PPTP срещу. L2TP: Каква е разликата

Contents

Решението е перфектна секретност напред. Това е система, при която се генерира нов и уникален частен ключ за криптиране за всяка сесия. Това е проста идея, дори ако математиката на Diffie-Hellman Exchange е сложна. Това означава, че всяка TLS сесия има свой набор от клавиши. Оттук и терминът “ефемерни ключове” – те се използват веднъж и след това изчезват.

OpenVPN срещу IKEV2 срещу PPTP срещу L2TP/IPSEC срещу SSTP – Ultimate Guide to VPN криптиране

Виртуалната частна мрежа (VPN) криптира всички данни, докато пътува между вашия компютър и VPN сървър. В това цялостно ръководство за криптиране на VPN разглеждаме подробно какво е криптиране и как се използва в VPN връзки.

Може би най -важното е, че ще обясним масива от термини за криптиране, използвани от VPN услуги. Надяваме се, че след като прочетохме това ръководство, ще имате по -голямо разбиране на този сложен предмет и че ще можете да оцените по -добре да оцените исковете за сигурност, направени от доставчиците на VPN.

Предварителни

Ако не сте сигурни какво е VPN и какво може да направи за вас, моля, разгледайте нашите VPN за ръководството за начинаещи.

Нашата цел е да представим ключовите характеристики на VPN криптирането в възможно най -прости условия. Въпреки че няма да се измъкнете, от факта, че криптирането е сложен предмет.

Ако дори терминът криптиране кара очите ви да започнат да се остъкляват, но все пак искате да знаете какво да внимавате в добра VPN услуга, можете да скочите направо към обобщения, като използвате съдържанието на съдържанието.

Какво е криптиране?

“Започнете в началото”, каза кралят много сериозно “и продължете, докато стигнете до края: след това спрете.”

Люис Карол, Алиса в страната на чудесата

Най -простата аналогия е, че криптирането е заключване. Ако имате правилния ключ, тогава ключалката е лесно да се отвори. Ако някой няма правилния ключ, но иска да получи достъп до съдържанието на strongbox (тоест вашите данни), защитено от това заключване, тогава може да се опита да счупи ключалката.

По същия начин, по който ключалката за осигуряване.

Ако искате VPN с най -силно криптиране, вижте най -сигурния ни списък с VPNS за повече информация.

Основите

Когато бяхте дете, играли ли сте някога играта, в която сте създали „тайно съобщение“, като замените една буква от съобщението с друга? Замяната е направена по формула, подбрана от вас.

Може например да замените всяка буква от оригиналното съобщение с една три букви зад него в азбуката. Ако някой друг знаеше каква е тази формула или успя да го изработи, тогава ще могат да прочетат вашето „тайно съобщение.”

В криптографския жаргон това, което правехте, беше „криптиране“ на съобщението (данните) според много прост математически алгоритъм. Криптографите наричат ​​тази формула като “шифър.„За да го декриптирате, имате нужда от ключа. Това е променлив параметър, който определя крайния изход на шифъра. Без този параметър е невъзможно да се декриптира шифъра.

Ако някой иска да прочете криптирано съобщение, но няма ключа, тогава трябва да се опита да “напука” шифъра. Когато криптирането използва обикновен шифър за заместване на буквата, напукване е лесно. Шифроването може да бъде направено по -сигурно, като се направи математическият алгоритъм (шифърът) по -сложен.

Можете например да замените всяка трета буква от съобщението с число, съответстващо на буквата.

Дължина на клавиша за криптиране

Съвременните компютърни шифри са много сложни алгоритми. Дори и с помощта на суперкомпютри, те са много трудни за напукване, ако не и невъзможни за всички практически цели. Най -грубият начин за измерване на силата на шифъра е чрез сложността на алгоритъма, използван за създаването му.

Колкото по -сложен е алгоритъмът, толкова по -трудно е шифърът да се напука, използвайки това, което наричаме груба сила на сила.

Брута атака на сила, ако е много примитивна форма на атака (известна също като изчерпателно търсене на ключове), която по принцип включва опитване на всяка комбинация от възможни числа, докато не бъде намерен правилния ключ.

Компютрите извършват всички изчисления, използвайки двоични числа: нули и такива. Сложността на шифъра зависи от нейния ключов размер на битовете – суровият брой от тези и нули, необходими за изразяване на алгоритъма си, където всяка нула или една е представена с един бит.

Това е известно като ключовата дължина и също така представлява практическата осъществимост на успешно извършване на груба атака на силата срещу всеки даден шифър.

Броят на възможните комбинации (и следователно трудността да ги насили) се увеличава експоненциално с размер на ключове. Използване на шифъра на AES (виж по -късно):

Ключови размери

За да поставим това в перспектива:

  • През 2011 г. най -бързият суперкомпютър в думата беше Fujitsu K. Това беше способно на пиковата скорост на Rmax от 10.51 Petaflops. Въз основа на тази фигура ще отнеме Fujitsu K 1.02 x 10^18 – Около един милиард милиарда (един квинтилион) – години за пробиване на 128 -битов AES (Advanced Encryption Standard) по сила по сила. Това е по -старо от възрастта на Вселената (13.75 милиарда години).
  • Най -мощният суперкомпютър в света сега (2017) е Sunway Taihulight в Китай. Този звяр е способен на пикова скорост от 93.02 Petaflops. Това означава, че най-мощният компютър в света все още ще отнеме около 885 четирилиона години, за да принуди 128-битов AES ключ.
  • Броят на операциите, необходими за груба сила 256-битов шифър, е 3.31 x 10^56. Това е приблизително равно на броя на атомите във Вселената!

Компютърни шифри

Докато дължината на ключовете за криптиране се отнася до количеството сурови числа, шифрите са математиката – действителните формули или алгоритми – използвани за извършване на криптирането. Както току -що видяхме, грубият принуждаващи съвременни компютърни шифри е диво непрактично.

