matomo

Vor- und Nachteile verschiedener VPN-Protokolle

Maximilian Holm, Über uns Online-Datenschutz

Sich im VPN-Dschungel zurechtzufinden, kann eine gewaltige Aufgabe sein, wenn man sich mit den verschiedenen Begriffen herumschlägt. Es gibt eine Fülle von Informationen und endlose Diskussionen darüber, welcher VPN-Anbieter der beste ist, welches Protokoll das beste ist, welches Tunneling-Protokoll das beste ist, welche Verschlüsselung zu verwenden ist - aber was bedeutet das alles? Was ist ein Tunneling-Protokoll, und wie wirkt es sich auf Sie als Benutzer aus? Ohne jeglichen Kontext und Verständnis dafür, was ein Tunneling-Protokoll ist - und ohne zu wissen, was der Unterschied zwischen den verschiedenen Tunneling-Protokollen ist - sind Sie der Gnade anderer Menschen ausgeliefert. Deshalb möchten wir eine kurze Zusammenfassung der verschiedenen verfügbaren Protokolle schreiben, damit Sie sich eine eigene Meinung bilden können.

Was ist ein VPN?

Die Geschichte der VPN-Tunnel geht auf das Jahr 1996 zurück, als ein Mitarbeiter von Microsoft PPTP (Peer-to-Peer-Tunneling-Protokoll) erfand. Dies ermöglichte es den Menschen, eine sichere Internetverbindung zu haben und von zu Hause aus zu arbeiten. Darüber hinaus bot es Unternehmen eine wesentlich skalierbarere, schnellere und billigere Alternative zum WAN, um ihre geografisch getrennten Büros miteinander zu verbinden.

Dieser Meilenstein führte schließlich zu weiteren Verbesserungen und Alternativen zum PPTP-Protokoll. Cisco - die Firma, die das Konzept der Verwendung von LAN zur Verbindung geografisch getrennter Computer entwickelte - entwickelte schließlich L2F, ein Tunneling-Protokoll, das speziell für den PPTP-Verkehr entwickelt wurde.

Sowohl PPTP als auch L2F wiesen Mängel auf, und 1999 wurde L2TP als vorgeschlagener Standard veröffentlicht. L2TP kombiniert das Beste von L2F und PPTP und bietet ein wesentlich sichereres und zuverlässigeres Tunneling-Protokoll.

Als die Nachfrage nach VPN-Tunneln sowohl für Unternehmen als auch für Privatpersonen wuchs, tauchten immer mehr Alternativen auf. Trotz aller Fortschritte bei den VPN-Protokollen, und obwohl seit seiner ursprünglichen Konzeption fast 20 Jahre vergangen sind, ist PPTP immer noch eines der am häufigsten verwendeten Protokolle.

VPN-Tunnel werden heute für alle möglichen Zwecke verwendet. Für Unternehmen wird er häufig noch immer als kostengünstige und zuverlässige Alternative zur Anbindung geografisch weit entfernter Büros genutzt. Für Privatpersonen wird er oft für ganz unterschiedliche Zwecke eingesetzt. In Ländern wie der Türkei wird ein VPN häufig zur Überwindung der staatlichen Zensur eingesetzt. Journalisten nutzen es manchmal, um mit ihren Quellen zu kommunizieren und unterdrückerische Regierungen zu umgehen. Einige Leute verwenden es, wenn sie auf Reisen auf Webseiten zugreifen, die auf ihr Heimatland beschränkt sind, während andere es in einem öffentlichen Netz verwenden, um ihre Kommunikation vor unbefugten Dritten zu schützen.

Was auch immer Ihr Grund für die Verwendung eines VPN sein mag, es ist immer gut, die Vor- und Nachteile der verschiedenen Protokolle zu kennen.

