Artikel ini telah diperbarui untuk menyertakan protokol VPN WireGuard® dan Stealth.
Kami menjelaskan apa itu protokol VPN dan apa fungsinya. Kami juga membandingkan kekuatan dan kelemahan protokol yang paling umum, termasuk OpenVPN, WireGuard®, IKEv2, PPTP, dan L2TP.
Sebelum Anda memercayai VPN untuk melindungi aktivitas internet Anda, Anda perlu memastikan mereka telah menerapkan perlindungan yang diperlukan. Mengevaluasi aspek teknis VPN bisa jadi sulit. Seringkali itu berarti berjuang untuk memahami sup alfabet dari berbagai akronim.
Kami telah memulai serangkaian postingan di mana kami menjelaskan beberapa langkah keamanan kami sehingga orang dapat membuat keputusan yang lebih tepat. Postingan pertama kami menjelaskan apa arti HMAC SHA-384. Postingan ini akan menyelidiki protokol VPN, apa fungsinya, cara kerjanya, dan apa artinya jika layanan VPN menggunakan OpenVPN melalui L2TP, misalnya.
Postingan ini menyelidiki beberapa cara kerja bagian dalam VPN. Meskipun kami mencoba menjelaskan istilah dengan jelas, postingan ini akan lebih berguna jika Anda memiliki pengetahuan teknis dasar. Jika Anda tidak yakin bagaimana cara kerja VPN, mungkin bermanfaat untuk membaca artikel yang ditautkan di bawah ini sebelum melanjutkan.
Protokol VPN
VPN mengandalkan apa yang disebut “tunneling” untuk membuat jaringan pribadi antara dua komputer melalui internet. Protokol VPN, juga dikenal sebagai “protokol tunneling”, adalah instruksi yang digunakan perangkat Anda untuk menegosiasikan koneksi terenkripsi yang aman yang membentuk jaringan antara komputer Anda dan komputer lain.
Protokol VPN biasanya terdiri dari dua kanal: kanal data dan kanal kontrol. Kanal kontrol bertanggung jawab atas pertukaran kunci, autentikasi, dan pertukaran parameter (seperti menyediakan IP atau rute dan server DNS). Kanal data, seperti yang mungkin Anda duga, bertanggung jawab untuk mengangkut data lalu lintas internet Anda. Bersama-sama, kedua kanal ini membangun dan memelihara terowongan VPN yang aman. Namun, agar data Anda dapat melewati terowongan aman ini, data tersebut harus dienkapsulasi.
Enkapsulasi adalah ketika protokol VPN mengambil bit data, yang dikenal sebagai paket data, dari lalu lintas internet Anda dan menempatkannya di dalam paket lain. Lapisan ekstra ini diperlukan karena konfigurasi protokol yang digunakan VPN Anda di dalam kanal data belum tentu sama dengan yang digunakan internet biasa. Lapisan tambahan memungkinkan informasi Anda untuk melakukan perjalanan melalui terowongan VPN dan tiba di tujuan yang benar.
Ini semua sedikit teknis, jadi gambaran umumnya: Saat Anda terhubung ke server VPN, VPN menggunakan kanal kontrolnya untuk menetapkan kunci bersama dan terhubung antara perangkat Anda dan server. Setelah koneksi ini dibuat, kanal data mulai mengirimkan lalu lintas internet Anda. Ketika VPN membahas kekuatan dan kelemahan kinerjanya atau berbicara tentang “terowongan VPN yang aman”, ia berbicara tentang kanal datanya. Setelah terowongan VPN dibuat, kanal kontrol kemudian bertugas menjaga stabilitas koneksi.
PPTP
Point-to-Point Tunneling Protocol (PPTP) adalah salah satu protokol VPN yang lebih tua. Protokol ini awalnya dikembangkan dengan dukungan dari Microsoft, sehingga semua versi Windows dan sebagian besar sistem operasi lainnya memiliki dukungan bawaan untuk PPTP.
