Пояснено шифрування VPN: IPSec vs SSL

IPSec vs SSL


Багато інших статей там порівнюють та протиставляють VPN-i IPSec та SSL з погляду мережевого адміністратора, який повинен їх налаштувати. Ця стаття, однак, буде вивчена як основні комерційні постачальники VPN використовують SSL та IPSec у своїх споживчих послугах, які призначені для забезпечення доступу до Інтернету, а не до корпоративної мережі.

VPN-протоколи, які використовують Шифрування IPSec включає L2TP, IKEv2 та SSTP. OpenVPN – найпопулярніший протокол, який використовує шифрування SSL, зокрема бібліотека OpenSSL. SSL використовується також у деяких VPN, що базуються на веб-переглядачах.

Ця стаття порівнює та протиставляє шифрування IPSec та SSL з точки зору кінцевого користувача VPN. Якщо ви хочете отримати більш фундаментальне пояснення двох протоколів, ознайомтеся з нашим поглибленим посібником щодо поширених типів шифрування.

Основи шифрування VPN

Шифрування VPN розшифровує вміст вашого інтернет-трафіку таким чином, що його можна скасувати (розшифрувати) лише за допомогою правильного ключа. Вихідні дані шифруються до того, як вони покинуть ваш пристрій. Потім він надсилається на сервер VPN, який розшифровує дані відповідним ключем. Звідти ваші дані надсилаються до місця призначення, наприклад на веб-сайт. Шифрування заважає тим, хто трапляється перехоплювати дані між вами та сервером VPN – постачальниками послуг Інтернету, державними установами, хакерськими мережами тощо, – неможливо розшифрувати вміст.

Вхідний трафік проходить через той самий процес у зворотному напрямку. Якщо дані надходять з веб-сайту, вони спочатку переходять на сервер VPN. Сервер VPN шифрує дані, після чого надсилає їх на ваш пристрій. Потім ваш пристрій розшифровує дані, щоб ви могли нормально переглядати веб-сайт.

Все це гарантує, що інтернет-дані користувачів VPN залишаються приватними та поза межами будь-яких сторонніх сторін.

Відмінності між різними типами шифрування включають:

  • Сила шифрування або метод та ступінь, на які ваші дані зашифровані
  • Як керуються та обмінюються ключі шифрування
  • Які інтерфейси, протоколи та порти вони використовують
  • На яких шарах OSI вони працюють
  • Простота розгортання
  • Продуктивність (читання: швидкість)

Безпека

Коротко: Невеликий край на користь SSL.

З’єднання IPSec вимагають наявності загальнодоступного ключа для клієнта та сервера, щоб шифрувати та надсилати один одному трафік. Обмін цим ключем дає зловмисникові можливість зламати або захопити попередньо спільний ключ.

У VPN VPL цієї проблеми немає, оскільки вони використовують криптографію відкритого ключа для узгодження рукостискання та надійного обміну ключами шифрування. Але TLS / SSL має довгий список власних уразливостей, таких як Heartbleed.

Деякі VPN-адреси SSL дозволяють непідтверджені, самопідписані сертифікати та не перевіряють клієнтів. Особливо часто це стосується розширень браузера SSL VPN без клієнтів. Ці VPN, які дозволяють будь-кому підключитися з будь-якої машини, вразливі до атак людини в середині (MITM). Однак це не так у більшості нативних клієнтів OpenVPN.

SSL, як правило, вимагає частіших виправлень, щоб бути в курсі як для сервера, так і для клієнта.

Відсутність відкритого коду для протоколів VPN на основі IPSec може викликати занепокоєння людей, які насторожено ставляться до урядових шпигунів та снуперів. У 2013 році Едвард Сноуден показав, що програма Bullrun Агентства національної безпеки США активно намагалася “вставити вразливі місця в комерційні системи шифрування, ІТ-системи, мережі та пристрої зв’язку кінцевих точок, які використовуються цілями”. NSA нібито націлила IPSec на додавання заднього проходу та бічних каналів, які можуть бути використані хакерами.

Зрештою, надійна безпека швидше є результатом кваліфікованих та розумних мережевих адміністраторів, а не вибору протоколу.

Обхід брандмауера

Коротко: VPN на основі SSL, як правило, краще для обходу брандмауерів.

Брандмауери NAT часто існують на wifi-роутерах та іншому мережевому обладнання. Для захисту від загроз вони викидають будь-який Інтернет-трафік, який не розпізнається, включаючи пакети даних без номерів портів. Зашифровані пакети IPSec (пакети ESP) не мають стандартних номерів портів, призначених за замовчуванням, що означає, що вони можуть потрапити в NAT брандмауері. Це може запобігти роботі VPN-серверів IPSec.

Ipsec-esp.svg

Щоб обійти це, багато IPSec VPN інкапсулюють ESP-пакети всередині UDP-пакетів, щоб даним було присвоєно номер порту UDP, як правило, UDP 4500. Хоча це вирішує проблему NAT-обходу, ваш мережевий брандмауер може не дозволяти пакетам на цьому порту. Адміністратори мережі в готелях, аеропортах та інших місцях можуть дозволити трафік лише за кількома необхідними протоколами, і UDP 4500 може бути не серед них.

