رمزگذاری VPN توضیح داد: IPSec vs SSL

IPSec vs SSL


تعداد زیادی از مقالات دیگر در آنجا با IPSec و SSL VPN از دیدگاه مدیر شبکه ای که مجبور است آنها را تنظیم کند مقایسه و تضاد می کنند. با این حال ، این مقاله به بررسی خواهد پرداخت چگونه ارائه دهندگان اصلی VPN تجاری از SSL و IPSec در خدمات مصرفی خود استفاده می کنند, که برای دسترسی به وب و نه یک شبکه شرکتی در نظر گرفته شده اند.

پروتکل های VPN که استفاده می کنند رمزگذاری IPSec شامل L2TP ، IKEv2 و SSTP است. OpenVPN محبوب ترین پروتکل است که از رمزگذاری SSL استفاده می کند, به طور خاص کتابخانه OpenSSL. SSL در برخی از VPN های مبتنی بر مرورگر نیز استفاده می شود.

در این مقاله ، رمزگذاری IPSec و SSL از دیدگاه کاربر نهایی VPN مقایسه و تضاد شده است. اگر می خواهید توضیحی اساسی تر درباره این دو پروتکل داشته باشید ، راهنمای عمیق ما در مورد انواع رایج رمزگذاری را بررسی کنید.

مبانی رمزگذاری VPN

رمزگذاری VPN محتویات ترافیک اینترنت شما را به گونهای تقسیم می کند که فقط با استفاده از کلید صحیح فقط می توان آنرا ویرایش (رمزگشایی) کرد. داده های خروجی قبل از ترک دستگاه شما رمزگذاری می شوند. سپس به سرور VPN ارسال می شود ، که داده ها را با کلید مناسب رمزگشایی می کند. از آنجا داده های شما مانند وب سایت به مقصد خود ارسال می شوند. رمزگذاری مانع از آن می شود که هر کسی که اتفاق می افتد داده ها را بین شما و سرور VPN - ارائه دهندگان خدمات اینترنت ، آژانس های دولتی ، هکرهای وای فای ، و غیره - رهگیری کند تا بتواند محتوا را رمزگشایی کند..

ترافیک ورودی با همان روند معکوس انجام می شود. اگر داده ها از یک وب سایت وارد می شوند ، ابتدا به سرور VPN می روند. سرور VPN داده ها را رمزگذاری می کند ، سپس آن را به دستگاه شما ارسال می کند. سپس دستگاه شما داده ها را رمزگشایی می کند تا بتوانید به طور عادی وب سایت را مشاهده کنید.

همه اینها تضمین می کند که داده های اینترنتی کاربران VPN خصوصی و خارج از دست احزاب غیرمجاز باقی می ماند.

تفاوت بین انواع مختلف رمزگذاری شامل موارد زیر است:

  • قدرت رمزگذاری ، یا روش و درجه ای که داده های شما تقسیم می شوند
  • نحوه مدیریت و تبادل کلیدهای رمزگذاری
  • چه رابط ها ، پروتکل ها و پورت هایی که استفاده می کنند
  • چه لایه های OSI را اجرا می کنند
  • سهولت استقرار
  • عملکرد (بخوانید: سرعت)

امنیت

به اختصار: لبه کمی به نفع SSL.

اتصالات IPSec برای رمزگذاری و ارسال ترافیک به یکدیگر ، نیاز به یک کلید از پیش مشترک وجود دارد که بر روی کلاینت و سرور وجود دارد. تعویض این کلید فرصتی را برای یک مهاجم برای سرکوب یا گرفتن کلید پیش اشتراک شده فراهم می کند.

SSL VPN ها این مشکل را ندارند زیرا آنها از رمزنگاری کلید عمومی برای مذاکره در مورد لرزش و تبادل ایمن کلیدهای رمزگذاری استفاده می کنند. اما TLS / SSL یک لیست طولانی از آسیب پذیری های خود مانند Heartbleed دارد.

برخی از SSL VPN اجازه می دهد گواهی های معتبر ، خود امضا نشده و مشتری را تأیید نکنید. این خصوصاً در پسوندهای مرورگر SSL VPN "بدون مشتری" متداول است. این VPN ها که به هر کسی امکان اتصال از هر دستگاهی را می دهند ، در مقابل حملات انسان در میانه (MITM) آسیب پذیر هستند. با این حال ، این مورد در مورد بیشتر مشتری های بومی OpenVPN اتفاق نمی افتد.

SSL معمولاً برای بروزرسانی به سرور و مشتری به تکه های مکرر بیشتری نیاز دارد.