В тези шифрови алгоритми именно слабости (понякога умишлено) могат да доведат до разбиване на криптирането. Това е така, защото изходът на (лошо проектирания) шифър все още може да разкрие някаква структура от оригиналната информация преди криптиране. Това създава намален набор от възможни комбинации, които да опитате, което на практика намалява ефективната дължина на ключа.

Шифърът на Blowfis. Изследването на слабостите в криптографските алгоритми е известно като криптоанализа.

По -дългите ключови дължини компенсират такива слабости, тъй като те значително увеличават броя на възможните резултати.

Вместо да атакува самия шифър, противник може да атакува самия ключ. Това може да повлияе на определен сайт или определен софтуерен продукт. Но сигурността на алгоритъма на шифъра все още е непокътната и други системи, които използват един и същ алгоритъм, но имат сигурно генериране на клавиши, не се влияят от почивката.

Дължина на клавиша с шифър

Колко силен е шифърът зависи както от математиката на самия шифър, плюс ключовата му дължина, както е изразена в бита. Поради тази причина шифрите обикновено се описват заедно с използваната дължина на ключа.

Така че AES-256 (шифърът AES с 256-битова дължина на клавиша) обикновено се счита за по-силен от AES-128. Обърнете внимание, че казвам обикновено Защото тук се занимаваме с много сложна математика (вижте моите бележки за AES по -късно).

Важно е да се отбележи, че самота дължина на ключовете не е добър показател за силата на шифъра. Има значение комбинацията от дължина на ключовете и шифъра. Шифърите, използвани за асиметрично криптиране, например, използват много по -дълги размери на ключовете от тези, използвани за симетрично криптиране, за да осигурят еквивалентна защита.

Сравнение на ключови размери

Тази таблица е малко остаряла, тъй като не взема предвид по -новите атаки, които са открити в RSA. Също така си струва да се отбележи, че вариантите на елиптичната крива и Diffie-Hellman на RSA са много по-силни от традиционните. Но да се надяваме, че получавате идеята.

Едно нещо, което трябва да се отбележи, е, че колкото по -висока е дължината на ключа, толкова повече изчисление включва, така че колкото повече е необходима мощност на обработка. Това се отразява на скоростта, с която данните могат да бъдат криптирани и декриптирани. Следователно VPN доставчиците и подобни трябва да решават как най -добре да балансират сигурността срещу. Практическа използваемост при избора на схеми за криптиране. Има някои VPN доставчици, които са успели да постигнат добре този фин баланс. За повече информация вижте нашето ръководство за бързи VPNS.

Обсъждаме основните шифри, използвани от различни VPN протоколи малко по -късно, но най -често срещаните шифри, които вероятно ще срещнете, са Blowfish и AES. В допълнение към това, RSA се използва за криптиране и декриптиране на ключовете на шифър, а SHA-1 или SHA-2 се използва като хеш функция за удостоверяване на данни.

Асиместрично криптиране

Асиметрично криптиране

Перфектна секретност напред

Perfect Forward Secrecy (PFS) също се нарича използване на ефемерни клавиши за криптиране или просто напред секретност (FS) от тези неудобни с използването на думата “перфектна.”

Най -модерната сигурна онлайн комуникация разчита на SSL/TLS. Използва се от HTTPS уебсайтове и протокол OpenVPN. TLS (Сигурност на транспортния слой) е асиметричен протокол за криптиране. Използването на асиметричен шифър означава, че данните са обезопасени с помощта на публичен ключ, който е предоставен на всички. Той обаче може да бъде декриптиран само от предвиден получател, който притежава правилния частен ключ.

Този частен ключ трябва да се пази в тайна. Ако той е откраднат или напукан от противник, тогава този противник може лесно да пресече и прочете всяка комуникация, обезпечени от него.

За съжаление, за сървърите или дори цели компании е обичайно да използват само един частен ключ за криптиране, за да осигурят всички комуникации. Защо? Защото е лесно. Ако обаче този ключ е компрометиран, нападателят може да получи достъп до всички комуникации, криптирани с него.

Следователно този частен ключ за криптиране се превръща в “главен ключ”, който може да се използва за отключване на всички комуникации със сървър или компания. Известно е,.

Решението е перфектна секретност напред. Това е система, при която се генерира нов и уникален частен ключ за криптиране за всяка сесия. Това е проста идея, дори ако математиката на Diffie-Hellman Exchange е сложна. Това означава, че всяка TLS сесия има свой набор от клавиши. Оттук и терминът “ефемерни ключове” – те се използват веднъж и след това изчезват.

Следователно няма „главен ключ“, който може да бъде експлоатиран. Дори ако сесията е компрометирана, тя е само Тази сесия, която е компрометирана – не всички останали сесии, които някой има с този сървър или компания!

Макар и рядко, дори е възможно да се опреснява PFS ключовете в рамките на сесия (например всеки час). Това допълнително ограничава количеството данни, които могат да бъдат прихванати от противник, дори ако частният ключ е компрометиран.

Когато написах тази статия по темата преди няколко години, използването на перфектна секретност напред както за HTTPS уебсайта, така и за OpenVPN връзки беше ужасно рядко. За щастие тази ситуация се е променила донякъде. Въпреки че в никакъв случай не е универсално, използването на ефемерни ключове значително се е увеличило от късно.

Полезни ръководства

Най -добрите VPN услуги за използване през 2023 г. | Най -добрите VPN доставчици за всички тествани устройства

Най -евтините VPN услуги, ако сте на бюджет

10 най -добри VPN за САЩ, които да се използват през 2023 г

VPN протоколи за криптиране

VPN протокол е набор от инструкции (механизъм), използвани за договаряне на сигурна криптирана връзка между два компютъра. Редица такива VPN протоколи обикновено се поддържат от търговски VPN услуги. Най -забележимите от тях са PPTP, L2TP/IPSEC, OpenVPN, SSTP и IKEV2.

