Acest articol a fost actualizat pentru a include protocoalele VPN WireGuard® și Stealth.
Explicăm ce este un protocol VPN și ce face acesta. De asemenea, comparăm punctele forte și punctele slabe ale celor mai comune protocoale, inclusiv OpenVPN, WireGuard®, IKEv2, PPTP și L2TP.
Înainte de a avea încredere într-un VPN pentru a vă proteja activitatea pe internet, trebuie să vă asigurați că au pus în aplicare măsurile de protecție necesare. Evaluarea aspectelor mai tehnice ale unui VPN poate fi dificilă. Adesea înseamnă să te lupți pentru a înțelege o supă de alfabet de acronime diferite.
Am început o serie de postări în care explicăm unele dintre măsurile noastre de securitate, astfel încât oamenii să poată lua decizii mai informate. Prima noastră postare a explicat ce înseamnă HMAC SHA-384. Această postare va investiga protocoalele VPN, ce fac acestea, cum funcționează și ce înseamnă dacă un serviciu VPN folosește OpenVPN peste L2TP, de exemplu.
Această postare aprofundează unele dintre mecanismele interne ale VPN-urilor. Deși încercăm să explicăm termenii clar, această postare va fi mai utilă dacă aveți câteva cunoștințe tehnice de bază. Dacă nu sunteți sigur cum funcționează un VPN, ar putea fi util să citiți articolul de mai jos înainte de a continua.
Aflați cum funcționează un VPN
Protocoale VPN
VPN-urile se bazează pe ceea ce se numește „tunelare” pentru a crea o rețea privată între două computere prin internet. Un protocol VPN, cunoscut și sub numele de „protocol de tunelare”, reprezintă instrucțiunile pe care dispozitivul dvs. le folosește pentru a negocia conexiunea criptată sigură care formează rețeaua dintre computerul dvs. și un altul.
Un protocol VPN este de obicei alcătuit din două canale: un canal de date și un canal de control. Canalul de control este responsabil pentru schimbul de chei, autentificare și schimburile de parametri (cum ar fi furnizarea unui IP sau rute și servere DNS). Canalul de date, așa cum probabil ați ghicit, este responsabil pentru transportul datelor dvs. de trafic internet. Împreună, aceste două canale stabilesc și mențin un tunel VPN securizat. Totuși, pentru ca datele dvs. să treacă prin acest tunel securizat, ele trebuie să fie încapsulate.
Încapsularea este atunci când un protocol VPN ia biți de date, cunoscuți ca pachete de date, din traficul dvs. de internet și îi plasează într-un alt pachet. Acest strat suplimentar este necesar deoarece configurațiile de protocol pe care le folosește VPN-ul dvs. în interiorul canalului de date nu sunt neapărat aceleași cu cele pe care le folosește internetul obișnuit. Stratul suplimentar permite informațiilor dvs. să călătorească prin tunelul VPN și să ajungă la destinația corectă.
Totul este puțin tehnic, deci o privire generală: Când vă conectați la un server VPN, VPN-ul folosește canalul său de control pentru a stabili chei partajate și a se conecta între dispozitivul dvs. și server. Odată ce această conexiune este stabilită, canalul de date începe să transmită traficul dvs. de internet. Când un VPN discută despre punctele forte și punctele slabe ale performanței sale sau vorbește despre un „tunel VPN securizat”, acesta vorbește despre canalul său de date. Odată ce tunelul VPN a fost stabilit, canalul de control are apoi sarcina de a menține stabilitatea conexiunii.
PPTP
Point-to-Point Tunneling Protocol (PPTP) este unul dintre cele mai vechi protocoale VPN. A fost dezvoltat inițial cu asistență din partea Microsoft și, prin urmare, toate versiunile de Windows și majoritatea celorlalte sisteme de operare au asistență nativă pentru PPTP.
PPTP utilizează Point-to-Point Protocol (PPP), care este ca un proto-VPN în sine. Deși este destul de vechi, PPP poate autentifica un utilizator (de obicei cu MS-CHAP v2) și poate încapsula datele în sine, lăsându-l să gestioneze atât sarcinile canalului de control, cât și pe cele ale canalului de date. Cu toate acestea, PPP nu este rutabil; nu poate fi trimis pe internet de unul singur. Astfel, PPTP încapsulează din nou datele încapsulate PPP folosind încapsularea generică de direcționare (GRE) pentru a stabili canalul său de date.
Din păcate, PPTP nu are propriile caracteristici de criptare sau autentificare. Se bazează pe PPP pentru a implementa aceste funcții — ceea ce este problematic, deoarece sistemul de autentificare al PPP și criptarea pe care Microsoft a adăugat-o la acesta, MPPE, sunt ambele slabe.
