В этом посте я расскажу об основных различиях между популярными VPN-протоколами. Описание будет понятно даже непрофессионалам, но людям интересующихся настройкой и работой VPN-протоколов.
Если у вас нет времени на чтение всей статьи, но вы хотите узнать, как правильно выбрать протокол VPN, отвечаю коротко:
- В большинстве ситуаций рекомендуется остановить свой выбор на OpenVPN. В первую очередь его следует использовать на машинах, где настройка производится с помощью сторонних программ.
- L2TP/IPSec должен заинтересовать пользователей, для которых на первом месте стоит безопасность.
- Протокол SSTP является собственной разработкой корпорации Microsoft. Отлично подходит для компьютеров, на которых установлена Windows.
- Отличительными чертами IKEv2 считаются высокая скорость работы и неплохой уровень безопасности. Он может быть использован на мобильных устройствах.
- PPTP следует пользоваться только в ситуации, если он действительно необходим.
- Wireguard — относительно недавняя разработка. Пока он не может обеспечить полной конфиденциальности, но разработчики активно ищут решение для устранения этой проблемы. По заверению специалистов этот протокол должен стать самым скоростным и эффективным из всех существующих.
OpenVPN
Что это такое?
OpenVPN был выпущен в 2001 году. Этот протокол имеет открытый исходный код. В случае необходимости его удобно перенастроить под разные виды портов и способы шифрования информации.
Для чего он используется?
OpenVPN не принадлежит к числу протоколов, встроенных в систему. Как правило, его используют сторонние VPN-клиенты. Тем не менее, его популярность неуклонно возрастает. Уже сейчас OpenVPN используется в качестве средства по умолчанию большинством VPN-провайдеров, предоставляющих платные услуги.
Насколько он быстр?
Скорость работы OpenVPN примерно такая же, что и L2TP. Он работает не так быстро, как PPTP. Однако быстродействие находится в зависимости от аппаратной составляющей и произведённых настроек.
Насколько он безопасен?
У OpenVPN есть свой протокол безопасности, во многом опирающийся на OpenSSL. Шифрование осуществляется по схеме, использующейся на сайтах HTTPS. Протокол удобно настраивать для любого порта. Это позволяется его замаскировать под обыкновенный сетевой трафик. Технология позволяет использовать различные алгоритмы шифрования, в том числе широко распространённые AES и Blowfish.
Легко ли его настроить?
Ручная настройка OpenVPN может вызвать затруднения у неопытного пользователя. Но во многие VPN-клиенты встроены функции, существенно упрощающие их конфигурирование и запуск. Прибегать к ручной настройке в таких случаях не потребуется.
L2TP/IPSec
Что это такое?
Протокол туннелирования 2-го уровня (L2TP) чаще всего работает совместно с IPSec. Применяется в ситуациях, когда требуется повышенный уровень безопасности. Технология была создана в 90-х годах как совместный проект компаний Cisco и Microsoft.
Для чего он используется?
L2TP/IPSec предназначен для подключения к интернету через VPN. Он используется для обеспечения безопасности и конфиденциальности сетевого соединения.
Насколько он быстр?
Большинство пользователей не ощущает разницы между скоростями протоколов L2TP/IPSec и OpenVPN. Однако L2TP/IPSec работает заметно медленнее, чем PPTP.
Насколько он безопасен?
Явных уязвимостей у L2TP/IPSec до сих пор не обнаружено. По мнению ряда экспертов протокол был ослаблен вмешательством Агентства Национальной Безопасности США. Известно, что оно участвовало в разработке IPCec.
Легко ли его настроить?
Используемые в L2TP/IPSec технологии поддерживаются почти всеми современными компьютерами, планшетами и смартфонами. Способы их настройки мало чем отличаются. Однако порт, через который работает L2TP, не составит труда заблокировать при помощи файервола. При необходимости обойти такую блокировку необходимо выполнить переадресацию порта. Это требует от пользователя определённой подготовки.
PPTP
Что это такое?
PPTP — старейший из всех существующих VPN-протоколов. В настоящее время по широте применения занимает лидирующую позицию. Протокол был создан Microsoft для работы в коммутационных сетях. Обозначающая его аббревиатура расшифровывается как «туннельный протокол типа точка-точка».
Для чего он используется?
Сфера применения PPTP — осуществление доступа к интернету и локальной сети организации.
Насколько он быстр?
PPTP характеризуется более низким шифровальным стандартом. Благодаря этому он является одним из наиболее скоростных протоколов VPN.
Насколько он безопасен?
С момента разработки PPTP прошло много лет, вследствие чего у него появилось немало уязвимостей. Помимо всего прочего, идущий по нему трафик расшифровывает и отслеживает Агентство Национальной безопасности. Протокол позволяет применять 128-битное шифрование, но увеличению безопасности соединения это не способствует.
Легко ли его настроить?
PPTP присутствует на большинстве компьютеров и мобильных гаджетов. Пожалуй, это самый простой протокол для ручной настройки.
SSTP
Что это такое?
Протокол SSTP был создан корпорацией Microsoft и впервые внедрён в Windows Vista. Разработка является проприетарной (исходный код закрыт). SSTP может работать в Linux, но проектировался он специально для Windows.
Для чего он используется?
У SSTP нет ощутимых преимуществ по сравнению с OpenVPN, и используется он не так часто. Чаще всего им пользуются владельцы компьютеров, работающих под управлением Windows, так как он уже встроен в операционную систему. С точки зрения способности обхода межсетевых экранов этот протокол выглядит предпочтительнее, чем L2TP, поскольку пользователю не потребует производить сложные процедуры настройки.