Гледам всеки от тях по -долу, но OpenVPN вече е индустриалният стандартен VPN протокол, използван от търговски VPN услуги – по основателна причина. Той е много сигурен и може да се използва на почти всички устройства, способни на VPN. Следователно ще изразходвам допълнително цифрово мастило, обсъждайки подробно openvpn.

Pptp

ПРОФЕСИОНАЛИСТИ

  • Клиент, вграден в почти всички платформи
  • Много лесно за настройка

Минуси

  • Много несигурен
  • Определено компрометиран от NSA
  • Лесно се блокира

Какво е PPTP?

Това е само VPN протокол и разчита на различни методи за удостоверяване, за да се осигури сигурност. Сред търговските VPN доставчици това е почти неизменно MS-CHAP V2. Протоколът за криптиране (подобен на стандартен шифър), използван от PPTP, е криптиране на Microsoft от точка до точка (MPPE).

Протокол за тунелиране на точка до точка (PPTP) е разработен от консорциум, основана от Microsoft за създаване на VPN през мрежи за набиране. Като такъв, PPTP отдавна е стандартният протокол за корпоративни VPN мрежи.

PPTP се предлага като стандарт за почти всяка VPN платформа и устройство. Лесно е да се настрои, без да е необходимо да се инсталира допълнителен софтуер. Това гарантира, че PPTP остава популярен избор както за бизнес VPN, така и за търговски VPN услуги.

Той също има предимството да изисква ниска изчислителна режийни разходи за изпълнение … така че е бързо!

За съжаление, PPTP не е сигурен. Изобщо. Въпреки че сега обикновено се намират само с помощта на 128-битови клавиши за криптиране, през годините, откакто за първи път е с пакети с Windows 95 OSR2 през 1999 г., редица уязвимости в сигурността се появиха на бял свят.

Най-сериозното от тях е възможността за не-капсулирана MS-CHAP V2 удостоверяване. Използвайки този експлоатация, PPTP е напукан в рамките на два дни. Microsoft е закърпил недостатъка, но самият той е издал препоръка за използване на L2TP/IPSEC или SSTP.

Не трябва да е изненада, че NSA почти сигурно дешифрира PPTP криптирани комуникации като стандарт. Още по -притеснително е, че NSA събра огромни количества от по -стари данни, които бяха криптирани назад, когато PPTP се счита за защитен. Почти сигурно може да дешифрира и тези наследени данни.

PPTP изисква както TCP порт 1723, така и GRE протокол. Лесно е да защитната стена, което улеснява блокирането на PPTP връзки.

L2TP/ipsec

ПРОФЕСИОНАЛИСТИ

  • Обикновено се счита за защитен
  • Лесен за настройка
  • Предлага се на всички съвременни платформи
  • По -бързо от OpenVPN (може би)

Минуси

  • Може да бъдат компрометирани от NSA (недоказано)
  • Вероятно умишлено отслабен от NSA (недоказано)
  • Може да се бори с ограничителни защитни стени
  • Често се прилага лошо

Какво е L2TP и IPSEC?

Протокол за тунелиране на слой 2 (L2TP) е вграден в почти всички съвременни операционни системи и VPN-способни устройства. Следователно е също толкова лесно и бързо да се настрои като PPTP.

Само по себе си L2TP не осигурява криптиране или конфиденциалност на трафика, който преминава през него, така че обикновено се реализира с пакета за удостоверяване на IPSEC (L2TP/IPSEC). Дори ако доставчик се отнася само до L2TP, или IPSEC (както някои правят), това почти сигурно означава L2TP/IPSEC.

L2TP/IPSEC може да използва или 3DES или AES шифри. 3DES е уязвим от атаките за срещи в средата и Sweet32, така че на практика е малко вероятно да го срещнете в наши дни.

Проблемите могат да възникнат, тъй като L2TP/IPSEC протоколът използва само ограничен брой портове. Това може да причини усложнения, когато се използва зад NAT защитни стени. Това разчитане на фиксирани портове също прави протокола доста лесен за блокиране.

L2TP/IPSEC капсулира данните два пъти, което забавя нещата. Това се компенсира от факта, че криптирането/декриптирането се случва в ядрото, а L2TP/IPSEC позволява многократно черене. OpenVPN не. Резултатът е, че L2TP/IPSEC е теоретично По -бързо от OpenVPN.

L2TP/IPSEC с помощта на шифъра AES няма основни известни уязвимости и ако е правилно приложено, все още може да бъде защитено. Откровенията на Едуард Сноудън обаче силно намекнаха за стандарта, който е компрометиран от NSA.

Джон Гилмор е специалист по сигурността и член -основател на Фондация „Електронна граница“. Той обяснява, че е вероятно IPSEC да е бил умишлено отслабен по време на фазата на проектиране.

Вероятно много по -голям проблем е, че много VPN услуги изпълняват L2TP/IPSEC лошо. По-конкретно, те използват предварително споделени ключове (PSK), които могат да бъдат изтеглени свободно от техните уебсайтове.

Тези PSK се използват само за удостоверяване на връзката, така че дори и да са компрометирани, данните остават сигурно криптирани с помощта на AES. Нападателят обаче може да използва предварително споделения ключ, за да представи VPN сървър. След това може да подслушва криптиран трафик или дори да инжектира злонамерени данни във връзката.

Резюме

Въпреки някои до голяма степен теоретични проблеми, L2TP/IPSEC обикновено се счита за защитен, ако не се публикуват открито предварително споделени клавиши. Вградената му съвместимост с много много устройства може да го направи много добър избор.

SSTP

ПРОФЕСИОНАЛИСТИ

  • Много защитен
  • Напълно интегриран в Windows
  • Поддръжка на Microsoft
  • Може да заобиколи повечето защитни стени

Минуси

  • Патентован стандарт, собственост на Microsoft

Какво е SSTP?