PPTP menggunakan Point-to-Point Protocol (PPP), yang seperti proto-VPN itu sendiri. Meskipun cukup tua, PPP dapat mengautentikasi pengguna (biasanya dengan MS-CHAP v2) dan mengenkapsulasi data itu sendiri, membiarkannya menangani tugas kanal kontrol dan kanal data. Namun, PPP tidak dapat dirutekan; tidak dapat dikirim melalui internet sendirian. Jadi PPTP mengenkapsulasi data yang dienkapsulasi PPP lagi menggunakan generic routing encapsulation (GRE) untuk membangun kanal datanya.
Sayangnya, PPTP tidak memiliki fitur enkripsi atau autentikasi sendiri. Protokol ini mengandalkan PPP untuk mengimplementasikan fungsi-fungsi ini — yang bermasalah karena sistem autentikasi PPP dan enkripsi yang ditambahkan Microsoft ke dalamnya, MPPE, keduanya lemah.
Enkripsi: Protokol Point-to-Point Encryption Microsoft (MPPE(jendela baru)), yang menggunakan algoritma RSA RC4. Kekuatan maksimum MPPE adalah kunci 128-bit.
Kecepatan: Karena protokol enkripsinya tidak memerlukan banyak daya komputasi (RC4 dan hanya kunci 128-bit), PPTP mempertahankan kecepatan koneksi yang cepat.
Kerentanan yang diketahui: PPTP memiliki banyak kerentanan keamanan yang diketahui sejak 1998. Salah satu kerentanan paling parah mengeksploitasi autentikasi MS-CHAP v2 yang tidak terenkapsulasi untuk melakukan serangan man-in-the-middle (MITM).
Port firewall: Port TCP 1723. Penggunaan GRE oleh PPTP berarti protokol ini tidak dapat menavigasi firewall network address translation dan merupakan salah satu protokol VPN yang paling mudah diblokir. (Firewall NAT memungkinkan beberapa orang berbagi satu alamat IP publik pada saat yang sama. Ini penting karena sebagian besar pengguna individu tidak memiliki alamat IP sendiri.)
Stabilitas: PPTP tidak dapat diandalkan, juga tidak pulih secepat OpenVPN melalui koneksi jaringan yang tidak stabil.
Kesimpulan: Jika khawatir tentang pengamanan data, tidak ada alasan untuk menggunakan PPTP. Bahkan Microsoft telah menyarankan(jendela baru) penggunanya untuk meningkatkan ke protokol VPN lain guna melindungi data mereka.
L2TP/IPSec
Layer two tunneling protocol (L2TP) dimaksudkan untuk menggantikan PPTP. L2TP dapat menangani autentikasi sendiri dan melakukan enkapsulasi UDP, jadi dalam arti tertentu, protokol ini dapat membentuk kanal kontrol dan data. Namun, mirip dengan PPTP, protokol ini tidak menambahkan enkripsi apa pun sendiri. Meskipun L2TP dapat mengirim PPP, untuk menghindari kelemahan bawaan PPP, L2TP biasanya dipasangkan dengan rangkaian Internet Protocol security (IPSec) untuk menangani enkripsi dan autentikasinya.
IPSec adalah kerangka kerja fleksibel yang dapat diterapkan pada VPN serta perutean dan keamanan tingkat aplikasi. Saat menghubungkan ke server VPN dengan L2TP/IPSec, IPSec menegosiasikan kunci bersama dan mengautentikasi koneksi kanal kontrol yang aman antara perangkat dan server.
IPSec kemudian mengenkapsulasi data. Saat IPSec melakukan enkapsulasi ini, protokol ini menerapkan header autentikasi dan menggunakan Encapsulation Security Payload (ESP). Header khusus ini menambahkan tanda tangan digital ke setiap paket sehingga penyerang tidak dapat memanipulasi data tanpa memperingatkan server VPN.
ESP mengenkripsi paket data yang dienkapsulasi sehingga tidak ada penyerang yang dapat membacanya (dan, tergantung pada pengaturan VPN, juga mengautentikasi paket data). Setelah IPSec mengenkapsulasi data, L2TP mengenkapsulasi data tersebut lagi menggunakan UDP agar dapat melewati kanal data.
