คำอธิบายการเข้ารหัส VPN: IPSec กับ SSL

IPSec กับ SSL

มีบทความอื่นอีกมากมายเปรียบเทียบและเปรียบเทียบ IPSec และ SSL VPN จากมุมมองของผู้ดูแลระบบเครือข่ายที่ต้องตั้งค่า อย่างไรก็ตามบทความนี้จะตรวจสอบ ผู้ให้บริการ VPN เชิงพาณิชย์รายใหญ่ใช้ประโยชน์จาก SSL และ IPSec ในบริการผู้บริโภคอย่างไร, ซึ่งมีวัตถุประสงค์เพื่อให้การเข้าถึงเว็บและไม่ใช่เครือข่ายขององค์กร.

โปรโตคอล VPN ที่ใช้ การเข้ารหัส IPSec ประกอบด้วย L2TP, IKEv2 และ SSTP OpenVPN เป็นโปรโตคอลยอดนิยมที่ใช้การเข้ารหัส SSL, เฉพาะไลบรารี OpenSSL SSL นั้นใช้ใน VPN ที่ใช้เบราว์เซอร์เช่นกัน.

บทความนี้เปรียบเทียบและเปรียบเทียบ IPSec และการเข้ารหัส SSL จากจุดยืนของผู้ใช้ VPN หากคุณต้องการคำอธิบายพื้นฐานเพิ่มเติมเกี่ยวกับโปรโตคอลทั้งสองลองอ่านคู่มือเชิงลึกเกี่ยวกับการเข้ารหัสประเภททั่วไป.

พื้นฐานของการเข้ารหัส VPN

การเข้ารหัส VPN จะแปลงสัญญาณเนื้อหาของการรับส่งข้อมูลอินเทอร์เน็ตของคุณในลักษณะที่จะสามารถยกเลิกการแปลงสัญญาณ (ถอดรหัส) โดยใช้คีย์ที่ถูกต้องเท่านั้น ข้อมูลขาออกถูกเข้ารหัสก่อนที่จะออกจากอุปกรณ์ของคุณ จากนั้นจะถูกส่งไปยังเซิร์ฟเวอร์ VPN ซึ่งจะถอดรหัสข้อมูลด้วยรหัสที่เหมาะสม จากนั้นข้อมูลของคุณจะถูกส่งไปยังปลายทางเช่นเว็บไซต์ การเข้ารหัสจะป้องกันไม่ให้ใครก็ตามที่ดักจับข้อมูลระหว่างคุณกับเซิร์ฟเวอร์ VPN - ผู้ให้บริการอินเทอร์เน็ต, หน่วยงานราชการ, แฮ็กเกอร์ไร้สายเป็นต้น - ไม่สามารถถอดรหัสเนื้อหาได้.

ทราฟฟิกที่เข้ามาต้องผ่านกระบวนการเดียวกันในสิ่งที่ตรงกันข้าม หากข้อมูลมาจากเว็บไซต์ขั้นแรกให้ไปที่เซิร์ฟเวอร์ VPN เซิร์ฟเวอร์ VPN เข้ารหัสข้อมูลจากนั้นส่งไปยังอุปกรณ์ของคุณ อุปกรณ์ของคุณจะถอดรหัสข้อมูลเพื่อให้คุณสามารถดูเว็บไซต์ได้ตามปกติ.

ทั้งหมดนี้ทำให้มั่นใจได้ว่าข้อมูลอินเทอร์เน็ตของผู้ใช้ VPN ยังคงเป็นส่วนตัวและอยู่ในมือของบุคคลที่ไม่ได้รับอนุญาต.

ความแตกต่างระหว่างการเข้ารหัสชนิดต่าง ๆ รวมถึง:

  • ความแรงของการเข้ารหัสหรือวิธีการและระดับที่ข้อมูลของคุณถูกรบกวน
  • วิธีการจัดการและแลกเปลี่ยนคีย์การเข้ารหัส
  • อินเตอร์เฟสโปรโตคอลและพอร์ตใดที่ใช้
  • OSI ทำงานบนเลเยอร์อะไรบ้าง
  • ใช้งานง่าย
  • ประสิทธิภาพ (อ่าน: ความเร็ว)

ความปลอดภัย

ในระยะสั้น: ขอบเล็กน้อยในความโปรดปรานของ SSL.

การเชื่อมต่อ IPSec ต้องการรหัสที่มีการแชร์ล่วงหน้าไว้บนทั้งไคลเอนต์และเซิร์ฟเวอร์เพื่อเข้ารหัสและส่งทราฟฟิกซึ่งกันและกัน การแลกเปลี่ยนคีย์นี้เป็นการเปิดโอกาสให้ผู้โจมตีทำการถอดรหัสหรือดักจับคีย์ที่แชร์ล่วงหน้า.