Насколько он быстр?
По своему быстродействию SSTP сопоставим с OpenVPN.
Насколько он безопасен?
SSTP относится к безопасным протоколам (если доверять политике компании Microsoft). Шифрование осуществляется с использованием надёжного алгоритма AES.
Легко ли его настроить?
Если на вашей машине стоит Windows, сконфигурировать SSTP вручную не составит большого труда. SSTP не предназначен для работы на Mac. Настройка протокола на Linux и остальных операционных системах не так проста, как на Windows.
IKEv2
Что это такое?
Internet Key Exchange версии 2 можно считать VPN-протоколом с некоторой долей условности. Он был создан в результате сотрудничества Microsoft и Cisco.
Для чего он используется?
IKEv2 целесообразно использовать на мобильных устройствах, подключенным к сетям 3G или 4G LTE. Объясняется это простотой повторного подключения после обрыва соединения. Такое часто случается при проезде через туннель или выезд за пределы зоны действия сети. Также этот протокол позволяет легко переключаться с мобильного интернета на Wi-Fi. IKEv2 поддерживается устройствами Blackberry.
Насколько он быстр?
IKEv2 — самый скоростной из всех описанных здесь протоколов.
Насколько он безопасен?
В IKEv2 встроена поддержка нескольких уровней шифрования AES. В нём, как и в L2TP, используется набор протоколов безопасности IPSec. IKEv2 существует как в проприетарной версии, так и в версии с открытым исходным кодом.
Легко ли его настроить?
Широкая поддержка IKEv2 отсутствует, но для совместимых устройств отредактировать настройки достаточно просто.
IPSec
Что это такое?
Internet Protocol Security, или IPSec, — протокол, предназначенный для многоцелевого использования. Одной из его целей является поддержка VPN. IPSec функционирует не на уровне прикладных программ, а на сетевом уровне.
Для чего он используется?
IPSec обеспечивает поддержку шифрования. Для этой цели он часто используется совместно с ещё одним протоколом VPN, но может функционировать и самостоятельно. Нередко его используют для реализации VPN-подключений «сеть-сеть». Также этот протокол применяется для работы некоторых iOS-приложений. В последнем случае он замещает собой OpenVPN либо иной протокол.
Насколько он быстр?
Теоретически IPSec должен работать быстрее, чем SSL. В реальности же быстродействие зависит от параметров конфигурации.
Насколько он безопасен?
IPSec принято считать надёжным протоколом. Однако следует иметь в виду, что в 2013 году Сноуден продемонстрировал, что Агентство Национальной Безопасности занимается поиском и внедрением уязвимостей в данную технологию.
Легко ли его настроить?
Сложность настройки IPSec зависит от целей его использования. Для рядового владельца iPhone, выполняющего подключение к серверам своего VPN-провайдера, проблем с настройкой возникнуть не должно.
SSL/TLS
Что это такое?
TLS, а также его предшественник SSL — самые используемые на сегодняшний день криптографические протоколы. При подключении к сайту HTTPS канал соединения с сервером защищается с использованием SSL. Его использует ряд VPN-протоколов, он сам он к их числу не относится.
Для чего он используется?
Для того, чтобы начать шифрование данных, OpenVPN подключается к библиотеке OpenSSL, и OpenVPN считается SSL VPN.
Помимо этого, SSL требуется для создания HTTPS-прокси, которые ряд корпораций представляют как VPN. Их активно рекламируют в качестве VPN на основе браузера, встраиваемые в него в виде расширений Chrome или Firefox. Однако по степени безопасности эти расширения не столь надёжны, как настоящий VPN.
Насколько он быстр?
Скорость определяется протоколом VPN и выбранными параметрами шифрования.
Насколько он безопасен?
Считается, что в плане безопасности TLS превосходит SSL.
Легко ли его настроить?
На клиентских машинах SSL настроить проще, чем IPSec.
Wireguard
Что это такое?
Wireguard является безопасным протоколом туннелирования VPN, разработанным для устранения недостатков остальных протоколов (это касается скорости работы и простоты развёртывания).
Для чего он используется?
Разработка Wireguard пока ещё не завершена. Несмотря на это обстоятельство, его уже можно использовать на ряде платформ. Протокол предназначен для работы на встроенных интерфейсах, контейнерах типа Docker, а также в высокопроизводительных устройствах и сетях. Технологию только начали внедрять в VPN-приложения, широкого распространения она пока не получила.
Насколько он быстр?
Wireguard обладает отличным быстродействием. Повышение скорости работы достигается в том числе за счёт запуска ядра Linux.
Насколько он безопасен?
Wireguard, несмотря на то, что его разработка продолжается до сих пор, уже отличается довольно высокой надёжностью. Протокол использует новейшие достижения в области криптографии и легко поддаётся аудиту. Контроль за сетевой активностью и доступом обеспечивается путём внедрения концепции «маршрутизация криптографических ключей». Это избавляет от необходимости создания и тестирования сложных правил брандмауэра.
Однако следует обратить внимание, что Wireguard назначает IP-адреса статически. Динамическая адресация в нём не используется. Пользователь должен понимать, что в таком случае некоторые его данные будут храниться на сервере.
Легко ли его настроить?
Wireguard отличается простотой настройки. Она осуществляется примерно так же, как и настройка простейшего протокола SSH. Необходимость внесения ручной правки в конфигурацию отсутствует. Об этом говорится и на официальном сайте Wireguard.