عدم وجود کد منبع باز برای پروتکل های VPN مبتنی بر IPSec ممکن است نگرانی افرادی را که نسبت به جاسوسان و جاسوسان دولتی احتیاط دارند ، نگران کند. در سال 2013 ، ادوارد اسنودن فاش کرد که برنامه بولرون آژانس امنیت ملی ایالات متحده به طور فعال سعی در "قرار دادن آسیب پذیری ها در سیستم های رمزگذاری تجاری ، سیستم های IT ، شبکه ها و دستگاه های ارتباطی نهایی که از طریق اهداف استفاده می شود" وارد شده است. ممکن است توسط هکرها مورد سوء استفاده قرار بگیرد.

در پایان ، امنیت قوی به احتمال زیاد نتیجه مدیران شبکه ماهر و متفکر است و نه انتخاب پروتکل.

گذرگاه فایروال

به اختصار: VPN های مبتنی بر SSL معمولاً برای دور زدن فایروال ها بهتر هستند.

فایروال های NAT اغلب در روترهای wifi و سایر سخت افزارهای شبکه وجود دارند. برای محافظت در برابر تهدیدات ، آنها هرگونه ترافیک اینترنتی که به رسمیت شناخته نشده است را پرتاب می کنند ، شامل بسته های داده ای بدون شماره بندری. بسته های رمزگذاری شده IPSec (بسته های ESP) هیچ شماره پستی را به طور پیش فرض اختصاص نمی دهند ، به این معنی که می توانند در فایروال های NAT گیر بیایند. این می تواند مانع از کارآیی IPSec VPN شود.

Ipsec-esp.svg

برای پی بردن به این مسئله ، بسیاری از IPSec VPN بسته های ESP را درون بسته های UDP محصور می کنند ، بنابراین داده ها به تعداد پورت UDP ، معمولاً UDP 4500 اختصاص داده می شوند. سرپرست شبکه در هتل ها ، فرودگاه ها و مکان های دیگر فقط ممکن است اجازه ترافیک در چند پروتکل موردنیاز را داشته باشد و ممکن است UDP 4500 جزو آنها نباشد.

ترافیک SSL می تواند از طریق پورت 443 تردد کند ، که بیشتر دستگاه ها آن را به عنوان پورت استفاده شده برای ترافیک امن HTTPS می شناسند. تقریباً همه شبکه ها ترافیک HTTPS را در بندر 443 مجاز می کنند ، بنابراین می توانیم فرض کنیم که باز است. OpenVPN به طور پیش فرض از پورت 1194 برای ترافیک UDP استفاده می کند ، اما می توان آن را از طریق درگاه های UDP یا TCP ، از جمله درگاه TCP 443 هدایت کرد. SSL برای دور زدن فایروال ها و اشکال دیگر سانسور مفیدتر است که ترافیک را بر اساس درگاه ها مسدود می کند.

سرعت و قابلیت اطمینان

به اختصار: هر دو از نظر منطقی سریع هستند ، اما IKEv2 / IPSec سریعترین اتصالات را مذاکره می کند.

بیشتر پروتکل های VPN مبتنی بر IPSec برای مذاکره در ارتباط با پروتکل های مبتنی بر SSL بیشتر طول می کشند ، اما این مورد با IKEv2 / IPSec اتفاق نمی افتد.

IKEv2 یک پروتکل VPN مبتنی بر IPSec است که بیش از یک دهه است ، اما اکنون در بین ارائه دهندگان VPN رواج دارد. هدایت استقرار آن توانایی آن است که هر زمان که اتصال VPN قطع شود اتصال مجدد به سرعت و با اطمینان انجام شود. این امر به خصوص برای مشتری های iOS و Android که ارتباط قابل اعتماد ندارند ، یا مواردی که اغلب بین داده های تلفن همراه و وای فای جابجا می شوند ، بسیار مفید است..

در مورد توان واقعی ، این یک روند پرتلاش است. ما استدلال های هر دو طرف را دیده ایم. در یک پست وبلاگ ، NordVPN اظهار داشت که IKEv2 / IPSec می تواند توان سریعتری نسبت به رقبا مانند OpenVPN ارائه دهد. هر دو پروتکل معمولاً از رمزنگاری AES 128 بیتی یا 256 بیتی استفاده می کنند.

لایه UDP اضافی که بسیاری از ارائه دهندگان برای کمک به آن در عبور از فایروال ها از ترافیک IPSec استفاده می کنند ، اضافه سربار اضافی را اضافه می کند ، به این معنی که برای پردازش به منابع بیشتری نیاز دارد. اما بیشتر مردم متوجه تفاوت نمی شوند.