SSTP е вид криптиране, което използва SSL 3.0 и предлага подобни предимства на OpenVPN. Това включва възможността за използване на TCP порт 443 за избягване на цензурата. Тесната интеграция с Windows може да улесни използването и по -стабилна от OpenVPN на тази платформа.

За разлика от OpenVPN обаче, SSTP е патентован стандарт, собственост на Microsoft. Това означава, че кодът не е отворен за публичен контрол. Историята на Microsoft за сътрудничество с NSA и спекулации за възможните заден план, вградени в операционната система Windows, не вдъхновяват увереност в стандарта.

Протокол за тунелиране на Secure Socket (SSTP) беше въведен от Microsoft в Windows Vista SP1. Въпреки че вече е достъпен за Linux VPNS и дори Mac OS X, той все още е предимно платформа само за Windows.

Друг проблем е, че SSL V3.0 е уязвим към това, което е известно като атака на пудел, и затова не се препоръчва. Дали този въпрос засяга и SSTP, е неясно, но отново, едва ли вдъхновява увереността.

Резюме

На хартия SSTP предлага много от предимствата на OpenVPN. Като патентован стандарт на Microsoft, обаче, лошо подкопава своята достоверност.

Ikev2

ПРОФЕСИОНАЛИСТИ

  • Бърз
  • Стабилна – Особено при превключване на мрежата или повторно свързване след загубена интернет връзка
  • Сигурно (ако се използва AES)
  • Лесен за настройка (поне в края на потребителя!)
  • Протоколът се поддържа на устройства BlackBerry

Минуси

  • Не се поддържа на много платформи
  • Прилагането на IKEV2 в сървъра е сложно, което е нещо, което потенциално би могло да доведе до разработване на проблеми
  • Доверете се само на реализации с отворен код

Какво е IKEV2?

Интернет ключов обмен версия 2 (IKEV2) е разработена съвместно от Microsoft и Cisco. Той се поддържа на първо място от устройства Windows 7+, BlackBerry и iOS. Ето защо много от iOS VPN услуги използват IKEV2 вместо OpenVPN.

Независимо разработените съвместими версии на IKEV2 са разработени за Linux и други операционни системи. Много от тези итерации са с отворен код. Както винаги, предлагам да внимавате за всичко, разработено от Microsoft. Версиите с отворен код на IKEV2 обаче не трябва да имат проблеми.

IKEV2 е част от IPSec протоколния апартамент. Той гарантира, че трафикът е защитен чрез предаване на атрибута SA (Асоциация за сигурност) в IPSEC и се подобрява на IKEV1 по много начини. По този начин IKEV2 понякога се нарича IKEV2/IPSEC. Ikev1, от друга страна, често се нарича просто като ipsec.

Озаглавен VPN Connect от Microsoft, IKEV2 е особено добър за автоматично възстановяване на VPN връзка, когато потребителите временно губят своите интернет връзки. Например, когато влизате или напускате влаков тунел.

Поради подкрепата си за протокола за мобилност и многообита (Mobike), IKEV2 също е силно издръжлив към променящите се мрежи. Това прави IKEV2 чудесен избор за потребители на мобилни телефони, които редовно превключват между домашни WiFi и мобилни връзки или които редовно се движат между горещи точки.

IKEV2 не е толкова често срещан, колкото L2TP/IPSEC, колкото се поддържа на много по -малко платформи (въпреки че тази ситуация се променя бързо). Той обаче се счита за поне толкова добър, колкото, ако не и по-добър от L2TP/IPSEC по отношение на сигурността, производителността (скоростта), стабилността и способността за установяване (и възстановяване) на връзка с връзка.

Openvpn

ПРОФЕСИОНАЛИСТИ

  • Много защитен (ако се използва PFS)
  • Силно конфигурируем
  • Отворен код
  • Може да заобиколи защитните стени
  • Се нуждае от софтуер на трети страни

Какво е OpenVPN?

OpenVPN е технология с отворен код, която използва протоколите на библиотеката и TLS на OpenSSL, заедно с амалгама от други технологии, за да осигури силно и надеждно VPN решение. Сега това е индустриалният стандартен VPN протокол, използван от търговските VPN услуги – по основателна причина.

Една от основните силни страни на OpenVPN е, че е силно конфигурируем. Той се поддържа на първо място от No Platform, но е достъпен на повечето платформи чрез софтуер на трети страни. Персонализирани клиенти и приложения на OpenVPN често са достъпни от отделни VPN доставчици, но основният код с отворен код е разработен от проекта OpenVPN.

Много разработчици и сътрудници в проекта OpenVPN също работят за OpenVPN Technologies Inc., който ръководи проекта.

OpenVPN работи най -добре на UDP порт, но може да бъде настроен да работи на всеки порт (вижте бележките по -късно). Това включва TCP порт 443, който се използва от редовен HTTPS трафик. Изпълнението на OpenVPN над TCP порт 443 затруднява да се каже VPN връзки освен вида на сигурни връзки, използвани от банки, имейл услуги и онлайн търговци на дребно. Това прави OpenVPN много трудно да се блокира.

Друго предимство на OpenVPN е, че библиотеката OpenSSL, използвана за осигуряване на криптиране, поддържа редица шифри. На практика обаче само издухване и AE се използват обикновено от търговски VPN услуги. Обсъждам тези по -долу.

В светлината на информацията, получена от Едуард Сноудън, изглежда, че докато се използва перфектна секретност напред, след това OpenVPN не е компрометиран или отслабен от NSA.

Неотдавнашен одит на OpenVPN вече е завършен, както и друг, финансиран от частен достъп до интернет. Не са открити сериозни уязвимости, които засягат поверителността на потребителите. Открити са няколко уязвимости, които направиха OpenVPN сървъри потенциално отворени за атака на отказ от услуга (DOS), но те са закърпени в OpenVPN 2.4.2.

