Објашњено ВПН шифровање: ИПСец вс ССЛ

ИПСец вс ССЛ


Много других чланака вани упоређују и успоређују ИПСец и ССЛ ВПН-ове из перспективе мрежног администратора који их мора поставити. Овај чланак, међутим, испитаће како главни комерцијални ВПН провајдери користе ССЛ и ИПСец у својим потрошачким услугама, који су намијењени да омогуће приступ интернету, а не корпоративној мрежи.

ВПН протоколи који се користе ИПСец енкрипција укључује Л2ТП, ИКЕв2 и ССТП. ОпенВПН је најпопуларнији протокол који користи ССЛ шифрирање, конкретно ОпенССЛ библиотека. ССЛ се користи и у неким ВПН-овима заснованим на прегледачу.

Овај чланак упоређује и успоређује ИПСец и ССЛ шифрирање са становишта крајњег корисника ВПН-а. Ако желите темељније објашњење ова два протокола, погледајте наш детаљни водич о уобичајеним врстама шифровања.

Основе шифрирања ВПН-а

ВПН шифрирање шифрира садржај вашег интернетског промета на такав начин да га је могуће искључити (дешифрирати) само помоћу исправног кључа. Излазни подаци се шифрују пре него што напусте уређај. Затим се шаљу на ВПН сервер, који дешифрује податке одговарајућим кључем. Одатле се ваши подаци шаљу на одредиште, као што је веб локација. Шифрирање спречава да неко ко пресретне податке између вас и ВПН сервера - интернет провајдера, владиних агенција, вифи хакера, итд., Није у стању да дешифрује садржај.

Долазни промет пролази кроз исти процес обрнуто. Ако подаци долазе са веб локације, прво прелазе на ВПН сервер. ВПН сервер шифрира податке, а затим их шаље вашем уређају. Ваш уређај затим дешифрује податке да бисте нормално могли да прегледате веб локацију.

Све ово осигурава да интернетски подаци ВПН корисника остају приватни и да су изван њихових овлаштења.

Разлике између различитих врста шифрирања укључују:

  • Снага енкрипције или метода и степен до кога се подаци кодирају
  • Како се управљају и размјењују кључеви за шифровање
  • Које интерфејсе, протоколе и портове користе
  • На којим ОСИ слојевима се покрећу
  • Једноставност употребе
  • Перформансе (читај: брзина)

Сигурност

Укратко: Блага ивица у корист ССЛ-а.

ИПСец везе захтевају да постоји и заједнички кључ како на клијенту тако и на серверу да би се шифровали и међусобно слали саобраћај. Размјена овог кључа нападачу нуди прилику да испуца или закупи претходно подијељени кључ.

ССЛ ВПН-ови немају овај проблем јер користе криптографију јавног кључа за преговарање о руковању и сигурну размену кључева за шифровање. Али ТЛС / ССЛ има дугу листу сопствених рањивости попут Хеартблеед-а.

Неки ССЛ ВПН омогућавају непоуздане, самопотписане цертификате и не верификују клијенте. Ово је нарочито уобичајено код проширења ССЛ ВПН претраживача без клијента. Ови ВПН-ови који омогућавају било коме да се повеже са било које машине су рањиви на нападе човека у средини (МИТМ). Међутим, то није случај са већином нативних клијената ОпенВПН-а.

ССЛ обично захтева чешће закрпе да буду у току како за сервер тако и за клијента.

Недостатак отвореног кода за ВПН протоколе засноване на ИПСец-у може бити брига за људе опрезне владиним шпијунима и сноповима. У 2013. години, Едвард Сновден открио је да је програм Буллрун америчке Агенције за националну безбедност активно покушао да "убаци рањивости у комерцијалне системе шифровања, ИТ системе, мреже и комуникацијске уређаје крајњих тачака које користе циљеви." НСА је наводно циљао ИПСец да дода заледје и бочне канале који хакери могу да га искористе.

На крају, јака безбедност је вероватније резултат вештих и пажљивих мрежних администратора, а не избора протокола.

Траверза фиревалл-а

Укратко: ВПН-ови засновани на ССЛ-у су углавном бољи за заобилажење фиревалл-а.

НАТ заштитни зидови често постоје на вифи рутерима и другом мрежном хардверу. Да би се заштитили од претњи, избацују сваки Интернет промет који није препознат, укључујући пакете података без бројева портова. Шифрирани ИПСец пакети (ЕСП пакети) немају задане бројеве портова, што значи да се могу ухватити у НАТ заштитне зидове. Ово може спречити ИПСец ВПН-ове да раде.

Ипсец-есп.свг

Да би се ово заобишло, многи ИПСец ВПН-ови обухваћају ЕСП пакете унутар УДП пакета, тако да се подацима додељује број УДП порта, обично УДП 4500. Иако ово решава НАТ проблем проласка, ваш мрежни заштитни зид можда неће дозволити пакете на том улазу. Мрежни администратори у хотелима, аеродромима и другим местима могу дозволити саобраћај само по неколико тражених протокола, а УДП 4500 можда није међу њима.

