Porovnanie VPN protokolov
PPTP
IPSec IKEv2
OpenVPN
WireGuard
Úvod |
|||
|---|---|---|---|
| Veľmi základný protokol VPN založený na PPP. Špecifikácia PPTP v skutočnosti nepopisuje funkcie šifrovania alebo autentifikácie a spolieha sa na tunelovanie protokolu PPP na implementáciu bezpečnostnej funkcie. | IKEv2 (Internet key exchange, verzia 2) je súčasťou sady protokolov IPSec. Štandardizované v RFC 7296 . IPSec sa stal de facto štandardným protokolom pre bezpečnú internetovú komunikáciu, ktorý poskytuje dôvernosť, autentifikáciu a integritu. | Open-source protokol VPN vyvinutý technológiami OpenVPN. Veľmi populárny, ale nie je založený na štandardoch (RFC). Používa vlastný bezpečnostný protokol a SSL/TLS na výmenu kľúčov. Poskytuje úplnú dôvernosť, autentifikáciu a integritu. | WireGuard® je extrémne rýchly protokol VPN s veľmi malou réžiou a najmodernejšou kryptografiou. Má potenciál ponúknuť jednoduchšiu, bezpečnejšiu, efektívnejšiu a ľahšie použiteľnú VPN oproti existujúcim technológiám. |
Šifrovanie |
|||
|---|---|---|---|
| Užitočná časť PPP je šifrovaná pomocou protokolu Microsoft Point-to-Point Encryption ( MPPE ). MPPE implementuje šifrovací algoritmus RSA RC4 s maximálne 128-bitovými kľúčmi relácie. | IKEv2 implementuje veľké množstvo kryptografických algoritmov vrátane 3DES, AES, Blowfish, Camellia. IVPN implementuje IKEv2 pomocou AES s 256-bitovými kľúčmi. | OpenVPN používa knižnicu OpenSSL na zabezpečenie šifrovania. OpenSSL implementuje veľké množstvo kryptografických algoritmov , ako sú 3DES, AES, RC5, Blowfish. Rovnako ako v prípade IKEv2, IVPN implementuje AES s 256-bitovými kľúčmi. |
Postavený na vrchole ChaCha20 pre symetrické šifrovanie ( RFC7539 ), Curve25519 pre dohodu anonymného kľúča Diffie-Hellman (ECDH) s eliptickou krivkou, BLAKE2s pre hashovanie ( RFC7693 ), SipHash24 pre hashtable kľúče a HKDF pre odvodenie kľúča ( RFC58 ). Využíva handshake na základe UDP a výmena kľúčov využíva dokonalé dopredné utajenie, pričom sa vyhýba odcudzeniu identity a opakovaným útokom na kompromisy s kľúčmi. |
Bezpečnostné slabiny |
|||
|---|---|---|---|
| Implementácia PPTP od spoločnosti Microsoft má vážne bezpečnostné nedostatky . MSCHAP-v2 je zraniteľný voči slovníkovému útoku a algoritmus RC4 je vystavený útoku s preklápaním bitov. Spoločnosť Microsoft dôrazne odporúča inováciu na IPSec tam, kde ide o dôvernosť. | IPSec nemá žiadne známe hlavné slabé miesta a vo všeobecnosti sa považuje za bezpečný, keď sa implementuje pomocou bezpečného šifrovacieho algoritmu a certifikátov na autentifikáciu. Uniknuté prezentácie NSA však naznačujú, že IKE by mohlo byť zneužité neznámym spôsobom na dešifrovanie prenosu IPSec. | OpenVPN nemá žiadne známe hlavné slabé miesta a vo všeobecnosti sa považuje za bezpečný, keď sa implementuje pomocou bezpečného šifrovacieho algoritmu a certifikátov na overenie. | WireGuard® nemá žiadne známe hlavné zraniteľnosti. Je relatívne nový a nezažil dôkladné preverenie OpenVPN, hoci kódová základňa je extrémne malá, takže úplné audity môžu vykonávať jednotlivci, nielen veľké organizácie. WireGuard® je v strome s jadrom Linuxu 5.6 a bol skontrolovaný audítorom tretej strany. |
Rýchlosť |
|||
|---|---|---|---|
| S RC4 a 128-bitovými kľúčmi je réžia šifrovania najmenšia zo všetkých protokolov, vďaka čomu je PPTP najrýchlejší. | IPSec s IKEv2 by mal byť teoreticky rýchlejší ako OpenVPN kvôli šifrovaniu v užívateľskom režime v OpenVPN, závisí to však od mnohých premenných špecifických pre pripojenie. Vo väčšine prípadov je rýchlejší ako OpenVPN. | Pri použití v predvolenom režime UDP v spoľahlivej sieti funguje OpenVPN podobne ako IKEv2. | WireGuard® ťaží z extrémne vysokorýchlostných kryptografických primitív a hlbokej integrácie s jadrom operačného systému, takže rýchlosti sú veľmi vysoké s nízkou réžiou. Väčšina zákazníkov uvádza vyššie rýchlosti ako OpenVPN. |