OpenVPN обикновено се счита за най -сигурния VPN протокол и се поддържа широко в индустрията на VPN. Следователно ще обсъдя подробно криптирането на OpenVPN по -долу.

OpenVPN криптиране

Encryption OpenVPN включва две части – криптиране на канал за данни и криптиране на канал за управление. Шифроването на канал за данни се използва за осигуряване на вашите данни. Контролният канал Шифроването осигурява връзката между вашия компютър и VPN сървъра.

Всяка защита е само толкова силна, колкото най -слабата му точка, така че е жалко, че някои VPN доставчици използват много по -силно криптиране на един канал от другия (обикновено по -силен в контролния канал).

Не е рядкост, например, да видите VPN услуга, рекламирана като използване. Това звучи много впечатляващо, докато не разберете, че го само Позовава се за контролиране на криптирането на каналите, а не до канала за данни, който е криптиран с просто издухване-128 с удостоверяване на HASH SHA1. Това се прави само по маркетингови причини.

Ако се използва различно криптиране на каналите за данни и контрол, тогава истинската сила на връзката OpenVPN се измерва от по -слабия пакет за криптиране, използван.

За максимална сигурност както криптирането на данните, така и контролните канали трябва да бъде възможно най -силно. Въпреки това, колкото по -силно е използваното криптиране, толкова по -бавна ще бъде връзката, поради което някои доставчици се сдружават на криптирането на канала за данни.

Шифроването на контролния канал също се нарича TLS криптиране, тъй като TLS е технологията, използвана за сигурно договаряне на връзката между вашия компютър и VPN сървъра. Това е същата технология, използвана от вашия браузър за сигурно договаряне на връзка с уебсайт, криптиран към HTTPS.

  • Шифроването на контролния канал се състои от шифър, криптиране на ръкостискане и удостоверяване на хеш.
  • Шифроването на канал за данни се състои от автентификация на шифър и хеш.

VPN доставчиците често използват едно и също ниво на криптиране както за канали за контрол, така и за данни. В нашите рецензии и таблици за „светофарна светлина“ ние ги изброяваме отделно, ако се използват различни стойности за всеки канал.

Ако заявим, че доставчик използва шифър AES-256, това означава, че AES-256 шифър се използва както за каналите за контрол, така и за данни.*

(*Това Трябва да бъде така, поне. Някои отзиви за наследство не отговарят на настоящите ни насоки, но те трябва да бъдат прекратени навреме).

PPTP срещу. L2TP: Каква е разликата?

Основната разлика между PPTP и L2TP е, че L2TP е по -сигурен от PPTP. Това е така, защото L2TP използва по -силно криптиране и сертификати за удостоверяване. За разлика от тях, PPTP осигурява по -слаба сигурност, но предлага по -бърза скорост на връзка.

Каква е разликата между PPTP и L2TP?

PPTP и L2TP са два популярни тунелни протоколи, поддържани от почти всички VPN. Те позволяват на потребителите да имат достъп до мрежа. PPTP е стар и по -малко сигурен, но по -бърз и по -прост от L2TP. За съжаление, PPTP се предлага с много уязвимости в сигурността, което по принцип го прави по -лошият избор, стига да се грижите за сигурността (и трябва).

За повече разлики между PPTP и L2TP вижте PPTP VS. L2TP таблица.

Обърнете внимание, че L2TP няма възможности за криптиране самостоятелно. В резултат на това често се комбинира с ipsec. И така, някои от разликите включват разликите между PPTP и L2TP/IPSEC.

Pptp L2TP
Кратко за протокол за тунелиране от точка до точка. Съкращение на протокол за тунелиране на слой 2.
Дефинирани в RFC-2637. Описан в RFC-3931.
PPTP използва TCP и GRE като транспортен протокол. L2TP използва TCP или UDP (когато е сдвоен с IPSEC) като транспортен протокол.
PPTP разделя контролните и потоците от данни, което го прави по -малко ефективен от L2TP. L2TP комбинира контролни и потоци от данни, което го прави по -ефективен от PPTP.
PPTP е по -малко сигурен и има много уязвимости в сигурността. L2TP е по -сигурен, тъй като изисква сертификати за удостоверяване и извършва двойни капсулации и проверки на целостта.
PPTP разчита на MSCHAPV2, който поради ниската сложност може да бъде груб бързо. L2TP често се комбинира с IPSEC, за да осигури криптиране от край до край, да се гарантира целостта на данните и да се предпазва от атаки за преиграване.
MSCHAPV2 може да бъде заменен с EAP-TLS. Но конфигурирането на EAP-TLS на PPTP може да е по-трудно, i.E., Можете да използвате сертификати с PPTP, ако налагате удостоверяване на EAP-TLS, но това изисква както сертификати от страна на сървъра, така и сложна конфигурация. Конфигурирането на L2TP е лесно. Комбинирането му с IPSEC добавя високо сигурни възможности за удостоверяване и криптиране.
PPTP е лесен за използване, прост и по -бърз от L2TP. L2TP използва повече ресурси на процесора от PPTP, което го прави по -бавен от PPTP.
PPTP има ниски режийни разходи и е рентабилен. L2TP има по -високи режийни разходи от PPTP, тъй като по -сигурното криптиране го прави да изпълнява по -бавно.
PPTP не изисква инфраструктура за публични ключове (PKI). L2TP използва публична инфраструктура под формата на цифрови сертификати.
PPTP използва 128-битово криптиране. L2TP използва 256-битово криптиране.
PPTP има проблеми с производителността в нестабилни мрежи. L2TP предлага отлична и стабилна производителност в нестабилни мрежи.
PPTP е по-малко удобна за защитната стена. L2TP е по-удобен за защитна стена, тъй като повечето защитни стени не поддържат GRE.