ССЛ саобраћај може путовати преко порта 443, што већина уређаја препознаје као порт који се користи за безбедан ХТТПС саобраћај. Скоро све мреже омогућавају ХТТПС саобраћај на прикључку 443, па можемо претпоставити да је отворен. ОпенВПН подразумевано користи порт 1194 за УДП саобраћај, али може да се прослеђује или преко УДП или ТЦП портова, укључујући ТЦП порт 443. Ово чини ССЛ је кориснији за заобилажење фиревалл-а и других облика цензуре који блокирају саобраћај на основу портова.

Брзина и поузданост

Укратко: Обе су релативно брзе, али ИКЕв2 / ИПСец преговара о везама најбрже.

Већини ВПН протокола заснованих на ИПСец потребно је дуже да преговарају о вези него протоколи засновани на ССЛ-у, али то није случај са ИКЕв2 / ИПСец.

ИКЕв2 је ВПН протокол заснован на ИПСец-у који постоји већ више од деценије, али сада је у тренду међу ВПН провајдерима. Покретање његове имплементације је његова способност брзог и поузданог поновног повезивања кад год се прекине ВПН веза. То га чини посебно корисним за мобилне иОС и Андроид клијенте који немају поуздане везе или оне који често пребацују између мобилних података и вифи-ја.

Што се тиче стварне пропусности, то је бацање горе. Видели смо аргументе са обе стране. У посту на блогу НордВПН наводи да ИКЕв2 / ИПСец може понудити бржи проток од ривала као што је ОпенВПН. Оба протокола обично користе или 128-битну или 256-битну АЕС шифру.

Додатни УДП слој који многи провајдери постављају на ИПСец саобраћају како би му помогли да пређе заштитне зидове додаје додатне трошкове, што значи да треба више ресурса за обраду. Али већина људи неће приметити разлику.

На већини потрошачких ВПН-а пропусност је у великој мјери одређена залагањем сервера и мреже, а не ВПН протоколом.

Такође видети: Најбржи ВПН-ови

Лакоћа коришћења

Укратко: ИПСец је универзалнији, али већина корисника који користе апликације ВПН провајдера неће приметити велику разлику.

ИКЕв2, ССТП и Л2ТП су уграђени ВПН протоколи засновани на ИПСец-у на већини главних оперативних система, што значи да за покретање и покретање није потребна додатна апликација. Међутим, већина корисника потрошачких ВПН-а и даље ће користити провајдерову апликацију за повезивање.

циберхост протоколи

ССЛ функционише подразумевано у већини веб прегледача, али за коришћење ОпенВПН-а обично је потребна трећа апликација. Опет, за ово се обично брине апликација ВПН провајдера.

Према нашем искуству, ИКЕв2 има тенденцију да нуди неприметније искуство од ОпенВПН-а са становишта крајњег корисника. То је углавном због чињенице да ИКЕв2 брзо повезује и рукује прекиде. Како је речено, ОпенВПН има тенденцију да буде свестранији и можда боље одговара корисницима који не могу да постигну оно што желе са ИКЕв2.

Када су у питању корпоративни ВПН-ови који пружају приступ компанијској мрежи а не интернету, општи консензус је да је ИПСец пожељнији за ВПН-ове са локације, а ССЛ је бољи за даљински приступ. Разлог је тај што ИПСец дјелује на мрежном слоју ОСИ модела, што кориснику омогућава потпуни приступ корпоративној мрежи без обзира на апликацију. Теже је ограничити приступ одређеним ресурсима. ССЛ ВПНс, с друге стране, омогућавају предузећима да на прецизан начин контролирају даљински приступ одређеним апликацијама.

Интернетпротоцолсецурити

Мрежни администратори који управљају ВПН-ом имају тенденцију да управљање клијентима буде много лакше и мање времена за ССЛ него за ИПСец.

ИПСец вс ССЛ ВПНс: закључак

Све у свему, за ВПН кориснике који имају обе опције, препоручујемо да прво потраже ИКЕв2 / ИПСец, а затим се окрену ка ОпенВПН ако се појаве проблеми. Брзина којом ИКЕв2 може преговарати и успоставити везе понудит ће опипљивије побољшање квалитета живота просјечном, свакодневном ВПН кориснику, истовремено нудећи упоредиву сигурност и брзину, али можда неће радити у свим околностима.

ОпенВПН / ССЛ се донедавно сматрао најбољом ВПН комбинацијом за већину корисника потрошачких ВПН-а. ОпенВПН, који користи ОпенССЛ библиотеку за шифровање и аутентификацију, је релативно брз, врло сигуран, опен соурце и може прећи НАТ фиревалл. Може да подржава или УДП или ТЦП протокол.

ИКЕв2 / ИПСец представља нови изазов за ОпенВПН, побољшавајући на Л2ТП и осталим протоколима заснованим на ИПСец-у, брже везе, више стабилности и уграђену подршку на већини новијих потрошачких уређаја.

ССЛ и ИПСец се одликују снажним сигурносним педигреима упоредивом брзином пропусности, сигурношћу и лакоћом коришћења за већину клијената комерцијалних ВПН услуга.

„ИПсец ин нетверклааг“ компаније Соуфиане Хамдаоуи лиценциран под ЦЦ БИ-СА 3.0

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me

About the author

Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.

Leave a Reply

Your email address will not be published. Required fields are marked *

54 − = 48