Beberapa protokol VPN, termasuk IKEv2, menggunakan enkripsi IPSec. Meskipun umumnya aman, IPSec sangat kompleks, yang dapat menyebabkan implementasi yang buruk. L2TP/IPSec didukung di sebagian besar sistem operasi utama.
Enkripsi: L2TP/IPSec dapat menggunakan enkripsi 3DES atau AES, meskipun mengingat 3DES sekarang dianggap sebagai cipher yang lemah, enkripsi ini jarang digunakan.
Kecepatan: L2TP/IPSec umumnya lebih lambat daripada OpenVPN saat menggunakan kekuatan enkripsi yang sama. Hal ini terutama disebabkan oleh fakta bahwa enkripsi AES yang digunakan oleh OpenVPN dipercepat secara perangkat keras pada sebagian besar prosesor umum.
Kerentanan yang diketahui: L2TP/IPSec adalah protokol VPN canggih, tetapi sebuah presentasi NSA yang bocor(jendela baru) menyarankan bahwa badan intelijen tersebut telah menemukan cara untuk memanipulasinya. Selain itu, karena kompleksitas IPSec, banyak penyedia VPN menggunakan kunci pra-berbagi(jendela baru) untuk menyiapkan L2TP/IPSec.
Port firewall: Port UDP 500 digunakan untuk pertukaran kunci awal, port UDP 5500 untuk traversal NAT, dan port UDP 1701 untuk mengizinkan lalu lintas L2TP. Karena menggunakan port tetap ini, L2TP/IPSec lebih mudah diblokir daripada beberapa protokol lain.
Stabilitas: L2TP/IPSec tidak sestabil beberapa protokol VPN yang lebih canggih. Kompleksitasnya dapat menyebabkan putusnya jaringan yang sering terjadi.
Kesimpulan: Keamanan L2TP/IPSec tidak diragukan lagi merupakan peningkatan dibandingkan PPTP, tetapi mungkin tidak melindungi data dari penyerang canggih. Kecepatannya yang lebih lambat dan ketidakstabilan juga berarti bahwa pengguna sebaiknya hanya mempertimbangkan penggunaan L2TP/IPSec jika tidak ada pilihan lain.
IKEv2/IPSec
Internet key exchange version two (IKEv2) adalah protokol tunneling yang relatif baru yang sebenarnya merupakan bagian dari rangkaian IPSec itu sendiri. Microsoft dan Cisco bekerja sama dalam pengembangan protokol IKEv2/IPSec asli, tetapi sekarang ada banyak iterasi open source.
IKEv2 menyiapkan kanal kontrol dengan mengautentikasi saluran komunikasi aman antara perangkat dan server VPN menggunakan algoritma pertukaran kunci Diffie–Hellman(jendela baru). IKEv2 kemudian menggunakan saluran komunikasi aman tersebut untuk menetapkan apa yang disebut asosiasi keamanan, yang berarti perangkat dan server VPN menggunakan kunci enkripsi dan algoritma yang sama untuk berkomunikasi.
Setelah asosiasi keamanan tersedia, IPSec dapat membuat terowongan, menerapkan header terautentikasi ke paket data, dan mengenkapsulasinya dengan ESP. (Sekali lagi, tergantung pada cipher mana yang digunakan, ESP dapat menangani autentikasi pesan.) Paket data yang dienkapsulasi kemudian dienkapsulasi lagi dalam UDP agar dapat melewati terowongan.
IKEv2/IPSec didukung pada Windows 7 dan versi yang lebih baru, macOS 10.11 dan versi yang lebih baru, serta sebagian besar sistem operasi seluler.
Enkripsi: IKEv2/IPSec dapat menggunakan berbagai algoritma kriptografi yang berbeda, termasuk AES, Blowfish, dan Camellia. Protokol ini mendukung enkripsi 256-bit.
Kecepatan: IKEv2/IPSec adalah protokol VPN yang cepat, meskipun biasanya tidak secepat OpenVPN yang dipercepat perangkat keras atau WireGuard.