SSL VPN ไม่มีปัญหานี้เนื่องจากใช้การเข้ารหัสแบบพับลิกคีย์เพื่อเจรจาจับมือและแลกเปลี่ยนคีย์การเข้ารหัสอย่างปลอดภัย แต่ TLS / SSL มีรายการช่องโหว่ของตัวเองเช่น Heartbleed.

SSL VPN บางตัวอนุญาตใบรับรองที่ไม่ได้ลงนามเองและไม่ยืนยันลูกค้า นี่เป็นเรื่องปกติโดยเฉพาะอย่างยิ่งในส่วนขยายเบราว์เซอร์ SSL VPN ที่“ ไม่มีไคลเอ็นต์” VPN เหล่านี้ที่อนุญาตให้ทุกคนเชื่อมต่อจากเครื่องใด ๆ มีความเสี่ยงต่อการโจมตีจากคนกลาง (MITM) อย่างไรก็ตามนี่ไม่ใช่กรณีของไคลเอนต์ OpenVPN ดั้งเดิม.

โดยทั่วไปแล้ว SSL ต้องการแพตช์บ่อยครั้งเพื่อให้ทันสมัยสำหรับทั้งเซิร์ฟเวอร์และไคลเอนต์.

การขาดรหัสโอเพนซอร์ซสำหรับโปรโตคอล VPN ที่ใช้ IPSec อาจเป็นปัญหาสำหรับผู้ที่ระวังสายลับและคนสอดแนมของรัฐบาล ในปี 2013 Edward Snowden เปิดเผยโปรแกรม Bullrun ของหน่วยงานความมั่นคงแห่งชาติของสหรัฐอเมริกาได้พยายามอย่างแข็งขันที่จะ“ แทรกช่องโหว่ในระบบเข้ารหัสเชิงพาณิชย์ระบบไอทีเครือข่ายและอุปกรณ์สื่อสารปลายทางที่ใช้งานโดยเป้าหมาย” NSA กล่าวหาว่า IPSec กำหนดเป้าหมาย แฮกเกอร์สามารถเอาเปรียบ.

ในที่สุดการรักษาความปลอดภัยที่แข็งแกร่งน่าจะเป็นผลมาจากผู้ดูแลระบบเครือข่ายที่มีทักษะและมีสติมากกว่าที่จะเลือกใช้โปรโตคอล.

การข้ามผ่านไฟร์วอลล์

ในระยะสั้น: VPNs ที่ใช้ SSL นั้นจะดีกว่าสำหรับการข้ามไฟร์วอลล์.

ไฟร์วอลล์ NAT มักจะมีอยู่ในเราเตอร์ไร้สายและฮาร์ดแวร์เครือข่ายอื่น ๆ เพื่อป้องกันภัยคุกคามพวกเขาจะทิ้งการรับส่งข้อมูลทางอินเทอร์เน็ตที่ไม่รู้จักซึ่งรวมถึงแพ็คเก็ตข้อมูลโดยไม่มีหมายเลขพอร์ต แพ็กเก็ต IPSec ที่เข้ารหัส (แพ็คเก็ต ESP) ไม่มีหมายเลขพอร์ตที่กำหนดไว้โดยค่าเริ่มต้นซึ่งหมายความว่าพวกเขาสามารถถูกดักจับในไฟร์วอลล์ NAT สิ่งนี้สามารถป้องกัน IPSec VPNs ไม่ให้ทำงาน.

IPSec-esp.svg

ในการหลีกเลี่ยงปัญหานี้ IPSec VPNs จำนวนมากห่อหุ้มแพ็กเก็ต ESP ภายในแพ็คเก็ต UDP เพื่อให้ข้อมูลได้รับการกำหนดหมายเลขพอร์ต UDP โดยทั่วไปคือ UDP 4500 ขณะที่วิธีนี้แก้ปัญหาการแวะผ่าน NAT ไฟร์วอลล์เครือข่ายของคุณอาจไม่อนุญาตแพ็กเก็ตบนพอร์ตนั้น ผู้ดูแลระบบเครือข่ายที่โรงแรมสนามบินและสถานที่อื่น ๆ อาจอนุญาตให้มีการรับส่งข้อมูลบนโปรโตคอลที่จำเป็นบางอย่างเท่านั้นและ UDP 4500 อาจไม่ได้อยู่ในกลุ่มเดียวกัน.

