不同VPN协议的优缺点

iso60001  436天前

22.png

四分之一的互联网用户经常使用VPN,但他们真的了解这些软件背后的安全性么?

众所周知,VPN是基于各种VPN协议的,这些协议决定了VPN客户端与VPN服务器的通信方式。不同的协议创建加密隧道的方法也相差很大。

最早的VPN协议可以追溯到1996年,当时一位微软员工提出了端对端隧道协议(PPTP)。该协议虽然不完美,但总算让人们可以家中以安全的方式连接上办公网。

从那以后,VPN协议不断发展,目前有五种广泛使用的VPN协议。这五种VPN协议的优缺点是深入理解VPN协议的关键。

1.PPTP

如上所述,端对端隧道协议是第一个VPN协议,它已有20多年的历史。该协议依赖于加密,认证和端对端协议(PPP)进行协商。实质上,它只需要用户名,密码和服务器地址就可创建连接。

大多数设备都支持PPTP,因为设置起来非常简单,在VPN公司中也很受欢迎。PPTP非常快,因此,想要规避网络中地理限制的人更喜欢该协议。

但是,速度是以弱加密性为代价的。在所有协议中,PPTP加密级别最低。甚至微软也建议人们远离PPTP,从安全的角度来看,PPTP是完全不合格的。

简单来说,如果你只关心速度,那么PPTP就是你的首选。

优点

  • 超级快
  • 易于安装和使用
  • 几乎所有平台都支持该协议

缺点

  • 不支持Perfect Forward Secrecy(要求一个密钥只能访问由它所保护的数据;用来产生密钥的元素一次一换,不能再产生其他的密钥;一个密钥被破解,并不影响其他密钥的安全性 ——百度百科)
  • 最不安全的协议之一
  • 防火墙可以拦截PPTP协议

2.OpenVPN

OpenVPN协议于2001年面世,已成为最受欢迎和广泛使用的协议之一。它是一个开源协议,这意味着编程人员可以修改协议以及仔细检查源代码中可能的漏洞。

OpenVPN使用SSL技术,几乎所有平台都可以使用,包括Windows,Linux,iOS,Android,macOS,Blackberry和路由器。它在第2层和第3层上运行,而且还包含有助于传输IPX数据包和以太网帧的额外功能。此外,它还具有NetBIOS功能,可与HTTPS共享端口443。

OpenVPN非常安全,因为它使用160位SHA1哈希算法,AES的256位密钥加密以及2048位的RSA身份验证。

当然,以上也表示OpenVPN有一个显著的弱点——延迟,对于日常操作来说,操作之间的延迟相当大。不过,通过使用更强大的计算机和SSL证书的利用,可以有效降低延迟。

优点

  • 安全
  • 轻松绕过防火墙
  • 支持各种加密算法
  • 开源
  • 支持Perfect Forward Secrecy

缺点

  • 需要第三方软件进行设置
  • 配置起来可能很困难
  • 延迟

3.L2TP/IPsec

要完全理解2层隧道协议(L2TP),首先要提到2层转发(L2F)。在PPTP发布后不久,思科就开发了L2F,试图改进PPTP的缺陷。但不幸的是,L2F也不完美。

此后,他们在1999年发布了L2TP作为对PPTP和L2F的改进。L2TP结合了L2F和PPTP的优点,提供了更安全可靠的隧道协议。

但请注意,L2TP只是一种隧道协议,既不提供加密也不保证隐私。由于缺乏加密,L2TP不能单独作为安全协议使用,必须与IPsec配对,IPsec是一种带有加密功能的安全协议。L2TP和IPsec协议的组合使用带来一种双封装的概念。

在双封装中,第一个封装将创建客户端到远程主机的PPP连接,第二个封装将使用IPsec。

L2TP支持AES 256加密算法——可以说是最安全的——它可以防止中间人攻击。

请记住,由于双重封装,协议的速度较慢。此外,L2TP协议只能通过UDP协议进行通信。一旦UDP协议受到限制,会极大影响L2TP。

优点

  • 较为安全
  • 适用于几乎所有平台
  • 易于设置
  • 支持多线程

缺点

  • Edward Snowden和John Gilmore都指出,NSA也许能攻破IPSec的保护

  • 防火墙可以轻松拦截,因为它只能通过UDP进行通信。

  • 由于双重封装,速度比OpenVPN慢

4.SSTP

安全套接字隧道协议(SSTP)与OpenVPN非常相似,唯一的区别在于它是Microsoft在Windows Vista中开发和引入的专有软件。

与OpenVPN一样,SSTP支持AES 256位密钥加密,并使用2048位SSL/TSL证书进行身份验证。该协议同样支持Linux,Windows和BSD系统。而对于Android和iOS等,仅通过第三方客户端提供支持。

优点

  • 支持各种加密算法
  • 支持Perfect Forward Secrecy
  • 易于使用,该协议已集成到Windows中

缺点

  • 在其他系统上不如在Windows上表现好
  • 代码不开源

5.IKEv2

IKEv2是一种提供安全密钥交换会话的隧道协议。该协议是微软和思科合作的成果。与L2TP类似,它通常与IPsec配对使用以提供身份验证和加密功能。

IKEv2非常适合移动版VPN解决方案。这是因为它可以在任何暂时失去互联网连接的情况下重新连接。其次,它很擅长在网络交换期间重新连接(例如,从移动数据到WiFi网络时)。

IKEv2不像OpenVPN,PPTP或L2TP/IPsec协议那样受欢迎,但也有很大的VPN市场,特别是那些专注于移动版VPN的公司。因为它是专有软件,所以只支持Windows,iOS和Blackberry。

优点

  • 非常稳定,切换网络时不会断开VPN连接
  • 非常快
  • 支持Perfect Forward Secrecy
  • 支持各种加密算法
  • 易于设置

缺点

  • 以上所述的IPsec潜在问题
  • 支持的平台不多
  • 防火墙可以拦截

摘要

从上面的总结可以看到,没有一个完美的VPN协议可以满足所有用户的要求。一些VPN协议会优先考虑速度,而其他VPN协议则优先考虑安全性。所以我们需要多次比较,选出最适合自己的VPN。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/84506/digital-id/strengths-weaknesses-vpn-protocols.html

最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋 指尖安全

nosec.org All Rights Reserved 京ICP备15042518号