Criptare: Protocolul Microsoft Point-to-Point Encryption (MPPE(fereastră nouă)), care utilizează algoritmul RSA RC4. Puterea maximă a MPPE este de chei pe 128 de biți.
Viteză: Deoarece protocoalele sale de criptare nu necesită multă putere de calcul (RC4 și doar chei pe 128 de biți), PPTP menține viteze rapide de conexiune.
Vulnerabilități cunoscute: PPTP a avut numeroase vulnerabilități de securitate cunoscute încă din 1998. Una dintre cele mai grave vulnerabilități exploatează autentificarea MS-CHAP v2 neîncapsulată pentru a efectua un atac man-in-the-middle (MITM).
Porturi firewall: Portul TCP 1723. Utilizarea GRE de către PPTP înseamnă că acesta nu poate naviga printr-un firewall cu traducerea adreselor de rețea și este unul dintre cele mai ușor de blocat protocoale VPN. (Un firewall NAT permite mai multor persoane să partajeze o singură adresă IP publică în același timp. Acest lucru este important deoarece majoritatea utilizatorilor individuali nu au propria adresă IP.)
Stabilitate: PPTP nu este la fel de fiabil și nici nu se recuperează la fel de repede ca OpenVPN pe conexiunile de rețea instabile.
Concluzie: Dacă sunteți îngrijorat de securizarea datelor dumneavoastră, nu există niciun motiv să utilizați PPTP. Chiar și Microsoft a sfătuit(fereastră nouă) utilizatorii săi să facă upgrade la alte protocoale VPN pentru a-și proteja datele.
L2TP/IPSec
Layer two tunneling protocol (L2TP) a fost menit să înlocuiască PPTP. L2TP poate gestiona autentificarea pe cont propriu și efectuează încapsularea UDP, astfel încât, într-un fel, poate forma atât canalul de control, cât și canalul de date. Cu toate acestea, similar cu PPTP, nu adaugă nicio criptare în sine. Deși L2TP poate trimite PPP, pentru a evita slăbiciunile inerente ale PPP, L2TP este de obicei asociat cu suita Internet Protocol security (IPSec) pentru a gestiona criptarea și autentificarea sa.
IPSec este un cadru flexibil care poate fi aplicat VPN-urilor, precum și direcționării și securității la nivel de aplicație. Când vă conectați la un server VPN cu L2TP/IPSec, IPSec negociază cheile partajate și autentifică conexiunea unui canal de control securizat între dispozitivul dumneavoastră și server.
Apoi, IPSec încapsulează datele. Când IPSec efectuează această încapsulare, aplică un antet de autentificare și utilizează Encapsulation Security Payload (ESP). Aceste antete speciale adaugă o semnătură digitală fiecărui pachet, astfel încât atacatorii nu pot falsifica datele dumneavoastră fără a alerta serverul VPN.
ESP criptează pachetele de date încapsulate, astfel încât niciun atacator să nu le poată citi (și, în funcție de setările VPN-ului, autentifică și pachetul de date). Odată ce IPSec a încapsulat datele, L2TP încapsulează acele date din nou folosind UDP, astfel încât să poată trece prin canalul de date.
Mai multe protocoale VPN, inclusiv IKEv2, utilizează criptarea IPSec. Deși este în general sigur, IPSec este foarte complex, ceea ce poate duce la o implementare slabă. L2TP/IPSec este acceptat pe majoritatea sistemelor de operare majore.
Criptare: L2TP/IPSec poate utiliza criptare 3DES sau AES, deși, având în vedere că 3DES este acum considerat un cifru slab, este rareori utilizat.
Viteză: L2TP/IPSec este, în general, mai lent decât OpenVPN atunci când se utilizează aceeași putere de criptare. Acest lucru se datorează în principal faptului că criptarea AES utilizată de OpenVPN este accelerată hardware pe majoritatea procesoarelor obișnuite.
Vulnerabilități cunoscute: L2TP/IPSec este un protocol VPN avansat, dar o prezentare NSA divulgată(fereastră nouă) sugerează că agenția de informații a găsit deja modalități de a-l falsifica. În plus, din cauza complexității IPSec, mulți furnizori de VPN au utilizat chei pre-partajate(fereastră nouă) pentru a configura L2TP/IPSec.
Porturi firewall: Portul UDP 500 este utilizat pentru schimbul inițial de chei, portul UDP 5500 pentru traversarea NAT și portul UDP 1701 pentru a permite traficul L2TP. Deoarece utilizează aceste porturi fixe, L2TP/IPSec este mai ușor de blocat decât alte protocoale.
