matomo

Fordeler og ulemper med forskjellige VPN-protokoller

Maximilian Holm, om Personvern på nettet

Å finne veien i VPN-jungelen kan være en skremmende oppgave. Bare tenkt på alle de forskjellige begrepene som kastes rundt. Det er en mengde informasjon og endeløse diskusjoner om hvilken VPN-leverandør som er best, hvilken protokoll som er best, hvilken tunnelprotokoll som er best, hvilken kryptering som skal brukes - men hva betyr alt? Hva er en tunnelprotokoll, og hvordan påvirker den deg som bruker? Uten noen kontekst og forståelse av hva en tunnelprotokoll er - og uten å vite hva som er forskjellen mellom de forskjellige tunnelprotokollene - er du overlatt til andre menneskers nåde. Derfor skriver vi et raskt sammendrag av de forskjellige protokollene som er tilgjengelig, slik at du kan bestemme deg.

Hva er en VPN?

Historien om VPN-tunneler dateres tilbake til 1996 da en ansatt hos Microsoft oppfant PPTP (peer-to-peer tunneling protocol). Dette tillot folk å ha en sikker internettforbindelse og jobbe hjemmefra. I tillegg ga det selskapene et mye mer skalerbart, raskere og billigere alternativ WAN for å koble sammen sine geografisk atskilte kontorer.

Denne milepælen førte til slutt til ytterligere forbedringer og alternativer til PPTP-protokollen. Cisco - som var selskapet som var banebrytende for konseptet med å bruke LAN til å koble sammen geografisk atskilte datamaskiner - utviklet til slutt L2F, en tunnelprotokoll spesielt designet for å tunnelere PPTP-trafikk.

Både PPTP og L2F hadde feil, og i 1999 ble L2TP utgitt som en foreslått standard. L2TP kombinerer det beste fra L2F og PPTP for å tilby en mye mer sikker og pålitelig tunnelprotokoll.

Etter hvert som etterspørselen etter VPN-tunneler vokste for både bedrifter og private borgere, dukket flere og flere alternativer opp. Til tross for alle fremskritt innen VPN-protokoller, og selv om det har gått nesten 20 år siden den opprinnelige unnfangelsen, er PPTP fortsatt en av de mest brukte protokollene.

I dag brukes VPN-tunneler til alle slags formål. For selskaper brukes det ofte fortsatt som et billig og pålitelig alternativ for å koble sammen geografisk distanserte kontorer. For private borgere brukes det ofte til vidt forskjellige formål. I land som Tyrkia brukes ofte en VPN for å overvinne sensur fra myndighetene. Noen ganger bruker journalister det til å kommunisere med kildene sine og omgå undertrykkende regjeringer. Noen bruker det når de reiser for å få tilgang til nettsider som er begrenset til hjemlandet, mens andre bruker det når de er i et offentlig nettverk for å beskytte kommunikasjonen mot uautoriserte tredjeparter.

Uansett hva din grunn til å bruke et VPN kan være, er det alltid bra å vite fordeler og ulemper med forskjellige protokoller.

“Selv om vi ikke vet hvilke selskaper NSA har kompromittert - eller på hvilke måter - er det å vite at de kan ha kompromittert noen av dem nok til vi mister tilliten til alle. Dette kommer til å gjøre det vanskelig for store selskaper som Google og Microsoft å få tilbake tilliten de mistet. Selv om de lykkes med å begrense myndighetsovervåking. Selv om de lykkes med å forbedre sin egen interne sikkerhet. Det beste de kan si er: Vi har sikret oss fra NSA, bortsett fra de delene vi enten ikke vet om eller ikke kan snakke om.” - Bruce Schneier, kryptograf, datasikkerhetsspesialist, personvernekspert og forfatter

Hva er en protokoll?

En protokoll er et sett med regler og retningslinjer som brukes i elektronisk kommunikasjon. Disse reglene og retningslinjene blir deretter fulgt av begge systemene når de sender og mottar data til hverandre. Dette reduserer tiden som kreves for datautveksling og eliminerer behovet for at sluttbrukeren må utføre handlinger i hver ende av kommunikasjonen.

