VPN协议细分:幕后的VPN

“安全和隐私”是我们VPN审查中最重要的部分之一。如果您已阅读它们(建议您这样做),那么您会知道我们涵盖了VPN提供的协议,安全功能(例如具有killswitch)以及已制定的隐私权政策.


所有这些主题都构成了VPN安全性,这对于全面了解您的保护程度非常重要。就是说,VPN协议是主要的安全问题,要知道使用哪个内置开源和专有选项可能很困难.

在此VPN协议细分中,我们将消除混乱。有许多网络协议,因此我们进行了研究,并将清单简化为您可能会在应用程序中看到的VPN协议。不过,在详细说明之前,我们必须定义什么是VPN协议.

什么是VPN协议?

VPN协议

虚拟专用网络通过在启动网站之前将您连接到远程服务器来保护您的Internet连接并使其匿名。与该服务器的连接也已加密,这意味着外界无法看到任何基于Web的请求.

加密的类型和级别由安全协议确定。根据您使用的协议,您将通过不同的端口和不同的安全级别连接到VPN.

尽管加密类型是协议之间的主要区别,但它也会影响使用VPN的其他方面。例如,更高级的加密级别将为您的连接提供更多保护,但它的速度不如使用安全性较低的加密的协议快.

在实践上,协议的选择取决于您希望如何平衡安全性和速度。 VPN协议是网络协议的一种形式,这意味着它们汇集了在两个设备之间建立连接的要求。这包括安全性和速度.

不幸的是,就像大多数网络主题一样,它并不是那么简单。平台支持以及通信链中何时何地进行加密都很重要。这些差异就是为什么最佳的VPN提供商包括多个协议选项的原因.

考虑到VPN的使用简便性,您不太可能会注意到或关心更改协议。即使如此,我们仍将遍历您可用的通用协议以及它们的不同用例。这样,我们的希望是,您将了解为什么在为路由器配置VPN时使用OpenVPN,在手机上使用IKEv2时为何使用IKEv2.

通用VPN协议

您可以在下面找到我们遇到的最常见的协议。当然,周围还有其他一些奇特的变体,但是大多数VPN提供商会结合使用这些变体.

开放VPN

开放VPN

OpenVPN是一种流行的协议,因为它是开源且免费的。一些提供商,例如AirVPN和e-VPN(请阅读我们的AirVPN评论和e-VPN评论),已经围绕它们构建了服务。它已有15年的历史了,周围有一个社区,它会不断扫描源文件中的安全漏洞,使其成为可用的最安全的选项之一.

它可以使用两种传输协议:TCP或UDP。传输控制协议是最常见的。您的计算机发送一个数据包,然后等待确认,然后再发送一个数据包,从而建立更可靠的连接.

这有益于可靠性,但不会提高速度。因为每个数据包都必须等待确认,所以使用TCP会增加网络连接的开销。这就是用户数据报协议的来源。它继续发送数据包而无需确认,从而建立了一个更快,甚至更不可靠的连接。.

就加密而言,OpenVPN是一流的。它使用OpenSSL库,这意味着它可以访问那里的所有密码。它还使用基于SSL / TLS的自定义安全协议,该协议最多可提供256位加密.

不过,不需要256位加密。您可以在我们的PIA评论中阅读,某些提供商(例如,专用Internet访问)默认为128位加密。使用较小的密钥大小通常可以加快连接速度,但这是以安全为代价的.

也就是说,即使最快的VPN提供商也使用256位密钥,这说明了为什么OpenVPN如此受欢迎。除了提供者提供它的许多其他原因之外,OpenVPN还具有安全性和速度的最佳平衡.

由于其开源性质,它也以某些VPN提供商的自定义协议显示。 VyprVPN的Chameleon协议会扰乱OpenVPN数据包,而Astrill的StealthVPN几乎是同一件事(请阅读我们的VyprVPN评论和Astrill评论).

VyprVPN和Astrill已开发出自己的协议来绕过中国的审查制度。 OpenVPN虽然安全性很高,但在进行深度数据包检查时没有做任何特别的事情。 VyprVPN在我们的“中国最佳VPN服务”中名列前茅,因为其Chameleon协议可以扰乱正在发送的OpenVPN数据包.

OpenVPN的另一个好处是它可以适应几乎所有平台。例如,ExpressVPN允许您在路由器上使用OpenVPN,正如我们在ExpressVPN评论中所看到的。它使用自定义固件,其中包括OpenVPN的预配置版本,使您能够保护流向路由器和Internet的流量.

第2层隧道协议

第2层隧道协议是一种隧道协议,它允许数据从一个网络移动到另一个网络。与OpenVPN不同,L2TP严格来说是一种隧道协议。它本身不提供加密。因此,L2TP通常与加密协议配对以提供安全性.

它创建于1999年,基于两个较旧的隧道协议L2F和PPTP。我们将在后面的部分中讨论后者。尽管在2005年引入了协议的新版本L2TPv3以添加安全功能,但L2TP基本上保持不变.

L2TP使用两种类型的数据包:控制数据包和数据数据包。控制数据包用于建立连接并打开您与您要访问的服务器之间的隧道。因为这是隧道协议的核心功能,所以L2TP具有与控制数据包相关的可靠性功能,例如数据包确认。.

数据包没有这种功能。 L2TP在UDP数据报内发送数据包,这意味着在发送数据包时不会对其进行验证。这使得连接速度更快,但可靠性较差.

L2TP本身存在的问题是,您发送的数据包未加密。它们被封装,但是没有隐藏数据的密码算法。因此,您很可能会在VPN客户端中找到与IPSec配对的L2TP.

