Objašnjeno VPN šifriranje: IPSec vs SSL

IPSec vs SSL

Mnoštvo drugih članaka vani uspoređuje i uspoređuje IPSec i SSL VPN-ove iz perspektive mrežnog administratora koji ih mora postaviti. Ovaj članak, međutim, istražit će kako glavni komercijalni VPN davatelji koriste SSL i IPSec u svojim potrošačkim uslugama, koji su namijenjeni pružanju pristupa internetu, a ne korporativnoj mreži.

VPN protokoli koji se koriste IPSec enkripcija uključuje L2TP, IKEv2 i SSTP. OpenVPN je najpopularniji protokol koji koristi SSL enkripciju, posebno knjižnicu OpenSSL. SSL se koristi i u nekim VPN-ovima koji se temelje na pregledniku.

Ovaj članak uspoređuje i uspoređuje IPSec i SSL šifriranje sa stajališta krajnjeg korisnika VPN-a. Ako želite temeljnije objašnjenje dva protokola, pogledajte naš detaljni vodič o uobičajenim vrstama šifriranja.

Osnove šifriranja VPN-a

VPN enkripcija skenira sadržaj vašeg internetskog prometa na takav način da ga je moguće isključiti (dešifrirati) samo pomoću ispravne tipke. Izlazni podaci šifriraju se prije nego što napuste uređaj. Zatim se šalju na VPN poslužitelj, koji dešifrira podatke odgovarajućim ključem. Odatle se vaši podaci šalju na odredište, poput web stranice. Šifriranje onemogućuje svima koji slučajno presreću podatke između vas i VPN poslužitelja - davatelja internetskih usluga, vladine agencije, wifi hakere, itd. - da mogu dešifrirati sadržaj.

Dolazni promet prolazi kroz isti proces obrnuto. Ako podaci dolaze s web stranice, oni prvo idu na VPN poslužitelj. VPN poslužitelj šifrira podatke, a zatim ih šalje vašem uređaju. Vaš uređaj zatim dešifrira podatke kako biste normalno mogli vidjeti web mjesto.

Sve to osigurava da internetski podaci VPN korisnika ostaju privatni i da su izvan svih neovlaštenih strana.

Razlike između različitih vrsta enkripcije uključuju:

  • Snaga enkripcije ili metoda i stupanj kod kojeg se vaši podaci kodiraju
  • Kako se upravljaju i razmjenjuju ključevi za šifriranje
  • Koja sučelja, protokoli i portove koriste
  • Na kojim se OSI slojevima izvode
  • Jednostavnost upotrebe
  • Izvedba (čitaj: brzina)

sigurnosti

Ukratko: Blagi rub u korist SSL-a.

IPSec veze trebaju postojati unaprijed podijeljeni ključ i na klijentu i na poslužitelju kako bi se šifrirali i međusobno slali promet. Razmjena ovog ključa omogućuje napadaču da ispuca ili ugrabi unaprijed podijeljeni ključ.

SSL VPN-ovi nemaju ovaj problem jer koriste kriptografiju javnog ključa za dogovore o rukovanju i sigurnu razmjenu ključeva za šifriranje. Ali TLS / SSL ima dugačak popis vlastitih ranjivosti poput Heartbleed-a.

Neki SSL VPN-ovi omogućuju nepouzdani, samopotpisani certifikati i ne provjeru klijenata. To je posebno uobičajeno za proširenja SSL VPN preglednika "bez klijenta". Ovi VPN-ovi koji omogućuju bilo kome povezivanje sa bilo kojeg stroja ranjivi su prema napadima čovjeka u sredini (MITM). Međutim, to nije slučaj s većinom izvornih klijenata OpenVPN-a.

SSL obično zahtijeva učestalije zakrpe da bi bili u tijeku, i za poslužitelj i za klijenta.

Nedostatak otvorenog koda za VPN protokole temeljene na IPSec-u može biti briga za ljude oprezne vladine špijune i snoopere. U 2013. godini, Edward Snowden otkrio je da je program Bullrun američke Agencije za nacionalnu sigurnost aktivno pokušao "umetnuti ranjivosti u komercijalne sustave šifriranja, IT sustave, mreže i komunikacijske uređaje krajnjih točaka koje koriste ciljevi." NSA je navodno ciljao IPSec da doda zaledje i bočne kanale koji mogli bi iskoristiti hakeri.

Na kraju, snažna sigurnost je vjerojatnije rezultat vještih i pažljivih mrežnih administratora, a ne izbora protokola.

Obilazak vatrozida

Ukratko: VPN-ovi temeljeni na SSL-u općenito su bolji za zaobilaženje vatrozida.

NAT vatrozidi često postoje na wifi usmjerivačima i drugom mrežnom hardveru. Da bi se zaštitili od prijetnji, izbacuju svaki internetski promet koji nije prepoznat, uključujući pakete podataka bez brojeva priključaka. Šifrirani IPSec paketi (ESP paketi) nemaju zadane brojeve priključaka, što znači da se mogu uhvatiti u NAT firewall. Ovo može spriječiti da IPSec VPN-ovi rade.

IPSec-esp.svg

Da bi se to zaobišlo, mnogi IPSec VPN-ovi zakriljevaju ESP pakete unutar UDP paketa, tako da se podacima dodjeljuje broj UDP porta, obično UDP 4500. Iako ovo rješava problem NAT-a, vatrozid mreže neće dopustiti pakete na tom ulazu. Mrežni administratori u hotelima, zračnim lukama i drugim mjestima mogu dopustiti promet samo u nekoliko potrebnih protokola, a UDP 4500 možda nije među njima.