"Auch wenn wir nicht wissen, welche Unternehmen die NSA kompromittiert hat - oder mit welchen Mitteln - reicht es aus, zu wissen, dass sie eines von ihnen kompromittiert haben könnten, um uns allen gegenüber misstrauisch zu machen. Das wird es für große Unternehmen wie Google und Microsoft schwer machen, das verlorene Vertrauen zurückzugewinnen. Selbst wenn es ihnen gelingt, die Überwachung durch die Regierung einzuschränken, wird es ihnen schwer fallen, das verlorene Vertrauen zurückzugewinnen. Selbst wenn es ihnen gelingt, ihre eigene innere Sicherheit zu verbessern. Das Beste, was sie sagen können, ist: Wir haben uns vor der NSA abgesichert, mit Ausnahme der Teile, von denen wir entweder nichts wissen oder über die wir nicht sprechen können". - Bruce Schneier, Kryptograph, Computersicherheitsexperte, Datenschutzbeauftragter und Autor

Was ist ein Protokoll?

Ein Protokoll ist eine Reihe von Regeln und Richtlinien, die in der elektronischen Kommunikation verwendet werden. Diese Regeln und Richtlinien werden dann von beiden Systemen befolgt, wenn sie sich gegenseitig Daten senden und empfangen. Dadurch wird die für den Datenaustausch benötigte Zeit reduziert und die Notwendigkeit für den Endbenutzer, an beiden Enden der Kommunikation einzugreifen, eliminiert.

OpenVPN

OpenVPN ist eine der beliebtesten und am besten angenommenen VPN-Implementierungen. Es ist eine Open Source VPN-Lösung mit hoher Stabilität und ausgezeichneter Sicherheit, die unter der GNU General Public License (GPL) veröffentlicht wurde.

OpenVPN verwendet verschiedene Methoden und Protokolle, um Ihre Kommunikation sicher zu gestalten, wie z.B. OpenSSL, HMAC-Authentifizierung und gemeinsam genutzte Schlüssel. Darüber hinaus unterstützt es eine Vielzahl von kryptografischen Algorithmen wie Blowfish, 3DES und AES - das oft als der Goldstandard der kryptografischen Algorithmen angepriesen wird.

Aber der vielleicht größte Vorteil von OpenVPN ist, dass es in hohem Maße konfigurierbar ist. Tatsächlich kann es auf jedem Port und sowohl auf UDP- als auch auf TCP-Protokollen ausgeführt werden - was es extrem schwierig macht, es zu blockieren.

Allerdings ist seine Konfigurierbarkeit vielleicht auch sein größter Nachteil, da die Einrichtung eines OpenVPN-Servers eine sehr entmutigende Aufgabe mit katastrophalen Ergebnissen sein kann, wenn sie unsachgemäß durchgeführt wird.

Vorteile:

  • Hochgradig konfigurierbar
  • Sehr sicher
  • Unterstützt Perfect Forward Secrecy
  • Kann Firewalls umgehen
  • Unterstützt eine breite Palette von kryptographischen Algorithmen
  • Open Source und leicht überprüfbar

Nachteile

  • Erfordert Software von Drittanbietern zum Einrichten
  • Kann schwer zu konfigurieren sein

PPTP

PPTP basiert auf Authentifizierung, Verschlüsselung und PPP-Verhandlung. Tatsächlich benötigt es nur einen Benutzernamen, ein Kennwort und eine Serveradresse, um eine zuverlässige Verbindung herzustellen. Unterstützung für PPTP ist in den meisten modernen Geräten enthalten, und wegen seiner relativ einfachen Einrichtung ist es eines der am häufigsten verwendeten Protokolle für VPN-Unternehmen. Aufgrund seiner geringen Verschlüsselung ist es auch eines der schnellsten VPN-Protokolle, weshalb es oft ein Favorit bei Personen geblieben ist, die geo-eingeschränkte Inhalte umgehen möchten.

Denken Sie jedoch daran, dass PPTP fast 20 Jahre alt ist, und sogar Microsoft ist ausgegangen und hat empfohlen, dass man von PPTP Abstand nehmen sollte. Auch wenn einige Leute PPTP wegen seiner hohen Leistung und Stabilität mögen, ist es aus Sicherheitssicht ein sehr unsicheres Protokoll, bei dem Verschlüsselung von Bedeutung sein kann.