IPSec提供加密功能,将经过封装的数据包通过L2TP隧道时进行封装。这意味着源IP地址和目标IP地址在IPSec数据包中被加密,从而建立了安全的VPN连接.

就加密而言,IPSec提供了一些选项,包括具有适当哈希算法的HMAC,TripleDES-CBC,AES-CBC和AES-GCM。某些VPN提供商(例如TorGuard)(请阅读我们的TorGuard评论)允许您更改使用的密码,但是您通常会发现L2TP / IPSec通过AES 128位或256位安全保护.

L2TP / IPSec被认为是安全的,但是由于IPSec由美国国家安全局部分开发,因此一些安全专家对此表示怀疑。即便如此,它通常比OpenVPN更糟糕。 L2TP使用的端口很容易被防火墙阻止,因此除非使用支持端口转发的VPN,否则很难进行审查.

安全套接字隧道协议

SSTL

安全套接字隧道协议是为Windows Vista开发的专有Microsoft技术。尽管SSTP是Microsoft开发的协议,但也可以在Linux上使用。也就是说,macOS不支持它,而且可能永远不会。如果您在Apple团队中,请阅读我们适用于Mac的最佳VPN.

像OpenVPN一样,SSTP允许点对点流量通过SSL / TLS通道。因此,使用这种系统具有相同的优缺点。例如,它通过TCP端口443使用SSL / TLS,使其非常适合通过大多数防火墙,因为流量看起来很正常。.

这样做的问题(与在OpenVPN上使用TCP的问题相同)在于,您很容易受到TCP崩溃的影响。 TCP必须等待确认后才能发回数据包。它具有内置功能,可以在未确认数据包的情况下检测并尝试解决问题.

在这种情况下,一层中的TCP数据包可能会尝试解决问题,从而导致其上一层的数据包过度补偿。发生这种情况时,TCP连接的性能将大大下降。通过使用UDP替代OpenVPN可以避免这种情况。使用SSTP,这个问题是不可避免的.

尽管SSTP在某些VPN应用程序中可用,但很少使用。与L2TP相比,绕过防火墙要好得多,但是OpenVPN也是如此。 SSTP的问题在于它不像OpenVPN那样可配置,因此更容易出现TCP崩溃等问题。 OpenVPN提供了SSTP的所有优点,没有缺点.

Internet密钥交换版本2

Internet密钥交换是Microsoft和Cisco在1998年开发的协议。从技术上讲,它不是VPN协议。 IKE用于在IPSec协议套件中建立安全性关联。安全关联包括密码和流量加密密钥等属性.

即使这样,它也经常被称为VPN协议,称为IKEv2,它只是IKE的第二个版本,即IKEv2 / IPSec。与仅使用IPSec进行加密的L2TP / IPSec不同,IKE使用IPSec来传输数据.

就安全性而言,假设您信任Microsoft,它与L2TP或SSTP一样好。它可以支持多种版本的AES,您很可能会在VPN应用程序中发现它与128位或256位密钥配对.

不过,这不只是另一种选择。 IKEv2通常是提供最快的协议VPN.

IKE使用UDP数据包,并在发送前几个数据包后开始创建安全关联。然后将安全关联转移到IPSec堆栈,这使它开始拦截相关的IP数据包,并在适当时对其进行加密或解密。.

因此,IKE擅长在连接断开后重新连接。在有线或WiFi连接上,这不是主要问题,因为它们通常是静态且稳定的。但是,对于移动设备而言,IKE更具吸引力.

3G和4G LTE网络随着您的手机或平板电脑的移动而不断变化。您可能会从4G LTE掉线到3G或暂时失去连接。由于IKE可以快速重新连接,因此它是移动设备上的理想选择。 IKEv2甚至已内置到BlackBerry设备中.

点对点隧道协议

PPTP

点对点隧道协议是一种过时且不安全的隧道协议,如果您担心安全性,则不应使用。尽管如此,某些VPN提供商仍将其包含在其应用程序中。对于大多数用户而言,应该将其忽略.

PPTP的最佳用例是从外部访问公司建筑物的内部网络,这就是为什么首先开发VPN的原因。 PPTP没有指定加密。相反,它依靠点对点协议来实现安全功能.

由于较低的加密形式,PPTP速度很快。它的速度几乎与您正常的互联网连接速度相同。在个人用例中,它的安全性也与普通的互联网连接一样安全。这就是为什么我们仅建议您在没有VPN的情况下(例如访问外部网络)执行PPTP时使用PPTP的原因.

不过,不要指望这种连接是安全的。有许多用于破解PPTP隧道的工具,其中一些可以简单地从身份验证方法中提取密钥,而另一些可以使用暴力攻击在几个小时内找到密钥。.

另外,由于安全性较弱,已知NSA会主动监视PPTP网络。除非您有特定的原因使用它,否则我们建议您避免使用PPTP,即使您在VPN应用程序中可以选择使用它(更多信息,请参阅我们的PPTP与OpenVPN文章).

最后的想法

我们的希望是,既然您知道协议之间的区别,您就可以放心地进入VPN应用程序。对于大多数用户而言,OpenVPN是最佳选择,因为它提供了开箱即用的顶级安全性和可配置性。另外,它的开源特性使您可以下载配置文件,并根据自己的喜好对其进行调整.

其他选择都有其优势,但也有劣势。 SSTP解决了防火墙问题,但可能成为TCP崩溃的受害者。 L2TP快速稳定,但容易被阻塞。唯一的例外是IKEv2,虽然可以说它不如OpenVPN,但它对移动用户有很大的发展空间.

您对自己的VPN协议知识更有信心吗?请在下面的评论中告诉我们这如何改变了您的VPN用法,并一如既往地感谢您的阅读.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me