การรับส่งข้อมูล SSL สามารถเดินทางผ่านพอร์ต 443 ซึ่งอุปกรณ์ส่วนใหญ่รู้จักว่าเป็นพอร์ตที่ใช้สำหรับการรับส่งข้อมูล HTTPS ที่ปลอดภัย เครือข่ายเกือบทั้งหมดอนุญาตการรับส่งข้อมูล HTTPS บนพอร์ต 443 ดังนั้นเราจึงสามารถสันนิษฐานได้ว่ามันเปิดอยู่ OpenVPN ใช้พอร์ต 1194 เป็นค่าเริ่มต้นสำหรับทราฟฟิก UDP แต่สามารถส่งต่อผ่านพอร์ต UDP หรือ TCP อย่างใดอย่างหนึ่งรวมถึงพอร์ต TCP 443 สิ่งนี้ทำให้ SSL มีประโยชน์มากขึ้นสำหรับการข้ามไฟร์วอลล์และการตรวจสอบในรูปแบบอื่น ๆ บล็อกการรับส่งข้อมูลที่ขึ้นอยู่กับพอร์ต.

ความเร็วและความน่าเชื่อถือ

ในระยะสั้น: ทั้งสองอย่างรวดเร็วพอสมควร แต่ IKEv2 / IPSec เจรจาเชื่อมต่อที่เร็วที่สุด.

โปรโตคอล VPN ที่ใช้ IPSec ส่วนใหญ่ใช้เวลานานกว่าในการต่อรองการเชื่อมต่อกว่าโปรโตคอลที่ใช้ SSL แต่นี่ไม่ใช่กรณีของ IKEv2 / IPSec.

IKEv2 เป็นโปรโตคอล VPN ที่ใช้ IPSec ซึ่งมีมานานกว่าทศวรรษ แต่ตอนนี้กำลังได้รับความนิยมจากผู้ให้บริการ VPN การขับเคลื่อนการปรับใช้คือความสามารถในการเชื่อมต่ออย่างรวดเร็วและเชื่อถือได้ทุกครั้งที่การเชื่อมต่อ VPN ถูกขัดจังหวะ สิ่งนี้ทำให้มีประโยชน์อย่างยิ่งสำหรับลูกค้ามือถือ iOS และ Android ที่ไม่มีการเชื่อมต่อที่เชื่อถือได้หรือผู้ที่สลับระหว่างข้อมูลมือถือและ wifi.

สำหรับปริมาณงานจริงมันเป็นการพลิกขึ้น เราเคยเห็นข้อโต้แย้งจากทั้งสองฝ่าย ในบล็อกโพสต์ NordVPN ระบุว่า IKEv2 / IPSec สามารถให้ปริมาณงานที่รวดเร็วกว่าคู่แข่งเช่น OpenVPN โปรโตคอลทั้งสองมักใช้รหัส AES แบบ 128 บิตหรือ 256 บิต.

เลเยอร์ UDP พิเศษที่ผู้ให้บริการจำนวนมากวางไว้บนทราฟฟิกของ IPSec เพื่อช่วยในการสำรวจไฟร์วอลล์เพิ่มค่าใช้จ่ายเพิ่มเติมซึ่งหมายความว่ามันต้องการทรัพยากรเพิ่มเติมในการประมวลผล แต่คนส่วนใหญ่จะไม่สังเกตเห็นความแตกต่าง.

สำหรับ VPNs สำหรับผู้บริโภคส่วนใหญ่ปริมาณงานจะถูกกำหนดโดยความแออัดของเซิร์ฟเวอร์และเครือข่ายมากกว่าโปรโตคอล VPN.

ดูสิ่งนี้ด้วย: VPN ที่เร็วที่สุด

สะดวกในการใช้

ในระยะสั้น: IPSec เป็นสากลมากขึ้น แต่ผู้ใช้ส่วนใหญ่ที่ใช้แอปของผู้ให้บริการ VPN จะไม่สังเกตเห็นความแตกต่างอย่างมาก.

IKEv2, SSTP และ L2TP เป็นโปรโตคอล VPN ที่ใช้ IPSec ในตัวบนระบบปฏิบัติการที่สำคัญที่สุดซึ่งหมายความว่าไม่จำเป็นต้องมีแอปพลิเคชันพิเศษในการติดตั้ง ผู้ใช้ VPN ของผู้ใช้ส่วนใหญ่จะยังคงใช้แอปของผู้ให้บริการเพื่อเชื่อมต่อ.