Stabilitate: L2TP/IPSec nu este la fel de stabil ca unele dintre protocoalele VPN mai avansate. Complexitatea sa poate duce la căderi frecvente ale rețelei.
Concluzie: Securitatea L2TP/IPSec este, fără îndoială, o îmbunătățire față de PPTP, dar s-ar putea să nu vă protejeze datele de atacatorii avansați. Vitezele sale mai mici și instabilitatea înseamnă, de asemenea, că utilizatorii ar trebui să ia în considerare utilizarea L2TP/IPSec numai dacă nu există alte opțiuni.
IKEv2/IPSec
Internet key exchange version two (IKEv2) este un protocol de tunelare relativ nou care face parte, de fapt, din suita IPSec. Microsoft și Cisco au cooperat la dezvoltarea protocolului original IKEv2/IPSec, dar există acum multe iterații cu cod sursă public.
IKEv2 configurează un canal de control prin autentificarea unui canal de comunicare securizat între dispozitivul dumneavoastră și serverul VPN utilizând algoritmul Diffie–Hellman key exchange(fereastră nouă). IKEv2 utilizează apoi acel canal de comunicare securizat pentru a stabili ceea ce se numește o asociere de securitate, ceea ce înseamnă pur și simplu că dispozitivul dumneavoastră și serverul VPN utilizează aceleași chei de criptare și algoritmi pentru a comunica.
Odată ce asocierea de securitate este stabilită, IPSec poate crea un tunel, poate aplica antete autentificate pachetelor de date și le poate încapsula cu ESP. (Din nou, în funcție de cifrul utilizat, ESP ar putea gestiona autentificarea mesajului.) Pachetele de date încapsulate sunt apoi încapsulate din nou în UDP, astfel încât să poată trece prin tunel.
IKEv2/IPSec este acceptat pe Windows 7 și versiunile ulterioare, macOS 10.11 și versiunile ulterioare, precum și pe majoritatea sistemelor de operare mobile.
Criptare: IKEv2/IPSec poate utiliza o gamă de algoritmi criptografici diferiți, inclusiv AES, Blowfish și Camellia. Are asistență pentru criptarea pe 256 de biți.
Viteză: IKEv2/IPSec este un protocol VPN rapid, deși nu este de obicei la fel de rapid ca OpenVPN sau WireGuard accelerate hardware.
Vulnerabilități cunoscute: IKEv2/IPSec nu are slăbiciuni cunoscute, iar aproape toți experții în securitate IT consideră că este sigur atunci când este implementat corect cu Perfect Forward Secrecy.
Porturi firewall: Portul UDP 500 este utilizat pentru schimbul inițial de chei și portul UDP 4500 pentru traversarea NAT. Deoarece utilizează întotdeauna aceste porturi, IKEv2/IPSec este mai ușor de blocat decât alte protocoale.
Stabilitate: IKEv2/IPSec are asistență pentru protocolul Mobility and Multihoming, ceea ce îl face mai fiabil decât majoritatea celorlalte protocoale VPN, în special pentru utilizatorii care comută adesea între diferite rețele Wi-Fi.
Concluzie: Cu o securitate puternică, viteze mari și o stabilitate sporită, IKEv2/IPSec este un protocol VPN bun. Cu toate acestea, introducerea recentă a WireGuard înseamnă că există puține motive pentru a-l alege în detrimentul protocolului VPN mai nou.
OpenVPN
OpenVPN este un protocol de tunelare cu cod sursă public. Spre deosebire de protocoalele VPN care se bazează pe suita IPSec, OpenVPN utilizează SSL/TLS pentru a gestiona schimbul de chei și pentru a configura canalul său de control și un protocol OpenVPN unic pentru a gestiona încapsularea și canalul de date.
Aceasta înseamnă că atât canalul său de date, cât și canalul său de control sunt criptate, ceea ce îl face oarecum unic în comparație cu alte protocoale VPN. Este acceptat pe toate sistemele de operare majore prin intermediul software-ului terț.
Criptare: OpenVPN poate utiliza oricare dintre diferiții algoritmi criptografici conținuți în biblioteca OpenSSL(fereastră nouă) pentru a cripta datele sale, inclusiv AES, RC5 și Blowfish.
Aflați mai multe despre criptarea AES
Viteză: Când utilizează UDP, OpenVPN menține conexiuni rapide, deși IKEv2/IPSec și WireGuard sunt în general acceptate ca fiind mai rapide.
Vulnerabilități cunoscute: OpenVPN nu are vulnerabilități cunoscute atâta timp cât este implementat cu un algoritm de criptare suficient de puternic și Perfect Forward Secrecy. Este standardul industriei pentru VPN-urile preocupate de securitatea datelor.
