Chcesz skorzystać z VPN? Jeśli szukasz dostawcy VPN lub konfigurujesz własną sieć VPN, musisz wybrać protokół. Niektórzy dostawcy VPN mogą nawet oferować Ci wybór protokołów.
To nie jest ostatnie słowo na temat żadnego z tych standardów VPN lub schematów szyfrowania. Staraliśmy się wszystko sprowadzić, abyś mógł zrozumieć standardy, jak są ze sobą powiązane — i których powinieneś używać.
PPTP
Nie używaj PPTP. Protokół tunelowania punkt-punkt jest powszechnym protokołem, ponieważ został zaimplementowany w systemie Windows w różnych formach od systemu Windows 95. PPTP ma wiele znanych problemów z bezpieczeństwem i prawdopodobnie NSA (i prawdopodobnie inne agencje wywiadowcze) odszyfrują te rzekomo „bezpieczne” znajomości. Oznacza to, że napastnicy i bardziej represyjne rządy mieliby łatwiejszy sposób na skompromitowanie tych powiązań.
Tak, PPTP jest powszechny i łatwy do skonfigurowania. Klienci PPTP są wbudowani na wiele platform, w tym Windows. To jedyna zaleta i nie warto. Pora iść naprzód.
W podsumowaniu: PPTP jest stary i podatny na ataki, chociaż zintegrowany z popularnymi systemami operacyjnymi i łatwy w konfiguracji. Nie zbliżaj się.
Otwórz VPN
OpenVPN wykorzystuje technologie open source, takie jak biblioteka szyfrowania OpenSSL i protokoły SSL v3/TLS v1. Można go skonfigurować do działania na dowolnym porcie, więc można skonfigurować serwer do pracy na porcie TCP 443. Ruch VPN OpenSSL byłby wtedy praktycznie nie do odróżnienia od standardowego ruchu HTTPS, który występuje podczas łączenia się z bezpieczną witryną internetową. Utrudnia to całkowite zablokowanie.
Jest bardzo konfigurowalny i będzie najbezpieczniejszy, jeśli jest ustawiony na używanie szyfrowania AES zamiast słabszego szyfrowania Blowfish. OpenVPN stał się popularnym standardem. Nie widzieliśmy żadnych poważnych obaw, że ktokolwiek (w tym NSA) naruszył połączenia OpenVPN.
Obsługa OpenVPN nie jest zintegrowana z popularnymi komputerowymi lub mobilnymi systemami operacyjnymi. Połączenie z siecią OpenVPN wymaga aplikacji innej firmy — albo aplikacji komputerowej, albo aplikacji mobilnej. Tak, możesz nawet używać aplikacji mobilnych do łączenia się z sieciami OpenVPN w systemie iOS firmy Apple.
W podsumowaniu: OpenVPN jest nowy i bezpieczny, chociaż będziesz musiał zainstalować aplikację innej firmy. To jest ten, którego prawdopodobnie powinieneś użyć.
L2TP/IPsec
Layer 2 Tunnel Protocol to protokół VPN, który nie oferuje żadnego szyfrowania. Dlatego zwykle jest implementowany wraz z szyfrowaniem IPsec. Ponieważ jest wbudowany w nowoczesne komputerowe systemy operacyjne i urządzenia mobilne, jest dość łatwy do wdrożenia. Ale używa portu UDP 500 — oznacza to, że nie można go ukryć na innym porcie, tak jak OpenVPN. Dzięki temu znacznie łatwiej jest blokować i trudniej omijać zapory ogniowe.
Szyfrowanie IPsec powinno być teoretycznie bezpieczne. Istnieją pewne obawy, że NSA mogła osłabić standard, ale nikt nie wie tego na pewno. Tak czy inaczej, jest to wolniejsze rozwiązanie niż OpenVPN. Ruch należy przekonwertować do postaci L2TP, a następnie dodać szyfrowanie za pomocą IPsec. To proces dwuetapowy.
W podsumowaniu: L2TP/IPsec jest teoretycznie bezpieczny, ale istnieją pewne obawy. Jest łatwy w konfiguracji, ale ma problemy z obejściem zapór i nie jest tak wydajny jak OpenVPN. Jeśli to możliwe, trzymaj się OpenVPN, ale zdecydowanie używaj tego przez PPTP.
SSTP
Protokół Secure Socket Tunneling Protocol został wprowadzony w dodatku Service Pack 1 dla systemu Windows Vista. Jest to zastrzeżony protokół firmy Microsoft, który najlepiej obsługuje system Windows. Może być bardziej stabilny w systemie Windows, ponieważ jest zintegrowany z systemem operacyjnym, podczas gdy OpenVPN nie — to największa potencjalna zaleta. Pewne wsparcie dla niego jest dostępne w innych systemach operacyjnych, ale nie jest tak rozpowszechnione.
Można go skonfigurować tak, aby używał bardzo bezpiecznego szyfrowania AES, co jest dobre. Dla użytkowników systemu Windows jest to z pewnością lepsze niż PPTP — ale ponieważ jest to protokół zastrzeżony, nie podlega niezależnym audytom, którym podlega OpenVPN. Ponieważ używa SSL v3, podobnie jak OpenVPN, ma podobne możliwości omijania zapór i powinien działać lepiej niż L2TP/IPsec lub PPTP.
W podsumowaniu: To jak OpenVPN, ale głównie dla systemu Windows i nie można go w pełni kontrolować. Mimo to jest to lepsze niż PPTP. A ponieważ można go skonfigurować do korzystania z szyfrowania AES, jest prawdopodobnie bardziej godny zaufania niż L2TP/IPsec.
OpenVPN wydaje się być najlepszą opcją. Jeśli musisz użyć innego protokołu w systemie Windows, SSTP jest idealnym wyborem. Jeśli dostępny jest tylko L2TP/IPsec lub PPTP, użyj L2TP/IPsec. Unikaj PPTP, jeśli to możliwe — chyba że absolutnie musisz połączyć się z serwerem VPN, który zezwala tylko na ten stary protokół.
Źródło obrazu: Giorgio Montersino na Flickr