VPN криптиране обяснено: IPSec срещу SSL

IPSec срещу SSL

Множество други статии там сравняват и сравняват IPSec и SSL VPN от гледна точка на мрежовия администратор, който трябва да ги настрои. Тази статия обаче ще разгледа как основните търговски VPN доставчици използват SSL и IPSec в своите потребителски услуги, които са предназначени да осигурят достъп до мрежата, а не корпоративна мрежа.

VPN протоколи, които използват Криптирането на IPSec включва L2TP, IKEv2 и SSTP. OpenVPN е най-популярният протокол, който използва SSL криптиране, конкретно библиотеката на OpenSSL. SSL се използва и в някои базирани на браузъра VPN.

Тази статия сравнява и противопоставя IPSec и SSL криптиране от гледна точка на крайния потребител на VPN. Ако искате по-фундаментално обяснение на двата протокола, проверете нашето задълбочено ръководство за често срещаните типове криптиране.

Основите на VPN криптирането

VPN криптирането сканира съдържанието на вашия интернет трафик по такъв начин, че да може да се разкодира (дешифрира) само с помощта на правилния ключ. Изходящите данни се кодират, преди да напуснат устройството ви. След това се изпраща до VPN сървъра, който дешифрира данните със съответния ключ. Оттам вашите данни се изпращат до местоназначението му, като уебсайт. Шифроването пречи на всеки, който се случи да пресече данните между вас и VPN сървъра - доставчици на интернет услуги, правителствени агенции, хакери на wifi и т.н., да може да дешифрира съдържанието.

Входящият трафик преминава през същия процес в обратен ред. Ако данните идват от уебсайт, те първо отиват на VPN сървъра. VPN сървърът криптира данните, след което ги изпраща на вашето устройство. След това вашето устройство дешифрира данните, за да можете да преглеждате уебсайта нормално.

Всичко това гарантира, че интернет данните на VPN потребителите остават лични и извън ръцете на неоторизирани страни.

Разликите между различните типове криптиране включват:

  • Сила на шифроване или методът и степента, до които вашите данни се кодират
  • Как се управляват и обменят ключовете за криптиране
  • Какви интерфейси, протоколи и портове използват
  • На какви слоеве OSI работят
  • Лесно разгръщане
  • Производителност (четете: скорост)

Сигурност

Накратко: Лек ръб в полза на SSL.

Връзките на IPSec изискват да съществува предварително споделен ключ както на клиента, така и на сървъра, за да се криптира и изпраща трафик един към друг. Размяната на този ключ представлява възможност за нападател да пробие или захване предварително споделения ключ.

SSL VPN мрежите нямат този проблем, защото използват криптография с публичен ключ, за да договорят ръкостискане и сигурно да обменят кодове за криптиране. Но TLS / SSL има дълъг списък със собствени уязвимости като Heartbleed.

Някои SSL VPN разрешават ненадеждни, самоподписани сертификати и не проверяват клиенти. Това е особено често при разширения на SSL VPN браузъри без клиенти. Тези VPN мрежи, които позволяват на всеки да се свърже от която и да е машина, са уязвими за атаки човек в средата (MITM). Това обаче не е така при повечето местни клиенти на OpenVPN.

SSL обикновено изисква по-чести корекции, за да бъдат актуални както за сървъра, така и за клиента.

Липсата на код с отворен код за базирани на IPSec VPN протоколи може да е проблем за хората, които се грижат за правителствените шпиони и снупери. През 2013 г. Едуард Сноудън разкри, че програмата Bullrun на Агенцията за национална сигурност на САЩ активно се опитва да „вкара уязвими места в търговски системи за криптиране, ИТ системи, мрежи и комуникационни устройства за крайни точки, използвани от цели“. може да бъде експлоатирана от хакери.

В крайна сметка силната сигурност е по-вероятно резултат от квалифицирани и внимателни мрежови администратори, а не от избор на протокол.

Преминаване на защитна стена

Накратко: VPN-базирани на SSL обикновено са по-добри за заобикаляне на защитни стени.

NAT защитните стени често съществуват на wifi рутери и друг мрежов хардуер. За да се предпазят от заплахи, те изхвърлят всеки неприпознат интернет трафик, включително пакети данни без номера на порта. Шифрованите IPSec пакети (ESP пакети) нямат по подразбиране номера на портове, което означава, че могат да се хванат в NAT защитните стени. Това може да попречи на IPSec VPN да работят.

IPSec-esp.svg

За да се преодолее това, много IPSec VPNs капсулират ESP пакети вътре UDP пакети, така че на данните се присвоява номер на UDP порт, обикновено UDP 4500. Докато това решава проблема с NAT траверса, вашата мрежова защитна стена може да не позволява пакети на този порт. Мрежовите администратори в хотели, летища и други места могат да позволяват трафик само при няколко необходими протокола и UDP 4500 може да не е сред тях.