Kerentanan yang diketahui: IKEv2/IPSec tidak memiliki kelemahan yang diketahui, dan hampir semua ahli keamanan TI menganggapnya aman jika diimplementasikan dengan benar dengan Perfect Forward Secrecy.
Port firewall: Port UDP 500 digunakan untuk pertukaran kunci awal dan port UDP 4500 untuk traversal NAT. Karena selalu menggunakan port-port ini, IKEv2/IPSec lebih mudah diblokir daripada beberapa protokol lain.
Stabilitas: IKEv2/IPSec mendukung protokol Mobility dan Multihoming, membuatnya lebih andal daripada sebagian besar protokol VPN lain, terutama bagi pengguna yang sering berpindah antara jaringan WiFi yang berbeda.
Kesimpulan: Dengan keamanan yang kuat, kecepatan tinggi, dan stabilitas yang meningkat, IKEv2/IPSec adalah protokol VPN yang bagus. Namun, pengenalan WireGuard baru-baru ini berarti ada sedikit alasan untuk memilihnya daripada protokol VPN yang lebih baru tersebut.
OpenVPN
OpenVPN adalah protokol tunneling open source. Berlawanan dengan protokol VPN yang mengandalkan rangkaian IPSec, OpenVPN menggunakan SSL/TLS untuk menangani pertukaran kunci dan menyiapkan kanal kontrolnya serta protokol OpenVPN unik untuk menangani enkapsulasi dan kanal data.
Ini berarti bahwa kanal data dan kanal kontrolnya dienkripsi, yang membuatnya agak unik dibandingkan dengan protokol VPN lainnya. Protokol ini didukung pada semua sistem operasi utama melalui perangkat lunak pihak ketiga.
Enkripsi: OpenVPN dapat menggunakan algoritma kriptografi berbeda yang terdapat dalam pustaka OpenSSL(jendela baru) untuk mengenkripsi datanya, termasuk AES, RC5, dan Blowfish.
Pelajari lebih lanjut tentang enkripsi AES
Kecepatan: Saat menggunakan UDP, OpenVPN mempertahankan koneksi cepat, meskipun IKEv2/IPSec dan WireGuard umumnya diterima lebih cepat.
Kerentanan yang diketahui: OpenVPN tidak memiliki kerentanan yang diketahui selama diimplementasikan dengan algoritma enkripsi yang cukup kuat dan Perfect Forward Secrecy. Ini adalah standar industri untuk VPN yang peduli dengan keamanan data.
Port firewall: OpenVPN dapat dikonfigurasi untuk berjalan pada port UDP atau TCP apa pun, termasuk port TCP 443, yang menangani semua lalu lintas HTTPS dan membuatnya sangat sulit diblokir.
Stabilitas: OpenVPN sangat stabil secara umum dan memiliki mode TCP untuk mengalahkan penyensoran.
Kesimpulan: OpenVPN aman, andal, dan open source. Ini adalah salah satu protokol VPN terbaik yang saat ini digunakan, terutama bagi pengguna yang terutama peduli dengan keamanan data. Kemampuannya untuk merutekan koneksi melalui TCP (lihat di bawah) juga membuatnya menjadi pilihan yang baik untuk menghindari penyensoran. Namun, meskipun tidak memiliki keunggulan anti-penyensoran OpenVPN, WireGuard juga aman dan lebih cepat daripada OpenVPN.
WireGuard®
WireGuard(jendela baru) adalah protokol VPN open source yang aman, cepat, dan efisien.
Enkripsi: WireGuard menggunakan ChaCha20 untuk enkripsi simetris (RFC7539(jendela baru)), Curve25519 untuk pertukaran kunci anonim, Poly1305 untuk autentikasi data, dan BLAKE2s untuk hashing (RFC7693(jendela baru)). Protokol ini secara otomatis mendukung Perfect Forward Secrecy.