โปรโตคอลไซเบอร์ฮอกส์

SSL ทำงานโดยค่าเริ่มต้นในเว็บเบราว์เซอร์ส่วนใหญ่ แต่โดยปกติแล้วแอปพลิเคชั่นของบุคคลที่สามจำเป็นต้องใช้ OpenVPN อีกครั้งนี้มักจะได้รับการดูแลโดยแอปของผู้ให้บริการ VPN.

จากประสบการณ์ของเรา IKEv2 มีแนวโน้มที่จะมอบประสบการณ์ที่ราบรื่นกว่า OpenVPN จากมุมมองผู้ใช้ปลายทาง นี่เป็นสาเหตุหลักมาจากข้อเท็จจริงที่ว่า IKEv2 เชื่อมต่อและจัดการการขัดจังหวะอย่างรวดเร็ว ที่ถูกกล่าวว่า OpenVPN มีแนวโน้มที่จะหลากหลายมากขึ้นและอาจเหมาะกับผู้ใช้ที่ไม่สามารถบรรลุสิ่งที่พวกเขาต้องการด้วย IKEv2.

เมื่อพูดถึง VPN ขององค์กรที่ให้การเข้าถึงเครือข่ายของ บริษัท มากกว่าอินเทอร์เน็ตฉันทามติทั่วไปคือ IPSec นั้นดีกว่าสำหรับ VPN จากไซต์ถึงไซต์และ SSL นั้นดีกว่าสำหรับการเข้าถึงระยะไกล เหตุผลคือ IPSec ทำงานที่ Network Layer ของรุ่น OSI ซึ่งให้ผู้ใช้สามารถเข้าถึงเครือข่ายขององค์กรได้อย่างเต็มที่โดยไม่คำนึงถึงแอปพลิเคชัน เป็นการยากกว่าที่จะ จำกัด การเข้าถึงทรัพยากรเฉพาะ ในทางกลับกัน SSL VPNs ทำให้องค์กรต่างๆสามารถควบคุมการเข้าถึงระยะไกลในระดับที่ละเอียดสำหรับแอพพลิเคชั่นที่เฉพาะเจาะจง.

Internetprotocolsecurity

ผู้ดูแลระบบเครือข่ายที่ใช้งาน VPN มักจะพบว่าการจัดการลูกค้าง่ายกว่าและใช้เวลาน้อยกว่าด้วย SSL มากกว่าด้วย IPSec.

IPSec vs SSL VPN: ข้อสรุป

สรุปสำหรับผู้ใช้ VPN ที่มีทั้งสองตัวเลือกเราขอแนะนำให้ใช้ IKEv2 / IPSec ก่อนจากนั้นหันไปใช้ OpenVPN หากมีปัญหาเกิดขึ้น ความเร็วที่ IKEv2 สามารถต่อรองและสร้างการเชื่อมต่อจะนำเสนอการปรับปรุงคุณภาพชีวิตที่เป็นรูปธรรมมากขึ้นสำหรับผู้ใช้ VPN เฉลี่ยรายวันในขณะที่ให้ความปลอดภัยและความเร็วเทียบเท่า แต่มันอาจไม่ทำงานในทุกสถานการณ์.

OpenVPN / SSL จนกระทั่งเมื่อไม่นานมานี้ถือว่าเป็นชุด VPN ที่ดีที่สุดสำหรับผู้ใช้ VPN ส่วนใหญ่ของผู้ใช้ OpenVPN ซึ่งใช้ไลบรารี OpenSSL สำหรับการเข้ารหัสและการรับรองความถูกต้องมีความรวดเร็วปลอดภัยมากโอเพนซอร์สและสามารถท่อง NAT ไฟร์วอลล์ได้ สามารถรองรับ UDP หรือโปรโตคอล TCP.

IKEv2 / IPSec ขอเสนอผู้ท้าชิงใหม่สำหรับ OpenVPN การปรับปรุง L2TP และโปรโตคอลที่ใช้ IPSec อื่น ๆ ด้วยการเชื่อมต่อที่เร็วขึ้นเสถียรภาพมากขึ้นและการสนับสนุนในตัวบนอุปกรณ์ผู้บริโภครุ่นใหม่ล่าสุด.

ทั้ง SSL และ IPSec มีความปลอดภัยสูงพร้อมความเร็วในการรับส่งข้อมูลความปลอดภัยและความสะดวกในการใช้งานสำหรับลูกค้าส่วนใหญ่ของบริการ VPN เชิงพาณิชย์.

“ IPsec in de netwerklaag” โดย Soufiane Hamdaoui ได้รับใบอนุญาตภายใต้ CC BY-SA 3.0

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

8 + 1 =

Adblock
detector