SSL promet može putovati preko priključka 443, što većina uređaja prepoznaje kao port koji se koristi za siguran HTTPS promet. Gotovo sve mreže omogućuju HTTPS promet na priključku 443, pa možemo pretpostaviti da je otvoren. OpenVPN zadani ulaz koristi 1194 za UDP promet, ali može se prosljeđivati ​​ili preko UDP ili TCP portova, uključujući TCP port 443. Ovo čini SSL je korisniji za zaobilaženje vatrozida i drugih oblika cenzure koji blokiraju promet na temelju portova.

Brzina i pouzdanost

Ukratko: Oba su relativno brza, ali IKEv2 / IPSec najbrže dogovara veze.

Većini VPN protokola utemeljenih na IPSecu potrebno je više vremena za pregovaranje veze nego protokola utemeljenih na SSL-u, ali to nije slučaj s IKEv2 / IPSec.

IKEv2 je VPN protokol temeljen na IPSec-u koji postoji već više od desetljeća, ali sada je u trendu među VPN davateljima. Pokretanje implementacije njegova je sposobnost brzog i pouzdanog povezivanja svaki put kad se prekine VPN veza. To ga čini posebno korisnim za mobilne korisnike iOS-a i Android-a koji nemaju pouzdane veze ili one koji često prebacuju između mobilnih podataka i wifija.

Što se tiče stvarne propusnosti, to je poguranje. Vidjeli smo argumente s obje strane. U postu na blogu, NordVPN navodi da IKEv2 / IPSec može ponuditi brži protok od rivala poput OpenVPN-a. Oba protokola obično koriste 128-bitnu ili 256-bitnu AES šifru.

Dodatni UDP sloj koji mnogi davatelji postavljaju na IPSec promet kako bi mu pomogli da pređe vatrozidove dodatno povećava troškove, što znači da zahtijeva više resursa za obradu. Ali većina ljudi neće primijetiti razliku.

Na većini potrošačkih VPN-a propusnost je u većoj mjeri određena zagušenjima poslužitelja i mreže, a ne VPN protokolom.

Vidi također: Najbrži VPN-ovi

Jednostavnost korištenja

Ukratko: IPSec je univerzalniji, ali većina korisnika koji koriste aplikacije pružatelja VPN neće primijetiti veliku razliku.

IKEv2, SSTP i L2TP ugrađeni su u IPSec temeljene VPN protokole na većini glavnih operativnih sustava, što znači da za pokretanje i pokretanje nije potrebna dodatna aplikacija. Međutim, većina korisnika potrošačkih VPN-a i dalje će koristiti davateljevu aplikaciju za povezivanje.

cyberhost protokoli

SSL djeluje prema zadanim postavkama u većini web preglednika, ali za upotrebu OpenVPN-a obično je potrebna aplikacija treće strane. Ponovo se za to obično brine aplikacija VPN davatelja usluga.

Prema našem iskustvu, IKEv2 nastoji pružiti više besprijekorno iskustvo od OpenVPN-a sa stajališta krajnjeg korisnika. To je uglavnom zbog činjenice da IKEv2 brzo povezuje i rukuje prekide. Kako je rečeno, OpenVPN ima tendenciju da bude svestraniji i može bolje odgovarati korisnicima koji ne mogu postići IKEv2 ono što žele.

Kad je riječ o korporativnim VPN-ovima koji pružaju pristup mrežama tvrtke, a ne Internetu, opći konsenzus je da je IPSec poželjniji za VPN-ove s web-mjesta, a SSL bolji za daljinski pristup. Razlog je taj što IPSec djeluje na mrežnom sloju OSI modela koji korisniku daje potpuni pristup korporacijskoj mreži bez obzira na primjenu. Teže je ograničiti pristup određenim resursima. SSL VPN-ovi, s druge strane, omogućuju tvrtkama da kontroliraju daljinski pristup na detaljnoj razini određenim aplikacijama.

Internetprotocolsecurity

Mrežni administratori koji upravljaju VPN-ovima teže su pronalaženju upravljanja klijentima puno lakšim i manje vremena za SSL nego za IPSec.

IPSec vs SSL VPN-ovi: zaključak

Sve u svemu, za VPN korisnike koji imaju obje mogućnosti, preporučujemo da prvo potraže IKEv2 / IPSec, a zatim prijeđite na OpenVPN u slučaju bilo kakvih problema. Brzina kojom IKEv2 može pregovarati i uspostaviti veze ponudit će opipljivije poboljšanje kvalitete života prosječnom, svakodnevnom VPN korisniku, istovremeno nudeći usporedivu sigurnost i brzinu, ali možda neće raditi u svim okolnostima.

OpenVPN / SSL se donedavno smatrao najboljom VPN kombinacijom za većinu korisnika potrošačkih VPN-a. OpenVPN, koji koristi knjižnicu OpenSSL za šifriranje i provjeru autentičnosti, razumno je brz, vrlo siguran, otvorenog koda i može prolaziti kroz NAT zaštitne zidove. Može podržati ili UDP ili TCP protokol.

IKEv2 / IPSec predstavlja novi izazov za OpenVPN, poboljšavajući na L2TP i ostalim protokolima temeljenim na IPSec, bržim vezama, većom stabilnošću i ugrađenom podrškom na većini novijih potrošačkih uređaja.

SSL i IPSec oboje su snažni sigurnosni pedigrei s usporedivom brzinom protoka, sigurnošću i lakoćom korištenja za većinu korisnika komercijalnih VPN usluga.

"IPsec u mrežnom bloku" tvrtke Soufiane Hamdaoui licenciran pod CC BY-SA 3.0

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

49 − = 44

Adblock
detector