Kecepatan: WireGuard menggunakan algoritma kriptografi baru berkecepatan tinggi. ChaCha20, misalnya, jauh lebih sederhana daripada cipher AES dengan kekuatan setara dan hampir sama cepatnya, meskipun sebagian besar perangkat sekarang dilengkapi dengan instruksi untuk AES yang terpasang pada perangkat kerasnya. Hasilnya adalah WireGuard menawarkan kecepatan koneksi yang cepat dan memiliki persyaratan CPU yang rendah.
Kerentanan yang diketahui: WireGuard telah menjalani berbagai verifikasi formal, dan untuk dimasukkan ke dalam kernel Linux, basis kode WireGuard Linux telah diaudit secara independen(jendela baru) oleh pihak ketiga.
Port firewall: WireGuard dapat dikonfigurasi untuk menggunakan port apa pun dan biasanya berjalan melalui UDP. Namun, Proton VPN juga menawarkan WireGuard TCP di sebagian besar aplikasi kami.
Stabilitas: WireGuard adalah protokol VPN yang sangat stabil dan memperkenalkan fitur-fitur baru yang tidak dimiliki protokol tunneling lain, seperti mempertahankan koneksi VPN saat mengubah server VPN atau mengubah jaringan WiFi.
Kesimpulan: Protokol VPN canggih, WireGuard cepat, efisien, dan aman. Protokol ini tidak “teruji dalam pertempuran” seperti OpenVPN dan tidak menawarkan kemampuan anti-penyensoran berbasis TCP OpenVPN (lihat di bawah), tetapi bagi kebanyakan orang, sebagian besar waktu, ini adalah protokol VPN yang kami rekomendasikan untuk digunakan.
Pelajari lebih lanjut tentang WireGuard
Stealth
Stealth adalah protokol VPN baru yang dikembangkan oleh Proton. Dengan ini, Anda dapat mengakses situs yang disensor dan berkomunikasi dengan orang-orang di media sosial, bahkan ketika protokol VPN biasa diblokir oleh pemerintah atau organisasi.
Stealth didasarkan pada WireGuard yang ditunneling melalui TLS. Oleh karena itu, protokol ini menggunakan enkripsi yang sama dengan WireGuard, dengan lapisan tambahan enkripsi TLS. Selain itu, identik dengan WireGuard (dijelaskan di atas).
Pelajari lebih lanjut tentang Stealth
Istilah penting lainnya
Saat melihat perbandingan protokol VPN yang berbeda, Anda mungkin menemukan akronim atau istilah teknis yang tidak Anda kenal. Kami menjelaskan beberapa yang paling penting di sini.
TCP vs. UDP
Transmission control protocol (TCP) dan user datagram protocol (UDP) adalah dua cara berbeda agar perangkat dapat berkomunikasi satu sama lain melalui internet. Keduanya berjalan pada Internet Protocol, yang bertanggung jawab untuk mengirim paket data ke dan dari alamat IP.
Saat melihat bahwa protokol tunneling menggunakan port TCP atau port UDP, itu berarti protokol tersebut menyiapkan koneksi antara komputer dan server VPN menggunakan salah satu dari dua protokol ini.
Apakah protokol VPN menggunakan TCP, UDP, atau keduanya dapat memengaruhi kinerjanya secara signifikan. TCP terutama berfokus pada pengiriman data secara akurat dengan menjalankan pemeriksaan tambahan untuk memastikan bahwa data dalam urutan yang tepat dan memperbaikinya jika tidak.
Ini terdengar seperti fitur yang bagus, tetapi melakukan pemeriksaan membutuhkan waktu, yang mengakibatkan kinerja lebih lambat. Menjalankan VPN melalui TCP (TCP over TCP) dapat memperlambat koneksi dalam apa yang disebut TCP meltdown.
Misalnya, jika memiliki lalu lintas TCP yang melewati terowongan TCP OpenVPN dan data TCP dalam terowongan mendeteksi kesalahan, itu akan mencoba mengompensasi, yang dapat menyebabkan terowongan TCP mengompensasi secara berlebihan. Proses ini dapat menyebabkan penundaan parah dalam pengiriman data.