Porty brány firewall |
|||
|---|---|---|---|
| PPTP používa port TCP 1723 a GRE (protokol 47). PPTP možno jednoducho zablokovať obmedzením protokolu GRE. | IKEv2 používa UDP 500 pre počiatočnú výmenu kľúčov, protokol 50 pre IPSEC šifrované dáta (ESP) a UDP 4500 pre NAT traversal. Blokovanie IKEv2 je jednoduchšie ako OpenVPN, pretože sa spolieha na pevné protokoly a porty. |
OpenVPN možno ľahko nakonfigurovať tak, aby bežal na akomkoľvek porte pomocou protokolu UDP alebo TCP, čím sa jednoducho obídu obmedzujúce brány firewall. | WireGuard® používa protokol UDP a možno ho nakonfigurovať na používanie akéhokoľvek portu. Môže podľahnúť formovaniu prevádzky ľahšie ako OpenVPN kvôli nedostatočnej podpore TCP. |
Nastavenie / Konfigurácia |
|||
|---|---|---|---|
| Všetky verzie systému Windows a väčšina ostatných operačných systémov (vrátane mobilných) majú natívnu podporu pre PPTP. PPTP vyžaduje iba používateľské meno, heslo a adresu servera, vďaka čomu je nastavenie a konfigurácia neuveriteľne jednoduché. | Windows 7+, macOS 10.11+ a väčšina mobilných operačných systémov má natívnu podporu pre IPSec s IKEv2. | OpenVPN nie je súčasťou žiadneho vydania operačného systému a vyžaduje inštaláciu klientskeho softvéru. Inštalácia zvyčajne trvá menej ako 5 minút. | WireGuard® je súčasťou linuxového jadra 5.6. Ostatné operačné systémy iné ako linux vyžadujú inštaláciu klientskej aplikácie WireGuard®. Inštalácia zvyčajne trvá menej ako 5 minút. |
Stabilita / kompatibilita |
|||
|---|---|---|---|
| PPTP nie je taký spoľahlivý a ani sa neobnovuje tak rýchlo ako OpenVPN cez nestabilné sieťové pripojenia. Menšie problémy s kompatibilitou s protokolom GRE a niektorými smerovačmi. | IPSec je zložitejší ako OpenVPN a môže vyžadovať dodatočnú konfiguráciu medzi zariadeniami za smerovačmi NAT. Pokiaľ však server aj klient podporujú prechod NAT, nemali by nastať žiadne problémy. | Veľmi stabilný a rýchly cez bezdrôtové, mobilné a iné nespoľahlivé siete, kde sú bežné straty paketov a preťaženie. OpenVPN má režim TCP pre vysoko nespoľahlivé pripojenia, ale tento režim obetuje značný výkon v dôsledku neefektívnosti zapuzdrenia TCP v rámci TCP. | Extrémne stabilný a robustný. Stabilnejšie ako OpenVPN pri roamingu cez siete. Používa počiatočný koncový bod pre pripojenia a môže prepínať servery pri zachovaní pripojenia. Klient môže tiež zmeniť siete bez prerušenia spojenia. |
Podporované platformy |
|||
|---|---|---|---|
| Windows macOS Linux Apple iOS Android DD-WRT |
Windows macOS Linux Apple iOS Android |
Windows macOS Linux Apple iOS Android DD-WRT (so správnou zostavou) |
Windows macOS Linux Apple iOS Android |
Verdikt |
|||
|---|---|---|---|
 |
 |
|
|
| Kvôli veľkým bezpečnostným chybám nie je dôvod na výber PPTP okrem kompatibility zariadení. Ak máte zariadenie, na ktorom je podporované iba PPTP, mali by ste zvážiť, ako šifrovať údaje na iných vrstvách, napr. HTTPS. | IKEv2 je výborná voľba, je extrémne rýchly, bezpečný a spoľahlivý. Navyše na rozdiel od OpenVPN nevyžaduje inštaláciu žiadneho dodatočného softvéru (vo väčšine prípadov), a preto sa konfiguruje najrýchlejšie. Ak máte model hrozby, ktorý zahŕňa sofistikovaných protivníkov, možno budete chcieť zvážiť OpenVPN kvôli uniknutým prezentáciám NSA diskutovaným vyššie. | OpenVPN je vynikajúcou voľbou pre všetky platformy. Je extrémne rýchly, bezpečný a spoľahlivý. | WireGuard® je vynikajúcou voľbou a môže byť najlepším protokolom pre vysoké rýchlosti. WireGuard® sľubuje lepšiu bezpečnosť a vyššiu rýchlosť v porovnaní s existujúcimi riešeniami. Od začlenenia do Linux Kernel (v5.6) a vydania verzie 1.0 považujeme WireGuard® za pripravený na široké použitie. |