Porturi firewall: OpenVPN poate fi configurat să ruleze pe orice port UDP sau TCP, inclusiv portul TCP 443, care gestionează tot traficul HTTPS și îl face foarte greu de blocat.
Stabilitate: OpenVPN este foarte stabil în general și are un mod TCP pentru înfrângerea cenzurii.
Concluzie: OpenVPN este sigur, fiabil și cu cod sursă public. Este unul dintre cele mai bune protocoale VPN utilizate în prezent, în special pentru utilizatorii preocupați în primul rând de securitatea datelor. Capacitatea sa de a direcționa conexiunile prin TCP (vezi mai jos) îl face, de asemenea, o alegere bună pentru evitarea cenzurii. Cu toate acestea, deși îi lipsește avantajul anti-cenzură al OpenVPN, WireGuard este, de asemenea, sigur și este mai rapid decât OpenVPN.
WireGuard®
WireGuard(fereastră nouă) este un protocol VPN cu cod sursă public care este sigur, rapid și eficient.
Criptare: WireGuard utilizează ChaCha20 pentru criptarea simetrică (RFC7539(fereastră nouă)), Curve25519 pentru schimbul anonim de chei, Poly1305 pentru autentificarea datelor și BLAKE2s pentru hashing (RFC7693(fereastră nouă)). Are asistență automată pentru Perfect Forward Secrecy.
Viteză: WireGuard utilizează algoritmi criptografici noi, de mare viteză. ChaCha20, de exemplu, este mult mai simplu decât cifrurile AES de putere egală și aproape la fel de rapid, chiar dacă majoritatea dispozitivelor vin acum cu instrucțiuni pentru AES încorporate în hardware-ul lor. Rezultatul este că WireGuard oferă viteze rapide de conexiune și are cerințe reduse de procesor.
Vulnerabilități cunoscute: WireGuard a fost supus diferitelor verificări formale, iar pentru a fi încorporat în kernelul Linux, baza de cod Linux a WireGuard a fost auditată independent(fereastră nouă) de un terț.
Porturi firewall: WireGuard poate fi configurat să utilizeze orice port și, de obicei, rulează peste UDP. Cu toate acestea, Proton VPN oferă și un WireGuard TCP în majoritatea aplicațiilor noastre.
Stabilitate: WireGuard este un protocol VPN foarte stabil și introduce noi caracteristici pe care alte protocoale de tunelare nu le au, cum ar fi menținerea unei conexiuni VPN în timp ce schimbați serverele VPN sau rețelele Wi-Fi.
Concluzie: Un protocol VPN de ultimă generație, WireGuard este rapid, eficient și sigur. Nu este la fel de „testat în luptă” ca OpenVPN și nu oferă capacitățile anti-cenzură bazate pe TCP ale OpenVPN (vezi mai jos), dar pentru majoritatea oamenilor, în cea mai mare parte a timpului, este protocolul VPN pe care recomandăm să îl utilizați.
Aflați mai multe despre WireGuard
Stealth
Stealth este un nou protocol VPN dezvoltat de Proton. Cu acesta, puteți accesa site-uri cenzurate și comunica cu oameni pe rețelele sociale, chiar și atunci când protocoalele VPN obișnuite sunt blocate de guvernul sau organizația dumneavoastră.
Stealth se bazează pe WireGuard tunelat peste TLS. Prin urmare, utilizează aceeași criptare ca WireGuard, cu un strat adăugat de criptare TLS. În rest, este identic cu WireGuard (descris mai sus).
Aflați mai multe despre Stealth
Alți termeni importanți
Parcurgând comparațiile diferitelor protocoale VPN, s-ar putea să fi întâlnit acronime sau termeni tehnici cu care nu erați familiarizat. Explicăm aici câțiva dintre cei mai importanți.
TCP vs. UDP
Transmission control protocol (TCP) și user datagram protocol (UDP) sunt cele două modalități diferite prin care dispozitivele pot comunica între ele prin internet. Ambele rulează pe protocolul Internet, care este responsabil pentru trimiterea pachetelor de date către și de la adrese IP.
Când vedeți că un protocol de tunelare utilizează un port TCP sau un port UDP, înseamnă că acesta configurează o conexiune între computerul dumneavoastră și serverul VPN utilizând unul dintre aceste două protocoale.
Faptul că un protocol VPN utilizează TCP, UDP sau ambele poate afecta semnificativ performanța acestuia. TCP se concentrează în primul rând pe livrarea cu precizie a datelor prin rularea unor verificări suplimentare pentru a se asigura că datele sunt în ordinea corectă și corectarea acestora dacă nu sunt.