Предимства на L2TP над PPTP

  • L2TP е по -сигурен от PPTP благодарение на по -силно криптиране и цифрови сертификати.
  • L2TP е по -стабилен от L2TP, което е жизненоважно, ако се постигне постоянна работа в нестабилни мрежи, е изискване.
  • L2TP е лесен за конфигуриране, като същевременно поддържа висока сигурност. Въпреки че PPTP е лесен за конфигуриране, правенето му сигурно изисква допълнителна, натоварваща конфигурация.

Предимства на PPTP над L2TP

  • PPTP осигурява по-бърза скорост на връзка от L2TP, тъй като криптирането му е на ниско ниво.
  • PPTP се предлага вграден с много операционни системи на Windows.
  • PPTP е по-бърз и по-лесен за разгръщане от L2TP/IPSEC, тъй като не се основава на публичен ключ за инфраструктура (PKI) и следователно не изисква цифрови сертификати.

Обобщение на PPTP срещу. L2TP

Докато PPTP е лесен за конфигуриране и бърз, L2TP е много по -сигурен. В резултат на това L2TP е по -добрият избор между тези два протокола. Въпреки това, когато мислите за сигурността и производителността, трябва да помислите да използвате протокола за тунелиране на OpenVPN.

OpenVPN срещу. L2tp/ipsec: Кой VPN протокол е подходящ за вас?

Виртуалните частни мрежи (VPN) станаха от съществено значение за осигуряването на интернет връзки и защита на поверителността на онлайн онлайн. Използването на VPN защитава вашите данни от любопитни очи, докато разглеждате интернет. Изборът на десния VPN обаче е само първата стъпка. Изборът на подходящ VPN протокол, който отговаря на вашите специфични нужди, е също толкова важен.

VPN протокол определя как вашите данни се предават и осигуряват по интернет. Докато са налични няколко VPN протоколи, OpenVPN и L2TP (протокол за тунелиране на слой 2) са двете най -широко използвани опции. Но кой да избере? Покрихме те!

Статията изследва сравнението между различни VPN протоколи. В това сравнение ще проучим разликите между OpenVPN и L2TP и ще разгледаме техните силни и слаби страни, за да ви помогнем да изберете най -добрия вариант за вашите нужди.

    • Как работят VPN протоколите?
    • Сравнение на VPN протокол: Основите
      • OpenVPN – най -сигурният VPN протокол
        • Професионалисти
        • Минуси
        • Професионалисти
        • Минуси
        • Pptp
        • SSTP протокол
        • IKEV2/IPSEC
        • Wireguard
        • Светлинен път
        • OpenWrt
        • GL.inet
        • Домат
        • Asuswrt
        • DD-WRT

        Как работят VPN протоколите?

        VPN протоколите съдържат два основни канала: контрол и канал за данни. Контролният канал проверява връзката между VPN сървъра и вашето устройство, докато каналът за данни предава действителните данни. Работейки заедно, тези канали осигуряват сигурно предаване на вашите данни.

        След установяване на връзка VPN протоколът инициира капсулиране, което включва поставяне на пакети от потребителски данни в друг пакет от данни. Този процес се провежда, за да се предотвратят несъответствия между конфигурациите на VPN протокола на адреса на сървъра и целевия сървър, като по този начин се гарантира, че вашите данни достигат точно и сигурно и сигурно.

        Сравнение на VPN протокол: Основите

        Това, което отличава един VPN протокол от друг, е нивото му на сигурност. Сигурността в този контекст има две различни, но еднакво значими значения. Първият се отнася до мерките, които протоколът включва за защита на вашите данни, като сила на криптиране, удостоверяване на хеш и използване на шифри. Вторият аспект се отнася до съпротивата на протокола към опитите за напукване. Това зависи от различни фактори, включително характеристиките на протокола и външните съображения като нейната страна на произход и дали той е компрометиран от субекти като САЩ NSA.

        Тук ще изследваме функционалността на OpenVPN VS. L2TP VPN протоколи.

        OpenVPN – най -сигурният VPN протокол

        Openvpn

        • Отворен код
        • Основни платформи съвместимост
        • Добра съвместимост на защитната стена
        • Пълна интеграция на Windows

        Минуси

        • Не е лесно достъпен
        • Сложна ръчна конфигурация

        L2TP/IPSEC протокол

        L2TP/IPSEC протокол

        L2TP не предлага защита или криптиране от трафика, който преминава през VPN сървъра. Следователно, той се използва със сигурност на Интернет протокол (IPSEC), протокол за криптиране. L2TP е разширение на PPTP протокола и използва двойна капсулация. Докато първата капсулация създава PPP връзка, вторият съдържа IPSEC криптиране. Освен това, L2TP/IPSEC е съвместим с основните платформи и повечето настолни и мобилни операционни системи.

        Нека проучим неговите характеристики.

        • Настройвам: Настройването на този VPN протокол е лесно и бързо. Много операционни системи, като MacOS 10.3+, Windows 2000/XP и Android, поддържат L2TP/IPSEC. Трябва само да импортирате конфигурационните файлове, предоставени от вашия VPN доставчик.
        • Сигурност и криптиране: Протокол за тунелиране на слой 2 (L2TP) няма криптиране, но обикновено е защитен, когато е сдвоен с IPSEC. Данните са капсулирани два пъти, като се използва стандартното IPSEC криптиране.
        • Производителност: Тъй.
        • Портове: L2TP/IPSEC използва различни портове за различни цели. Той използва UDP 500 за първоначален обмен на ключове, UDP 1701 за конфигурация и UDP 4500 за превод на мрежови адреси (NAT).

        Професионалисти

        • Лесна настройка
        • Съвместим с всички популярни платформи
        • Използва AES криптиране

        Минуси

        • Често пренебрегвани от VPN доставчици
        • Ограничена поддръжка на порта
        • Не върви добре с защитните стени.

        Коя версия на OpenVPN трябва да използвате: UDP или TCP порт?

