四分之一的互联网用户经常使用VPN，但他们真的了解这些软件背后的安全性么？

众所周知，VPN是基于各种VPN协议的，这些协议决定了VPN客户端与VPN服务器的通信方式。不同的协议创建加密隧道的方法也相差很大。

最早的VPN协议可以追溯到1996年，当时一位微软员工提出了端对端隧道协议（PPTP）。该协议虽然不完美，但总算让人们可以家中以安全的方式连接上办公网。

从那以后，VPN协议不断发展，目前有五种广泛使用的VPN协议。这五种VPN协议的优缺点是深入理解VPN协议的关键。

1.PPTP

如上所述，端对端隧道协议是第一个VPN协议，它已有20多年的历史。该协议依赖于加密，认证和端对端协议（PPP）进行协商。实质上，它只需要用户名，密码和服务器地址就可创建连接。

大多数设备都支持PPTP，因为设置起来非常简单，在VPN公司中也很受欢迎。PPTP非常快，因此，想要规避网络中地理限制的人更喜欢该协议。

但是，速度是以弱加密性为代价的。在所有协议中，PPTP加密级别最低。甚至微软也建议人们远离PPTP，从安全的角度来看，PPTP是完全不合格的。

简单来说，如果你只关心速度，那么PPTP就是你的首选。

优点

• 超级快
• 易于安装和使用
• 几乎所有平台都支持该协议

缺点

• 不支持Perfect Forward Secrecy（要求一个密钥只能访问由它所保护的数据；用来产生密钥的元素一次一换，不能再产生其他的密钥；一个密钥被破解，并不影响其他密钥的安全性 ——百度百科）
• 最不安全的协议之一
• 防火墙可以拦截PPTP协议

2.OpenVPN

OpenVPN协议于2001年面世，已成为最受欢迎和广泛使用的协议之一。它是一个开源协议，这意味着编程人员可以修改协议以及仔细检查源代码中可能的漏洞。

OpenVPN使用SSL技术，几乎所有平台都可以使用，包括Windows，Linux，iOS，Android，macOS，Blackberry和路由器。它在第2层和第3层上运行，而且还包含有助于传输IPX数据包和以太网帧的额外功能。此外，它还具有NetBIOS功能，可与HTTPS共享端口443。

OpenVPN非常安全，因为它使用160位SHA1哈希算法，AES的256位密钥加密以及2048位的RSA身份验证。

当然，以上也表示OpenVPN有一个显著的弱点——延迟，对于日常操作来说，操作之间的延迟相当大。不过，通过使用更强大的计算机和SSL证书的利用，可以有效降低延迟。

优点

• 安全
• 轻松绕过防火墙
• 支持各种加密算法
• 开源
• 支持Perfect Forward Secrecy

缺点

• 需要第三方软件进行设置
• 配置起来可能很困难
• 延迟

3.L2TP/IPsec

要完全理解2层隧道协议（L2TP），首先要提到2层转发（L2F）。在PPTP发布后不久，思科就开发了L2F，试图改进PPTP的缺陷。但不幸的是，L2F也不完美。

此后，他们在1999年发布了L2TP作为对PPTP和L2F的改进。L2TP结合了L2F和PPTP的优点，提供了更安全可靠的隧道协议。

但请注意，L2TP只是一种隧道协议，既不提供加密也不保证隐私。由于缺乏加密，L2TP不能单独作为安全协议使用，必须与IPsec配对，IPsec是一种带有加密功能的安全协议。L2TP和IPsec协议的组合使用带来一种双封装的概念。

在双封装中，第一个封装将创建客户端到远程主机的PPP连接，第二个封装将使用IPsec。

L2TP支持AES 256加密算法——可以说是最安全的——它可以防止中间人攻击。

请记住，由于双重封装，协议的速度较慢。此外，L2TP协议只能通过UDP协议进行通信。一旦UDP协议受到限制，会极大影响L2TP。

优点

• 较为安全
• 适用于几乎所有平台
• 易于设置
• 支持多线程

缺点

• Edward Snowden和John Gilmore都指出，NSA也许能攻破IPSec的保护

• 防火墙可以轻松拦截，因为它只能通过UDP进行通信。

• 由于双重封装，速度比OpenVPN慢

4.SSTP

安全套接字隧道协议（SSTP）与OpenVPN非常相似，唯一的区别在于它是Microsoft在Windows Vista中开发和引入的专有软件。

与OpenVPN一样，SSTP支持AES 256位密钥加密，并使用2048位SSL/TSL证书进行身份验证。该协议同样支持Linux，Windows和BSD系统。而对于Android和iOS等，仅通过第三方客户端提供支持。

优点

• 支持各种加密算法
• 支持Perfect Forward Secrecy
• 易于使用，该协议已集成到Windows中

缺点

• 在其他系统上不如在Windows上表现好
• 代码不开源

5.IKEv2

IKEv2是一种提供安全密钥交换会话的隧道协议。该协议是微软和思科合作的成果。与L2TP类似，它通常与IPsec配对使用以提供身份验证和加密功能。

IKEv2非常适合移动版VPN解决方案。这是因为它可以在任何暂时失去互联网连接的情况下重新连接。其次，它很擅长在网络交换期间重新连接（例如，从移动数据到WiFi网络时）。

IKEv2不像OpenVPN，PPTP或L2TP/IPsec协议那样受欢迎，但也有很大的VPN市场，特别是那些专注于移动版VPN的公司。因为它是专有软件，所以只支持Windows，iOS和Blackberry。

优点

• 非常稳定，切换网络时不会断开VPN连接
• 非常快
• 支持Perfect Forward Secrecy
• 支持各种加密算法
• 易于设置

缺点

• 以上所述的IPsec潜在问题
• 支持的平台不多
• 防火墙可以拦截

摘要

从上面的总结可以看到，没有一个完美的VPN协议可以满足所有用户的要求。一些VPN协议会优先考虑速度，而其他VPN协议则优先考虑安全性。所以我们需要多次比较，选出最适合自己的VPN。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/84506/digital-id/strengths-weaknesses-vpn-protocols.html