OpenVPN

OpenVPN er en av de mest populære og best mottatte VPN-implementeringene. Det er en Open Source VPN-løsning med høy stabilitet og utmerket sikkerhet, publisert under GNU General Public License (GPL)

OpenVPN bruker forskjellige metoder og protokoller for å holde kommunikasjonen sikker, for eksempel OpenSSL, HMAC-autentisering og delte nøkler. Den støtter også et bredt utvalg av kryptografiske algoritmer, for eksempel Blowfish, 3DES og AES - som ofte blir ansett som gullstandarden for kryptografiske algoritmer.

Men kanskje den største fordelen med OpenVPN er at den er svært konfigurerbar. Faktisk kan den kjøres på hvilken som helst port og både UDP- og TCP-protokoller - noe som gjør det ekstremt vanskelig å blokkere.

Konfigurerbarheten er imidlertid kanskje også den største ulempen, ettersom å sette opp en OpenVPN-server kan være en veldig skremmende oppgave med katastrofale resultater hvis det gjøres feil.

Fordeler:

  • Svært konfigurerbar
  • Veldig sikker
  • Støtter Perfect Forward Secrecy
  • Kan omgå brannmurer
  • Støtter et bredt spekter av kryptografiske algoritmer
  • Åpen kildekode og å undersøke

Ulemper:

  • Krever tredjepartsprogramvare for å konfigurere
  • Kan være vanskelig å konfigurere

PPTP

PPTP er basert på autentisering, kryptering og PPP-forhandling. Faktisk krever det bare et brukernavn, passord og serveradresse for å opprette en pålitelig forbindelse. Støtte for PPTP er inkludert i de fleste moderne enheter, og på grunn av den relativt enkle installasjonen er det en av de vanligste protokollene som brukes for VPN-selskaper. På grunn av det lave krypteringsnivået er det også en av de raskeste VPN-protokollene, og det har derfor ofte vært en favoritt blant folk som ønsker å omgå geobegrenset innhold.

Vær imidlertid oppmerksom på at PPTP er nesten 20 år gammel, og til og med Microsoft har gått ut og anbefalt at folk bør styre seg unna PPTP. Mens noen mennesker kan ha glede av PPTP for sin høye ytelse og stabilitet, er det en veldig usikker protokoll å bruke fra et sikkerhetsmessig synspunkt, der kryptering kan være viktig.

Hvis hastighet er ditt viktigste problem, er PPTP den beste protokollen. Bare husk at sikkerheten og anonymiteten din blir kompromittert når du bruker PPTP.

Fordeler:

  • Så godt som alle plattformer støtter det
  • Veldig enkelt å sette opp og bruke
  • En av de raskeste VPN-protokollene

Ulemper:

  • En av de minst sikre protokollene
  • Blokkeres enkelt av brannmurer
  • Støtter ikke Perfect Forward Secrecy

L2TP/IPsec

L2TP er en tunnelprotokoll som ikke bruker noen iboende krypteringsmetode. Derfor er det normalt innkapslet sammen med IPSec for å gi litt ekstra sikkerhet. L2TP er en utvidelse av PPP-protokollen (som PPTP) og L2F. Det er på mange måter en forbedring i forhold til PPTP og L2F. L2TP bruker noe som heter dobbelt innkapsling og er en av grunnene til at den først ble populær over PPTP i sikkerhetskretser. Den første innkapslingen oppretter en PPP-forbindelse til en ekstern vert, og den andre innkapslingen inneholder IPSec.

På grunn av den doble innkapslingen har den redusert hastigheten sammenlignet med andre protokoller. IPSec er imidlertid mye mer tilpasningsdyktig enn krypteringsmetoden for PPTP og har støtte for AES-256 krypteringsalgoritmer, som regnes som noen av de mest sikre . Hvor mye ytelsen din blir redusert, avhenger av krypteringsmetoden, og jo sterkere krypteringen er, desto mer blir ytelsen din påvirket.

L2TP har også en ofte oversett fordel, og det er at L2TP forhindrer at data blir endret mellom avsender og mottaker, noe som forhindrer menneske-i-midten-angrep. L2TP støttes også ofte av de fleste moderne enheter, så det er like enkelt å koble til som PPTP.

Hovedproblemet med L2TP er at den bare kan kommunisere over UDP, noe som gjør det veldig enkelt å blokkere. Samlet sett er L2TP det som kan betraktes som en jack of all trades, master of none, da den verken har hastigheten på PPTP eller sikkerheten til OpenVPN.

