule dataene. På grund af dette finder du sandsynligvis L2TP parret med IPSec i din VPN-klient.

IPSec leverer kryptering og indkapsler den allerede indkapslede pakke, når den går gennem L2TP-tunnelen. Det betyder, at kilde- og destinations-IP-adresser er krypteret i IPSec-pakken, hvilket skaber en sikker VPN-forbindelse.

For så vidt angår kryptering, tilbyder IPSec et par muligheder, herunder HMAC med en passende hashing-algoritme, TripleDES-CBC, AES-CBC og AES-GCM. Nogle VPN-udbydere, såsom TorGuard (læs vores TorGuard-gennemgang), giver dig mulighed for at ændre den anvendte ciffer, men du vil mest finde L2TP / IPSec sikret med AES 128-bit eller 256-bit.

L2TP / IPSec betragtes som sikker, men nogle sikkerhedseksperter er i tvivl, fordi IPSec delvist blev udviklet af det amerikanske nationale sikkerhedsagentur. Alligevel er det normalt et dårligere valg end OpenVPN. Porten L2TP bruger blokeres let af firewalls, så du har svært ved at komme omkring censur, medmindre du bruger en VPN, der understøtter portvideresendelse.

Secure Socket Tunneling Protocol

SSTL

Secure Socket Tunneling Protocol er en proprietær Microsoft-teknologi, der blev udviklet til Windows Vista. Selvom det er en Microsoft-udviklet protokol, kan SSTP også bruges på Linux. Når det er sagt understøttes det ikke på macOS og vil sandsynligvis aldrig være det. Læs vores bedste VPN til Mac, hvis du er i Team Apple.

Som OpenVPN tillader SSTP punkt-til-punkt-trafik at passere gennem en SSL / TLS-kanal. På grund af det har det de samme fordele og ulemper ved at bruge et sådant system. For eksempel bruger den SSL / TLS over TCP-port 443, hvilket gør den fremragende til at passere gennem de fleste firewalls, fordi trafikken ser ud til at være normal.

Problemet med det, som er det samme problem med at bruge TCP på OpenVPN, er, at du er sårbar over for TCP-nedsmeltning. TCP skal vente på bekræftelse, før der sendes en pakke tilbage. Det har indbyggede funktioner til at registrere og forsøge at løse problemer, hvis en pakke ikke er bekræftet.

I et sådant tilfælde kan en TCP-pakke i et lag muligvis forsøge at løse et problem, hvilket får pakken i laget over den til at overkompensere. Når det sker, falder ydelsen for en TCP-forbindelse markant. Dette kan undgås med OpenVPN ved at bruge UDP i stedet. Med SSTP er problemet uundgåeligt.

Selvom SSTP er tilgængeligt i nogle VPN-applikationer, bruges det sjældent. Det er bedre til at komme omkring firewalls end L2TP, men det er OpenVPN også. Problemet med SSTP er, at det ikke er så konfigurerbart som OpenVPN, så det er mere følsomt over for problemer, såsom TCP-nedsmeltning. OpenVPN leverer alle upsides af SSTP uden ulemperne.

Internet Key Exchange version 2

Internet Key Exchange er en protokol, der blev udviklet af Microsoft og Cisco i 1998. Teknisk set er det ikke en VPN-protokol. IKE bruges til at oprette en sikkerhedsforening i IPSec-protokolsuiten. Sikkerhedsforeningen inkluderer attributter som chiffer og trafik krypteringsnøgle.

Alligevel behandles den ofte som en VPN-protokol, kaldet IKEv2, som simpelthen er den anden version af IKE eller IKEv2 / IPSec. I modsætning til L2TP / IPSec, der bare bruger IPSec til kryptering, bruger IKE IPSec til at transportere data.

Hvad sikkerheden angår, er den så god som L2TP eller SSTP, hvis du antager, at du har tillid til Microsoft. Det kan understøtte flere versioner af AES, og du finder sandsynligvis det parret med en 128-bit eller 256-bit nøgle i din VPN-applikation.

Det er dog ikke kun en anden mulighed. IKEv2 er normalt det hurtigste protokoll VPN-tilbud.

IKE bruger UDP-pakker og begynder at oprette sikkerhedsforeningen, når de første par pakker er sendt. Sikkerhedsforeningen overføres derefter til IPSec-stakken, hvilket får den til at begynde at aflytte relevante IP-pakker og kryptere eller dekryptere dem efter behov.

På grund af dette er IKE god til at oprette forbindelse igen, efter at en forbindelse er faldet. På en kabelforbundet eller WiFi-forbindelse er det mindre problem, fordi de generelt er statiske og stabile. For mobile enheder er IKE dog meget mere lokkende.

3G- og 4G LTE-netværk skifter konstant, når din telefon eller tablet bevæger sig med dig. Du kan falde fra 4G LTE til 3G eller midlertidigt miste forbindelsen. Fordi IKE er hurtig til at oprette forbindelse igen, er det et ideelt valg på mobile enheder. IKEv2 er endda indbygget i BlackBerry-enheder.

Punkt-til-punkt-tunnelprotokol

PPTP

Punkt-til-punkt-tunnelprotokol er en dateret og usikker tunnelprotokol, som ikke bør bruges, hvis du er bekymret for sikkerhed. På trods af dette inkluderer nogle VPN-udbydere det stadig i deres applikationer. For de fleste brugere skal det simpelthen ignoreres.

Den bedst anvendte sag til PPTP er at få adgang til en virksomheds bygnings interne netværk eksternt, hvorfor VPN’er blev udviklet i første omgang. PPTP specificerer ikke kryptering. Det er snarere afhængig af punkt-til-punkt-protokollen for at implementere sikkerhedsfunktioner.

På grund af den lavere form for kryptering er PPTP hurtig. Det er næsten den samme hastighed som din normale internetforbindelse. I en sag til personlig brug handler det også lige så sikkert som din normale internetforbindelse. Derfor anbefaler vi kun at bruge PPTP, hvis du gør noget, du ikke kan gøre uden en VPN, f.eks. Adgang til et eksternt netværk.

Forvent dog ikke, at forbindelsen er sikker. Der er mange værktøjer til cracking af PPTP-tunneler, hvoraf nogle ganske enkelt kan udtrække nøglen fra godkendelsesmetoden og andre, der kan finde nøglen inden for et par timer ved hjælp af et brute-force-angreb.

Plus, det er kendt, at NSA aktivt spionerer på PPTP-netværk på grund af den svage sikkerhed. Medmindre du har en bestemt grund til at bruge den, anbefaler vi, at du undgår PPTP, selvom det er en mulighed for det i din VPN-applikation (for mere detaljer, se vores PPTP-versus OpenVPN-artikel).

Afsluttende tanker

Vores håb er, at du kan gå ind i din VPN-applikation med mere tillid, nu når du kender forskellen mellem protokollerne. For de fleste brugere er OpenVPN den bedste mulighed, fordi det giver øverste sikkerhed og konfigurerbarhed ud af boksen. Plus, dets open source-art giver dig mulighed for at downloade konfigurationsfiler og yderligere justere dem til din smag.

De andre muligheder har deres styrker, men de har også svagheder. SSTP løser firewallproblemet, men kan blive offer for TCP-nedsmeltning. L2TP er hurtig og stabil, men let blokeret. Den eneste undtagelse ville være IKEv2, som, selvom det nok er underordnet OpenVPN, har en masse opside for mobile brugere.

Føler du dig mere sikker på din viden om VPN-protokoller? Fortæl os, hvordan det har ændret din VPN-brug i kommentarerne herunder, og som altid tak for at have læst.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me