در اکثر VPN های مصرف کننده ، میزان توان بیشتر به جای پروتکل VPN توسط تراکم سرور و شبکه تعیین می شود.

همچنین مشاهده کنید: سریعترین VPN

راحتی در استفاده

به اختصار: IPSec جهانی تر است ، اما بیشتر کاربرانی که از برنامه های ارائه دهنده VPN استفاده می کنند متوجه تفاوت زیادی نمی شوند.

IKEv2 ، SSTP و L2TP پروتکل های VPN مبتنی بر IPSec در اکثر سیستم عامل های اصلی ساخته شده اند ، به این معنی که برای بلند شدن و اجرای آن لزوما نیازی به یک برنامه اضافی ندارد. اگرچه بیشتر کاربران VPN مصرف کننده هنوز از برنامه ارائه دهنده برای اتصال استفاده می کنند.

پروتکل های Cyberghost

SSL به طور پیش فرض در بیشتر مرورگرهای وب کار می کند ، اما برای استفاده از OpenVPN معمولاً یک برنامه شخص ثالث ضروری است. بار دیگر ، این مورد معمولاً توسط برنامه ارائه دهنده VPN مورد توجه قرار می گیرد.

در تجربه ما ، IKEv2 تمایل دارد تجربه ای بی نقص تر از OpenVPN از دیدگاه کاربر نهایی ارائه دهد. این امر تا حد زیادی به این دلیل است که IKEv2 به سرعت وقفه را متصل کرده و کنترل می کند. به گفته این ، OpenVPN تمایل به متنوع تر بودن دارد و ممکن است برای کاربرانی که نمی توانند آنچه را که می خواهند با IKEv2 انجام دهند ، مناسب تر باشد.

وقتی صحبت از VPN های شرکتی می شود که دسترسی به شبکه شرکت را به جای اینترنت فراهم می کنند ، اجماع عمومی این است که IPSec برای VPN های سایت به سایت ارجحیت دارد و SSL برای دسترسی از راه دور بهتر است. دلیل این امر این است که IPSec در شبکه لایه ای از مدل OSI فعالیت می کند ، که بدون در نظر گرفتن برنامه کاربردی ، دسترسی کامل به شبکه شرکت ها را به کاربر می دهد. محدود کردن دسترسی به منابع خاص دشوارتر است. از طرف دیگر SSL VPN ، شرکتها را قادر می سازد تا دسترسی از راه دور را در یک سطح دانه ای برای برنامه های خاص کنترل کنند.

امنیت اینترنتی

سرپرستان شبکه که VPN دارند ، تمایل دارند مدیریت SSL را آسانتر و وقت گیرتر با SSL پیدا کنند تا IPSec.

IPSec vs SSL VPN: نتیجه گیری

در کل ، برای کاربران VPN که هر دو گزینه را دارند ، توصیه می کنیم ابتدا برای IKEv2 / IPSec بروید ، سپس در صورت بروز هرگونه مشکل ، به OpenVPN بروید. سرعتی که IKEv2 قادر به مذاکره و برقراری اتصالات است ، بهبود کیفیت زندگی ملموس تری را برای میانگین ، کاربر روزمره VPN در حالی ارائه می دهد که دارای امنیت و سرعت قابل قبولی هستند ، اما ممکن است تحت هر شرایطی کار نکند..

OpenVPN / SSL تا همین اواخر بهترین ترکیب VPN برای اکثر کاربران VPN مصرف کننده در نظر گرفته می شد. OpenVPN ، که از کتابخانه OpenSSL برای رمزگذاری و تأیید اعتبار استفاده می کند ، از نظر منطقی سریع ، بسیار ایمن ، منبع باز است و می تواند از دیواره های آتش NAT عبور کند. این پروتکل می تواند از پروتکل UDP یا TCP پشتیبانی کند.

IKEv2 / IPSec یک چالش جدید برای OpenVPN ارائه می دهد و در پروتکل های L2TP و دیگر IPSec مبتنی بر IPSec با اتصالات سریع تر ، ثبات بیشتر و پشتیبانی داخلی در اکثر دستگاه های مصرف کننده جدید ، بهبود می یابد..

SSL و IPSec هر دو دارای شجره نامه های امنیتی قوی با سرعت ، مقایسه با توان مصرفی و سهولت استفاده برای بیشتر مشتریان خدمات VPN تجاری هستند..

"IPsec in netwerklaag" توسط سوفیان حمداوی دارای مجوز تحت CC BY-SA 3.0

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me

About the author

Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.

Leave a Reply

Your email address will not be published. Required fields are marked *

25 − = 18