Fordeler:

  • Anses som sikker av de fleste
  • Enkel å sette opp
  • Omtrent hver plattform støtter det
  • Støtter multitrading for økt ytelse

Ulemper:

  • John Gilmore har påpekt at IPSec kan bevisst svekkes av NSA
  • Edward Snowden har påpekt at IPSec kan bli kompromittert av NSA
  • Kan enkelt blokkeres av brannmurer
  • Kan være tregere enn OpenVPN på grunn av den doble innkapslingen

SSTP

SSTP (Secure Socket Tunneling Protocol) er en VPN-protokoll utviklet av Microsoft og introdusert i Windows Vista. Den bruker SSL v3, og tilbyr dermed lignende fordeler som OpenVPN, for eksempel muligheten til å bruke TCP 443 for å omgå de fleste brannmurer.

Fordeler:

  • Støtter Perfect Forward Secrecy
  • Støtter et bredt spekter av kryptografiske algoritmer
  • Helt integrert i Windows, og veldig enkel å bruke

Ulemper:

  • Har ikke gjennomgått uavhengig revidering
  • Selv om andre systemer støtter det, fungerer det ikke like bra som på Windows.

IKEv2/IPSec

IKEv2 (Internet Key Exchange versjon 2) er basert på IPSec og er et felles utviklingsprosjekt av Microsoft og Cisco.

Det som får IKEv2 til å skille seg ut er mobiliteten. Den er spesielt utviklet for mobilbrukere i tankene, og på grunn av støtten til MOBIKE (Mobility and Multihoming) -protokollen er den ekstremt motstandsdyktig mot nettverksendringer. Dette er veldig gunstig i dagens samfunn der brukere ofte reiser og ønsker en konstant internettforbindelse. IKEv2 lar en bruker sømløst bytte fra et WiFi-nettverk til et mobilnett uten å slippe VPN-tilkoblingen. I tillegg er det en av få VPN-protokoller som Blackberry støtter.

Fordeler:

  • Uten tvil den raskeste VPN-protokollen
  • Veldig stabil og ikke utsatt for mistede forbindelser når du bytter nettverk.
  • Støtter et bredt spekter av kryptografiske algoritmer
  • Enkel å installere
  • Støtter Perfect Forward Secrecy

Ulemper:

  • Støttes ikke av mange plattformer
  • Basert på IPSec (se IPSec-ulemper)
  • Kan blokkeres av brannmurer

Sammendrag

OpenVPN blir ofte ansett som litt tregere enn de fleste andre protokoller (selv om dette avhenger av krypteringen som brukes), men når ChaCha20 og Poly1305 er introdusert, er dette kanskje ikke lenger tilfelle. Faktisk kan ChaCha20 + Poly1305 være så mye som 300% raskere enn AES-256-GCM med HMAC-SHA-1-godkjenning som vi i OVPN for tiden bruker. Dette gir en betydelig fordel i ytelse for enheter som kan være begrenset av prosessoren, for eksempel kommersielle rutere, mens de ofrer liten eller ingen sikkerhet.

Alt i alt står IKEv2 og OpenVPN over resten som de beste og sikreste VPN-protokollene. Mens de andre protokollene kan ha bedre hastighet enn OpenVPN, er OpenVPN svært tilpasningsdyktig og åpen kildekode, noe som betyr at selv om det kanskje ikke er den raskeste for øyeblikket, viser implementeringen av ChaCha20 + Poly1305 at OpenVPN er en protokoll som fortsatt er i sin barndom og kan godt bli raskere enn resten når den er utviklet videre.

Mens IKEv2 og SSTP er veldig gode alternativer til OpenVPN, har vi her på OVPN valgt å ikke støtte dem. Årsaken til dette er at vi tror på sikkerhet. OpenVPN har gang på gang vist seg å være ekstremt robust i uavhengig utførte revisjoner. IPSec - selv om det i teorien er veldig sikkert - har fått mistanke om det fra både John Gilmore (sikkerhetsekspert og grunnlegger av Electronic Frontier Foundation og Edward Snowden (tidligere CIA-ansatt). Selv om SSTP ikke har blitt gjenstand for mistanke, har det aldri blitt revidert uavhengig av andre. Her hos OVPN tar vi din sikkerhet og integritet på alvor og vi ønsker å ta forholdsregler ved å kunn bruke de bested og testede metodene.

Maximilian Holm