Wenn Geschwindigkeit Ihr Hauptanliegen ist, ist PPTP das beste Protokoll. Denken Sie nur daran, dass Ihre Sicherheit und Anonymität bei der Verwendung von PPTP gefährdet ist.

Vorteile:

  • Nahezu jede Plattform unterstützt es
  • Sehr einfach einzurichten und zu verwenden
  • Eines der schnellsten VPN-Protokolle

Kontra:

  • Eines der am wenigsten sicheren Protokolle
  • Leicht durch Firewalls zu blockieren
  • Unterstützt nicht Perfektes Vorwärtsgeheimnis

L2TP/IPsec

L2TP ist ein Tunneling-Protokoll, das von Natur aus keine Verschlüsselungsmethode verwendet. Aus diesem Grund wird es normalerweise zusammen mit IPSec gekapselt, um eine zusätzliche Sicherheit zu gewährleisten. L2TP ist eine Erweiterung des PPP-Protokolls (wie PPTP) und L2F. Es ist in vielerlei Hinsicht eine Verbesserung gegenüber PPTP und L2F. L2TP verwendet etwas, das als doppelte Einkapselung bezeichnet wird, und ist einer der Gründe, warum es in Sicherheitsschaltungen gegenüber PPTP an Popularität gewonnen hat. Die erste Kapselung stellt eine PPP-Verbindung zu einem entfernten Host her, und die zweite Kapselung enthält IPSec.

Aufgrund seiner doppelten Kapselung hat es im Vergleich zu anderen Protokollen eine geringere Geschwindigkeit. IPSec ist jedoch viel anpassungsfähiger als die Verschlüsselungsmethode von PPTP und unterstützt die AES-256-Verschlüsselungsalgorithmen, die als einige der sichersten gelten. Wie stark Ihre Leistung reduziert wird, hängt von der Verschlüsselungsmethode ab, und je stärker die Verschlüsselung, desto stärker wird Ihre Leistung beeinträchtigt.

L2TP hat auch einen oft übersehenen Vorteil, nämlich dass L2TP verhindert, dass die Daten zwischen Sender und Empfänger verändert werden, was Man-in-the-Middle-Angriffe verhindert. L2TP wird von den meisten modernen Geräten auch oft nativ unterstützt, so dass es genauso einfach zu verbinden ist wie PPTP.

Der Hauptnachteil von L2TP ist, dass es nur über UDP kommunizieren kann, wodurch es sehr leicht zu blockieren ist. Alles in allem ist L2TP das, was man als Alleskönner bezeichnen könnte, als Master of none, da es weder die Geschwindigkeit von PPTP noch die Sicherheit von OpenVPN hat.

Vorteile:

  • Von den meisten als sicher angesehen
  • Leicht einzurichten
  • So gut wie jede Plattform unterstützt es
  • Unterstützt Multithreading für erhöhte Leistung

Kontra:

  • John Gilmore hat darauf hingewiesen, dass IPSec von der NSA absichtlich kompromittiert werden könnte.
  • Edward Snowden hat darauf hingewiesen, dass IPSec von der NSA kompromittiert werden könnte
  • Kann leicht durch Firewalls blockiert werden
  • Kann aufgrund der doppelten Kapselung langsamer als OpenVPN sein

SSTP

SSTP (Secure Socket Tunneling Protocol) ist ein VPN-Protokoll, das von Microsoft entwickelt und mit Windows Vista eingeführt wurde. Es verwendet SSL v3 und bietet damit ähnliche Vorteile wie OpenVPN, z.B. die Möglichkeit, TCP 443 zu verwenden, um die meisten Firewalls zu umgehen.

Vorteile:

  • Unterstützt perfekte Vorwärtsgeheimhaltung
  • Unterstützt eine breite Palette von kryptographischen Algorithmen
  • Vollständig in Windows integriert und sehr einfach zu benutzen

Kontra:

  • Wurde nicht unabhängig geprüft
  • Obwohl es von anderen Systemen unterstützt wird, funktioniert es nicht so gut wie unter Windows.