SSL трафикът може да пътува през порт 443, който повечето устройства разпознават като порт, използван за сигурен HTTPS трафик. Почти всички мрежи позволяват HTTPS трафик на порт 443, така че можем да предположим, че е отворен. OpenVPN използва порт 1194 по подразбиране за UDP трафик, но той може да бъде препратен през UDP или TCP портове, включително TCP порт 443. Това прави SSL по-полезен за заобикаляне на защитни стени и други форми на цензура които блокират трафика въз основа на портове.

Скорост и надеждност

Накратко: И двете са сравнително бързи, но IKEv2 / IPSec договаря връзки най-бързо.

Повечето базирани на IPSec VPN протоколи отнемат повече време за договаряне на връзка, отколкото SSL-базирани протоколи, но това не е така с IKEv2 / IPSec.

IKEv2 е базиран на IPSec VPN протокол, който съществува вече повече от десетилетие, но сега е в тенденция сред доставчиците на VPN. Задвижването на неговото внедряване е способността му бързо и надеждно да се свързва отново, когато VPN връзката е прекъсната. Това го прави особено полезен за мобилни клиенти на iOS и Android, които нямат надеждни връзки или такива, които често превключват между мобилни данни и wifi.

Що се отнася до реалната производителност, това е хвърляне. Виждахме аргументи и от двете страни. В своя публикация в блога NordVPN заявява, че IKEv2 / IPSec може да предложи по-бърза производителност от конкуренти като OpenVPN. И двата протокола обикновено използват 128-битов или 256-битов AES шифър.

Допълнителният UDP слой, който много доставчици влагат на трафик на IPSec, за да му помогне да преминава през защитните стени, добавя допълнителни разходи, което означава, че изисква повече ресурси за обработка. Но повечето хора няма да забележат разлика.

При повечето потребителски VPN пропускателната способност се определя до голяма степен от задръстванията на сървъра и мрежата, а не от VPN протокола.

Вижте също: Най-бързи VPN

Лесна употреба

Накратко: IPSec е по-универсален, но повечето потребители, които използват приложения на VPN доставчици, няма да забележат огромна разлика.

IKEv2, SSTP и L2TP са вградени VPN протоколи, базирани на IPSec, в повечето основни операционни системи, което означава, че не е задължително да се изисква допълнително приложение, за да стартирате и стартирате. Повечето потребители на потребителски VPN все пак ще използват приложението на доставчика, за да се свържат.

cyberghost протоколи

SSL работи по подразбиране в повечето уеб браузъри, но обикновено е необходимо приложение на трети страни, за да се използва OpenVPN. Отново за това обикновено се грижи приложението на доставчика на VPN.

Според нашия опит IKEv2 е склонен да предложи по-безпроблемно преживяване от OpenVPN от гледна точка на крайния потребител. Това до голяма степен се дължи на факта, че IKEv2 се свързва и се справя с прекъсванията бързо. Като се има предвид, OpenVPN е по-универсален и може да бъде по-подходящ за потребители, които не могат да постигнат това, което искат с IKEv2.

Когато става дума за корпоративни VPN, които предоставят достъп до фирмена мрежа, а не до интернет, общият консенсус е, че IPSec е за предпочитане за VPN от сайт към сайт, а SSL е по-добър за отдалечен достъп. Причината е, че IPSec работи на мрежовия слой на OSI модела, което дава на потребителя пълен достъп до корпоративната мрежа, независимо от приложението. По-трудно е да се ограничи достъпа до конкретни ресурси. SSL VPN, от друга страна, позволяват на предприятията да контролират отдалечен достъп на гранулирано ниво до конкретни приложения.

Internetprotocolsecurity

Мрежовите администратори, които работят с VPN, са склонни да намерят управление на клиентите много по-лесно и по-малко отнема време с SSL, отколкото с IPSec.

IPSec срещу SSL VPN: заключение

Като цяло, за потребители на VPN, които имат и двете опции, препоръчваме първо да отидете за IKEv2 / IPSec, след което да се обърнете към OpenVPN, ако възникнат проблеми. Скоростта, с която IKEv2 е в състояние да договаря и установява връзки, ще предложи по-осезаемо подобрение на качеството на живот за средния, всекидневен VPN потребител, като същевременно предлага сравнима сигурност и скорост, но може да не работи при всякакви обстоятелства.

OpenVPN / SSL доскоро се смяташе за най-добрата VPN комбинация за повечето потребители на потребителски VPN. OpenVPN, който използва библиотеката OpenSSL за криптиране и удостоверяване, е сравнително бърз, много сигурен, с отворен код и може да преминава през NAT защитни стени. Той може да поддържа или UDP или TCP протокол.

IKEv2 / IPSec представя нов предизвикател на OpenVPN, подобрявайки се на L2TP и други IPSec базирани протоколи с по-бързи връзки, повече стабилност и вградена поддръжка на повечето по-нови потребителски устройства.

И SSL, и IPSec се гордеят със силни родословия за сигурност със съпоставима скорост на пропускане, сигурност и лекота на използване за повечето клиенти на търговски VPN услуги.

„IPsec in de netwerklaag“ от Soufiane Hamdaoui, лицензиран съгласно CC BY-SA 3.0

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

29 − 20 =

Adblock
detector