Namun, ini juga bagus untuk mengalahkan penyensoran. Ini karena lalu lintas HTTPS(jendela baru) menggunakan port TCP 443, jadi jika merutekan koneksi VPN melalui port yang sama, itu terlihat seperti lalu lintas VPN aman biasa.
Kemampuan untuk menjalankan lalu lintas VPN melalui port 443 adalah salah satu keuntungan terbesar menggunakan OpenVPN (dan WireGuard, jika menggunakan implementasi TCP khusus protokol dari Proton VPN).
Pelajari lebih lanjut tentang TCP dan UDP
Perfect Forward Secrecy
Perfect Forward Secrecy adalah komponen keamanan penting dari komunikasi terenkripsi. Ini mengacu pada operasi yang mengatur bagaimana kunci enkripsi dihasilkan. Jika VPN mendukung Perfect Forward Secrecy, itu akan membuat satu set kunci unik untuk setiap sesi (yaitu, setiap kali Anda membuat koneksi VPN baru).
Ini berarti bahwa bahkan jika penyerang entah bagaimana mendapatkan salah satu kunci, mereka hanya dapat menggunakannya untuk mengakses data dari sesi VPN tertentu itu. Data di sesi lainnya akan tetap aman karena kunci unik yang berbeda melindunginya. Ini juga berarti bahwa kunci sesi akan tetap aman bahkan jika kunci pribadi VPN terekspos.
Protokol yang digunakan oleh aplikasi Proton VPN
Kami memulai Proton VPN untuk memastikan aktivis, pembangkang, dan jurnalis memiliki akses yang aman dan pribadi ke internet. Untuk menjaga komunitas Proton tetap aman, kami hanya menggunakan protokol VPN yang tepercaya dan telah diperiksa. Daftar berikut menunjukkan protokol VPN mana yang didukung di aplikasi kami yang berbeda:
- Windows: OpenVPN, WireGuard®, dan Stealth
- macOS: OpenVPN, IKEv2, WireGuard, dan Stealth
- Android: OpenVPN, WireGuard, dan Stealth
- iOS/iPadOS: OpenVPN, IKEv2, WireGuard, dan Stealth
- Linux: OpenVPN dan WireGuard
Anda dapat menggunakan OpenVPN dan WireGuard dalam mode UDP atau TCP.
Pelajari cara mengubah protokol VPN
Aplikasi Windows, macOS, Android, dan iOS/iPadOS kami mendukung Smart Protocol. Ini adalah fitur anti-penyensoran yang secara cerdas memeriksa jaringan untuk menemukan konfigurasi protokol VPN terbaik yang diperlukan untuk kinerja optimal atau melewati penyensoran.
Misalnya, fitur ini dapat secara otomatis beralih dari IKEv2 ke OpenVPN, atau OpenVPN UDP ke OpenVPN TCP, menggunakan port berbeda sesuai kebutuhan.
Pelajari lebih lanjut tentang Smart Protocol
Semua aplikasi kami menggunakan pengaturan keamanan terkuat yang didukung oleh protokol VPN. OpenVPN, WireGuard, dan IKEv2/IPSec adalah satu-satunya protokol yang disetujui oleh sebagian besar ahli keamanan TI sebagai aman.
Kami menolak untuk menawarkan koneksi VPN apa pun menggunakan PPTP atau L2TP/IPSec (meskipun lebih murah untuk dijalankan dan lebih mudah dikonfigurasi) karena keamanannya tidak memenuhi standar kami.
Saat masuk ke Proton VPN, Anda dapat yakin bahwa koneksi VPN menggunakan protokol tunneling terbaru dan terkuat.
Hormat kami,
Tim Proton VPN
Media sosial kami dapat diikuti untuk terus mengikuti rilis Proton VPN terbaru:
Twitter (jendela baru)| Facebook(jendela baru) | Reddit(jendela baru)
Untuk mendapatkan akun email terenkripsi Proton Mail gratis, kunjungi: proton.me/mail(jendela baru)