        Когато избирате VPN протокол, OpenVPN често е най -популярната опция и един от защитните VPN протоколи. Потребителите обаче често са изправени пред избора между TCP и UDP протоколите.

        Така че въпросът е кой трябва да изберете? Преди да обсъдим коя версия на OpenVPN трябва да изберете, нека да проучим какво означават те.

        • Протокол за контрол на предаването (TCP) ISA мрежов протокол, който урежда как се предава данни между устройства по интернет. Известен е като надежден протокол, тъй като гарантира, че всички данни се доставят в правилния ред без загуба или дублиране. OpenVPN TCP може да не е толкова бърз, колкото OpenVPN UDP, но е надежден и е предпочитан за приложения, изискващи висока точност на данните и консистенция.
        • Потребителски протокол Datagram (UDP) е протокол без връзка за предаване на данни през интернет. За разлика от TCP, UDP не установява връзка преди предаване на данни. Това означава, че пакетите могат да бъдат изпращани без потвърждение, че предишният пакет е получен.

        Протоколът OpenVPN се представя оптимално, когато се използва с UDP порта. Двата профила на свързване на протокол по подразбиране, достъпни за изтегляне от сървъра за достъп.

        Ако обаче искате да имате повече надеждност, преминете към TCP. UDP е по -малко надежден, тъй като пакетите могат да бъдат изгубени или да пристигнат извън ред. Също така, UDP не предоставя никакъв механизъм за гарантиране, че данните се предават и получат правилно.

        Как да интегрирам OpenVPN на рутер?

        Как да интегрирам OpenVPN на рутер?

        Настройването на OpenVPN на рутер може да се различава между доставчиците на VPN, тъй като всеки доставчик може да има уникален метод за конфигуриране на връзката.

        Ето стъпките за настройка на VPN връзка на вашия рутер.

        1. Уверете се, че вашият рутер е съвместим с OpenVPN, като проверите уебсайта на производителя за актуализации и съвместимост на фърмуера.
        2. След това изтеглете и инсталирайте клиентския софтуер OpenVPN на вашия рутер. Това ще варира в зависимост от модела на рутера, така че вижте инструкциите от неговия производител за подробности.
        3. След като е инсталиран софтуерът OpenVPN, конфигурирайте настройките на рутера, за да установите връзка с вашия VPN доставчик. Това включва настройка на профила на VPN връзка, конфигуриране на настройките на защитната стена на рутера и посочване на протоколите за криптиране и настройките на сигурността.
        4. Тествайте вашата OpenVPN връзка, за да се уверите, че функционира правилно. Можете да направите това, като се опитате да се свържете с отдалечен сървър, достъп до Geo-блокирано съдържание или проверяване.

        Кой е най -добрият доставчик на OpenVPN за моята мрежа?

        OpenVPN е изключително сигурен и надежден протокол за тунелиране, широко използван от доставчиците на интернет услуги в VPN индустрията. Има много начини за прилагане на OpenVPN мрежа поради неговата гъвкавост. VPN доставчиците предоставят софтуер с отворен код на потребителите, който използва VPN техники за сигурни връзки от точка до точка и сайт до сайта.

        Тук ще разгледаме по -отблизо най -добрите услуги на OpenVPN.

        • ExpressVPN: ExpressVPN надвишава нашите минимални стандарти за конфигурация OpenVPN, предлагайки криптиране на AES с висока стандартна AES с ръкостискане на RSA-4096, DH-Keys за перфектна секретност напред и SHA-512 HMAC за удостоверяване. С 3000+ VPN сървъра в 94 страни, ExpressVPN осигурява бързи скорости на сървъра и незабавна реакция на интернет връзка, което го прави най -добър избор за стрийминг услуги като Netflix, Amazon Prime, Hulu и Disney+.
        • Nordvpn: NORDVPN е надежден VPN клиент за OpenVPN с най-добрите функции за сигурност. Той използва AES-256-CBC Cipher и HMAC SHA256 Hash удостоверяване за сигурна връзка в канала за данни и ръкостискането на RSA-2048 в контролния канал. Също така, той предлага 5500+ сървъра в 60 страни и бързи скорости на свързване. NORDVPN е идеален за заобикаляне на защитни стени и достъп до платформи като Netflix, Hulu, Disney+и BBC Iplayer от мобилни устройства и съвременни операционни системи.
        • Surfshark: Surfshark е друга VPN услуга, използвана за OpenVPN. Той предлага разделени тунели и много-хоп връзки. Той има мрежа от над 3200 сървъра, а допълнителните функции включват CleanWeb, Camouflage Mode и Noborders Mode. Стандартният план позволява неограничени едновременно свързани устройства и е на цена от $ 59.76 годишно.

        Други VPN протоколи

        Ето списък на някои други най -популярни VPN протоколи.

        Pptp

        Протокол за тунелиране на точка до точка (PPTP) беше първият VPN протокол, достъпен за обществеността през 1999 г. Той остава широко използван в корпоративните VPN поради вградената си наличност на повечето платформи и лесна настройка.

        Въпреки това рисковете за сигурността на PPTP са тревожни, като миналите демонстрации показват, че може да се напука само за два дни. Докато Microsoft оттогава закърпи тези уязвимости, той все още препоръчва да се използва по -надеждни протоколи като SSTP или L2TP/IPSEC. PPTP също може да бъде неефективен в ситуации със загуба на пакети, което води до масивни забавяния и изисква нулиране на връзката нулиране. Докато PPTP някога е бил надежден вариант, той вече не се счита за защитен или ефективен VPN.

        SSTP протокол

        Протокол за тунелиране на Secure Socket (SSTP) беше VPN протокол, въведен в Windows Vista SP1 и вече е достъпен на други платформи. SSTP използва SSL 3.0 и се счита за по -сигурен от PPTP. Като патентован протокол, собственост на Microsoft, SSTP е напълно интегриран в платформата на Windows и бързо настрои. Освен това работи добре със защитни стени и може да използва TCP порт 443 за заобикаляне на цензурата.