Acest lucru sună ca o caracteristică bună, dar efectuarea verificărilor necesită timp, rezultând o performanță mai lentă. Rularea unui VPN peste TCP (TCP peste TCP) vă poate încetini conexiunea în ceea ce se numește o topire TCP.
De exemplu, dacă aveți trafic TCP care trece printr-un tunel TCP OpenVPN și datele TCP din tunel detectează o eroare, acesta va încerca să compenseze, ceea ce ar putea determina tunelul TCP să supracompenseze. Acest proces poate provoca întârzieri severe în livrarea datelor dumneavoastră.
Cu toate acestea, este bun și pentru înfrângerea cenzurii. Acest lucru se datorează faptului că traficul HTTPS(fereastră nouă) utilizează portul TCP 443, deci dacă direcționați conexiunea VPN peste același port, arată ca un trafic VPN securizat obișnuit.
Capacitatea de a rula trafic VPN peste portul 443 este unul dintre cele mai mari avantaje ale utilizării OpenVPN (și WireGuard, dacă utilizați implementarea TCP personalizată a protocolului de la Proton VPN).
Aflați mai multe despre TCP și UDP
Perfect Forward Secrecy
Perfect Forward Secrecy este o componentă critică de securitate a comunicării criptate. Se referă la operațiunile care guvernează modul în care sunt generate cheile dumneavoastră de criptare. Dacă VPN-ul dumneavoastră are asistență pentru Perfect Forward Secrecy, va crea un set unic de chei pentru fiecare sesiune (adică, de fiecare dată când stabiliți o nouă conexiune VPN).
Aceasta înseamnă că, chiar dacă un atacator obține cumva una dintre cheile dumneavoastră, o poate folosi doar pentru a accesa datele din acea sesiune VPN specifică. Datele din restul sesiunilor dumneavoastră ar rămâne sigure, deoarece chei unice diferite le protejează. De asemenea, înseamnă că cheia dumneavoastră de sesiune va rămâne sigură chiar dacă cheia privată a VPN-ului dumneavoastră este expusă.
Protocoale utilizate de aplicațiile Proton VPN
Am pornit Proton VPN pentru a ne asigura că activiștii, dizidenții și jurnaliștii au acces securizat și privat la internet. Pentru a menține comunitatea Proton în siguranță, folosim doar protocoale VPN aprobate și verificate. Următoarea listă arată ce protocoale VPN sunt acceptate în diferitele noastre aplicații:
- Windows: OpenVPN, WireGuard® și Stealth
- macOS: OpenVPN, IKEv2, WireGuard și Stealth
- Android: OpenVPN, WireGuard și Stealth
- iOS/iPadOS: OpenVPN, IKEv2, WireGuard și Stealth
- Linux: OpenVPN și WireGuard
Puteți utiliza OpenVPN și WireGuard în modurile UDP sau TCP.
Aflați cum să schimbați protocoalele VPN
Aplicațiile noastre pentru Windows, macOS, Android și iOS/iPadOS au asistență pentru Smart Protocol. Această caracteristică anti-cenzură sondează inteligent rețelele pentru a descoperi cea mai bună configurare a protocolului VPN necesară pentru performanțe optime sau pentru a ocoli cenzura.
De exemplu, poate comuta automat de la IKEv2 la OpenVPN sau OpenVPN UDP la OpenVPN TCP, folosind diferite porturi după cum este necesar.
Aflați mai multe despre Smart Protocol
Toate aplicațiile noastre utilizează cele mai puternice setări de securitate acceptate de protocolul VPN. OpenVPN, WireGuard și IKEv2/IPSec sunt singurele protocoale pe care marea majoritate a experților în securitate IT sunt de acord că sunt sigure.
Refuzăm să oferim orice conexiuni VPN folosind PPTP sau L2TP/IPSec (chiar dacă sunt mai ieftine de rulat și mai ușor de configurat) deoarece securitatea lor nu îndeplinește standardele noastre.
Când vă conectați la Proton VPN, puteți fi încrezător că conexiunea dumneavoastră VPN utilizează cele mai recente și mai puternice protocoale de tunelare.
Cu stimă,
Echipa Proton VPN
Ne puteți urmări pe rețelele de socializare pentru a fi la curent cu cele mai recente lansări Proton VPN:
Twitter (fereastră nouă)| Facebook(fereastră nouă) | Reddit(fereastră nouă)
Pentru a obține un cont de e-mail criptat gratuit Proton Mail, vizitați: proton.me/mail(fereastră nouă)