IKEv2/IPSec

IKEv2 (Internet Key Exchange Version 2) basiert auf IPSec und ist ein gemeinsames Entwicklungsprojekt von Microsoft und Cisco.

Was die IKEv2 auszeichnet, ist ihre Mobilität. Es wurde speziell für mobile Benutzer entwickelt und ist aufgrund der Unterstützung des MOBIKE-Protokolls (Mobility and Multihoming) extrem widerstandsfähig gegenüber Änderungen im Netzwerk. Dies ist sehr vorteilhaft in der heutigen Gesellschaft, in der Benutzer häufig unterwegs sind und eine ständige Internetverbindung wünschen. IKEv2 ermöglicht es einem Benutzer, nahtlos von einem WiFi-Netzwerk zu einem mobilen Netzwerk zu wechseln, ohne die VPN-Verbindung zu unterbrechen. Außerdem ist es eines der wenigen VPN-Protokolle, die der Blackberry unterstützt.

Die Vorteile:

  • Das wohl schnellste VPN-Protokoll
  • Es ist sehr stabil und nicht anfällig für Verbindungsverluste beim Netzwerkwechsel.
  • Unterstützt eine breite Palette von kryptographischen Algorithmen
  • Leicht einzurichten
  • Unterstützt perfekte Vorwärtsgeheimhaltung

Kontra:

  • Wird von vielen Plattformen nicht unterstützt
  • Basierend auf IPSec (siehe IPSec cons)
  • Kann durch Firewalls blockiert werden

Zusammenfassung

OpenVPN wird oft als etwas langsamer als die meisten anderen Protokolle angesehen (obwohl dies von der verwendeten Verschlüsselung abhängt), aber sobald ChaCha20 und Poly1305 eingeführt werden, ist dies möglicherweise nicht mehr der Fall. Tatsächlich kann ChaCha20 + Poly1305 bis zu 300% schneller sein als das AES-256-GCM mit HMAC-SHA-1-Authentifizierung, das wir bei OVPN derzeit verwenden. Dies bietet einen erheblichen Leistungsvorteil für Geräte, die durch ihren Prozessor eingeschränkt sein können, wie z.B. kommerzielle Router, während die Sicherheit kaum oder gar nicht beeinträchtigt wird.

Alles in allem stehen IKEv2 und OpenVPN als die besten und sichersten VPN-Protokolle über allen anderen. Während die anderen Protokolle vielleicht eine bessere Geschwindigkeit als OpenVPN haben, ist OpenVPN sehr anpassungsfähig und quelloffen, was bedeutet, dass es zwar im Moment nicht das schnellste ist, aber die Implementierung von ChaCha20+Poly1305 zeigt, dass OpenVPN ein Protokoll ist, das noch in den Kinderschuhen steckt und sehr wohl schneller als der Rest werden kann, sobald es weiterentwickelt wird.

Obwohl IKEv2 und SSTP sehr gute Alternativen zu OpenVPN sind, haben wir hier bei OVPN beschlossen, sie nicht zu unterstützen. Der Grund dafür ist, dass wir an Sicherheit glauben. OpenVPN hat sich in unabhängig durchgeführten Audits immer wieder als äußerst robust erwiesen. IPSec - obwohl in der Theorie sehr sicher - wurde sowohl von John Gilmore (Sicherheitsexperte und Gründer der Electronic Frontier Foundation) als auch von Edward Snowden (ehemaliger CIA-Angestellter) mit einigem Argwohn betrachtet. Die SSTP wurde zwar nicht mit einem solchen Verdacht belegt, wurde aber auch nie von unabhängiger Seite überprüft. Wir hier bei OVPN nehmen Ihre Sicherheit und Integrität ernst und ziehen es vor, nur mit den besten und erprobten Methoden auf Nummer sicher zu gehen.

Maximilian Holm