        IKEV2/IPSEC

        IKEV2 е протокол за тунелиране, създаден от Microsoft и Cisco. Той се превръща в най -добрия VPN протокол, комбиниран с IPSEC, което го прави защитен и гъвкав вариант. Той се поддържа на Windows след версия 7, iOS и BlackBerry. IKEV2/IPSEC е известен със своята стабилност, автоматично възобновява редовната работа след временно прекъсване. Освен това съществуват версии с отворен код на IKEV2/IPSEC, но може да е необходим софтуер на трети страни, за да ги стартирате.

        Wireguard

        Wireguard е модерен VPN протокол с по -добра производителност и сигурност от традиционните VPN връзки. Той беше освободен от Beta през 2020 г. и набира популярност поради по -малката си кодова база, модернизирани функции за сигурност и по -бързи скорости на свързване.

        Един от недостатъците на Wireguard е, че той съхранява IP адресите на потребителите на сървъра и не ги присвоява динамично на мобилни потребители. Въпреки това, много VPN доставчици са разработили решения за справяне с този проблем и осигуряват поверителност на потребителите. Например, система с двойно-ярка се реализира от NORDVPN, за да се предотврати съхраняването на потребителски IP адреси на сървъра. Тяхното внедряване на протокола Wireguard се нарича Nordlynx.

        Светлинен път

        Lightway е VPN протокол, който ExpressVPN разработва. Lightway е с отворен код и е преминал одити за сигурност. Работи като протокол Wireguard, тъй като използва най -новата криптография и предлага подобрения в надеждността. Той обаче не е толкова популярен като Wireguard и не толкова бърз в тестовете в реалния свят.

        Използването на Lightway с приложението ExpressVPN е просто. ExpressVPN в момента е единственият VPN доставчик, използващ този протокол.

        Най -добрите VPN рутери през 2023 г

        VPN рутер е устройство за маршрутизиране, предназначено да улесни мрежовата комуникация в VPN среда. Основната му функция е да позволи на множество VPN крайни устройства, разположени на отделни места, да се свързват и общуват помежду си.

        Ето списък на няколко VPN фърмуер.

        OpenWrt

        Това е безплатна операционна система (ОС) с отворен код за рутери и други вградени устройства. OpenWRT превръща рутер или вградено устройство в по -мощен и универсален мрежов уред с по -голяма гъвкавост и контрол върху неговата конфигурация и функции от другите операционни системи.

        GL.inet

        GL.INET рутери са известни със своя компактен размер и преносимост, което ги прави популярен избор за пътешественици или потребители, които трябва да създадат мрежа в движение. Въпреки малкия им размер, GL.INET рутери предлагат редица усъвършенствани функции, включително поддръжка за VPN връзки, OpenVPN клиент, други протоколи и възможности за сървър и съвместимост с операционната система OpenWRT.

        Домат

        Tomato е фърмуер за рутер на трети страни, предназначен да предоставя подобрени функции и възможности извън фърмуера по подразбиране на производителя. Tomato се основава на операционната система Linux и е съвместим с различни модели на рутер от различни производители.

        Asuswrt

        ASUSWRT е фърмуерът по подразбиране, който е предварително инсталиран на рутери Asus. Това е подходящ за потребителя фърмуер, предназначен да предоставя усъвършенствани функции, докато все още е достъпен за потребителите от всички нива на умения.

        ASUSWRT включва уеб-базиран интерфейс, който е лесен за навигация, което позволява на потребителите бързо да имат достъп и да конфигурират редица настройки, включително поддръжка за VPN връзки, Име на IP мрежата, Настройки за качество на услугата (QoS), разширени функции за сигурност и други.

        DD-WRT

        DD-WRT е популярна фърмуер за рутер на трети страни, предназначен да предоставя разширени функции и възможности извън фърмуера по подразбиране на производителя. Тя се основава на операционната система Linux и е съвместима с различни модели на рутер от различни производители. Също така, DD-WRT включва поддръжка за редица мрежови протоколи, включително IPv6, и предоставя разширени безжични настройки, които дават възможност на потребителите да оптимизират своята безжична мрежа и обхват.

        Кой е най -добрият VPN протокол за вашия случай на използване?

        1. Най -добрият VPN протокол за вашия случай на използване зависи от различни фактори, като вашите специфични нужди, нивото на сигурност, което се нуждаете, устройствата и платформите, които използвате, и мрежовите условия, с които ще работите. Ето някои общи сценарии и VPN протоколите, които често се препоръчват: OpenVPN е сред най -сигурните протоколи, препоръчани за потребителите, които се нуждаят от най -високото ниво на сигурност и поверителност. От друга страна, KEV2 често се препоръчва за мобилни устройства поради способността си бързо да се свърже с VPN сървъра, дори при превключване между различни мрежи. Освен това, L2TP/IPSEC е добър вариант за по -стар хардуер или софтуер, който може да не поддържа по -модерни VPN протоколи. SSTP е добър вариант за заобикаляне на защитни стени и други мрежови ограничения, тъй като използва HTTPS порта (443), за да установи връзка.

        Римша Ашраф

        Автора
        Римша Ашраф

        Rimsha Ashraf е писател на техническо съдържание и софтуерен инженер по професия (наличен в LinkedIn и Instagram). Тя е написала 1000+ статии и блогове и е изпълнила над 200 проекта на различни платформи за свободна практика. Нейните изследователски умения и знания тя е специализирана в теми като киберсигурност, облачни изчисления, машинно обучение, изкуствен интелект, blockchain, криптовалута, недвижими имоти, автомобили, верига за доставки, финанси, търговия на дребно, електронна търговия, здраве и уелнес и домашни любимци. Rimsha е достъпен за дългосрочна работа и кани потенциални клиенти да видят портфолиото си на нейния уебсайт Rimshaashraf.com.