SSL-трафік може подорожувати через порт 443, який більшість пристроїв визнає портом, що використовується для безпечного трафіку HTTPS. Практично всі мережі дозволяють трафік HTTPS на порт 443, тому ми можемо вважати, що він відкритий. OpenVPN використовує порт 1194 за замовчуванням для трафіку UDP, але його можна переслати через порти UDP або TCP, включаючи порт TCP 443. Це робить SSL корисніше для обходу брандмауерів та інших форм цензури що блокують трафік на основі портів.

Швидкість і надійність

Коротко: І те й інше досить швидко, але IKEv2 / IPSec узгоджує з’єднання найшвидше.

Більшість протоколів VPN на основі IPSec займають більше часу для узгодження з’єднання, ніж протоколи на основі SSL, але це не так з IKEv2 / IPSec.

IKEv2 – це протокол VPN на основі IPSec, який існує вже більше десятиліття, але зараз він в тренді серед VPN-провайдерів. Забезпечення його розгортання – це його здатність швидко та надійно підключитися під час кожного розриву VPN-з’єднання. Це робить його особливо корисним для мобільних клієнтів iOS та Android, які не мають надійних підключень, або тих, які часто перемикаються між мобільними даними та wifi.

Що стосується фактичної пропускної здатності, то це піднесення. Ми бачили аргументи з обох сторін. У своєму дописі в блозі NordVPN заявляє, що IKEv2 / IPSec може запропонувати більш швидку пропускну здатність, ніж конкуренти, такі як OpenVPN. Обидва протоколи зазвичай використовують або 128-бітний, або 256-бітний AES-шифр.

Додатковий рівень UDP, який багато постачальників накладають на трафік IPSec, щоб допомогти йому пройти брандмауері, додає додаткових накладних витрат, а значить, для обробки потрібно більше ресурсів. Але більшість людей не помітить різниці.

У більшості споживчих VPN пропускна здатність визначається значною мірою перегрузкою сервера та мережі, а не протоколом VPN.

Дивись також: Найшвидші VPN

Простота використання

Коротко: IPSec є більш універсальним, але більшість користувачів, які використовують додатки провайдерів VPN, не помітять великої різниці.

IKEv2, SSTP та L2TP – це вбудовані протоколи VPN на основі IPSec для більшості основних операційних систем, а це означає, що для запуску та роботи не обов’язково потрібна додаткова програма. Більшість користувачів споживчих VPN все ще використовуватимуть додаток постачальника для підключення.

протоколи кібергосту

SSL працює за замовчуванням у більшості веб-браузерів, але для використання OpenVPN зазвичай потрібна стороння програма. Знову ж таки, цим зазвичай переймається додаток провайдера VPN.

З нашого досвіду, IKEv2 прагне запропонувати більш безпроблемний досвід, ніж OpenVPN з точки зору кінцевого користувача. Багато в чому це пов’язано з тим, що IKEv2 швидко підключає та обробляє перебої. Зважаючи на це, OpenVPN має тенденцію бути більш універсальним і може бути краще підходить для користувачів, які не можуть досягти того, що хочуть з IKEv2.

Що стосується корпоративних VPN, які надають доступ до мережі компанії, а не до Інтернету, загальна думка полягає в тому, що IPSec є кращим для VPN від сайту до сайту, а SSL краще для віддаленого доступу. Причина полягає в тому, що IPSec працює на мережевому шарі моделі OSI, що надає користувачеві повний доступ до корпоративної мережі незалежно від програми. Складніше обмежити доступ до конкретних ресурсів. SSL VPN, з іншого боку, дозволяють підприємствам контролювати віддалений доступ на детальному рівні до конкретних програм.

Інтернетпротокологічна безпека

Мережеві адміністратори, які керують VPN, як правило, знаходять управління клієнтами набагато простіше і менше часу за допомогою SSL, ніж з IPSec.

IPSec vs SSL VPN: висновок

Загалом, для користувачів VPN, які мають обидва варіанти, ми рекомендуємо спочатку перейти на IKEv2 / IPSec, а потім звернутися до OpenVPN у разі виникнення проблем. Швидкість, з якою IKEv2 здатна домовлятися та встановлювати з’єднання, запропонує більш відчутне поліпшення якості життя для середньостатистичного, щоденного користувача VPN, пропонуючи при цьому порівнянну безпеку та швидкість, але може не працювати за будь-яких обставин.

OpenVPN / SSL ще зовсім недавно вважався найкращою комбінацією VPN для більшості користувачів споживчих VPN. OpenVPN, який використовує бібліотеку OpenSSL для шифрування та автентифікації, є досить швидким, дуже захищеним, відкритим кодом, і може просувати NAT брандмауери. Він може підтримувати протокол UDP або TCP.

IKEv2 / IPSec представляє нового виклику OpenVPN, вдосконалюючи L2TP та інші протоколи на базі IPSec з більш швидкими з’єднаннями, більшою стабільністю та вбудованою підтримкою більшості нових споживчих пристроїв.

SSL та IPSec можуть похвалитися міцними родоводами безпеки із порівнянною швидкістю пропускання, безпекою та простотою використання для більшості клієнтів комерційних VPN-послуг..

“IPsec in de netwerklaag” Soufiane Hamdaoui, ліцензований за CC BY-SA 3.0

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map