บทความนี้ได้รับการอัปเดตเพื่อรวมโปรโตคอล WireGuard® และ Stealth VPN
เราอธิบายว่าโปรโตคอล VPN คืออะไรและทำอะไรได้บ้าง เรายังเปรียบเทียบจุดแข็งและจุดอ่อนของโปรโตคอลที่พบบ่อยที่สุด รวมถึง OpenVPN, WireGuard®, IKEv2, PPTP และ L2TP
ก่อนที่จะเชื่อถือ VPN เพื่อปกป้องกิจกรรมทางอินเทอร์เน็ต จำเป็นต้องตรวจสอบให้แน่ใจว่าพวกเขาได้วางมาตรการป้องกันที่จำเป็น การประเมินด้านเทคนิคของ VPN อาจเป็นเรื่องยาก ซึ่งมักหมายถึงการพยายามทำความเข้าใจคำย่อต่างๆ มากมาย
เราได้เริ่มชุดโพสต์ที่เราอธิบายมาตรการความปลอดภัยบางอย่างของเรา เพื่อให้ผู้คนสามารถตัดสินใจได้อย่างมีข้อมูลมากขึ้น โพสต์แรกของเรา อธิบายว่า HMAC SHA-384 หมายถึงอะไร โพสต์นี้จะตรวจสอบโปรโตคอล VPN ว่าทำอะไร ทำงานอย่างไร และหมายความว่าอย่างไรหากบริการ VPN ใช้ OpenVPN over L2TP เป็นต้น
โพสต์นี้เจาะลึกการทำงานภายในบางส่วนของ VPN แม้ว่าเราจะพยายามอธิบายคำศัพท์ให้ชัดเจน แต่โพสต์นี้จะมีประโยชน์มากขึ้นหากมีความรู้ทางเทคนิคพื้นฐานมาบ้าง หากไม่แน่ใจว่า VPN ทำงานอย่างไร อาจเป็นประโยชน์หากคุณได้อ่านบทความที่เชื่อมโยงด้านล่างก่อนดำเนินการต่อ
โปรโตคอล VPN
VPN อาศัยสิ่งที่เรียกว่า “tunneling” เพื่อสร้างเครือข่ายส่วนตัวระหว่างคอมพิวเตอร์สองเครื่องผ่านอินเทอร์เน็ต โปรโตคอล VPN หรือที่เรียกว่า “tunneling protocol” คือคำสั่งที่อุปกรณ์ใช้ในการเจรจาการเชื่อมต่อที่เข้ารหัสที่ปลอดภัยซึ่งสร้างเครือข่ายระหว่างคอมพิวเตอร์ของคุณกับเครื่องอื่น
โปรโตคอล VPN มักประกอบด้วยสองช่อง: ช่องข้อมูลและช่องควบคุม ช่องควบคุมมีหน้าที่รับผิดชอบในการแลกเปลี่ยนคีย์ การยืนยันตัวตน และการแลกเปลี่ยนพารามิเตอร์ (เช่น การให้ IP หรือเส้นทางและเซิร์ฟเวอร์ DNS) ช่องข้อมูล อย่างที่คุณอาจเดาได้ มีหน้าที่รับผิดชอบในการขนส่งข้อมูลทราฟฟิกอินเทอร์เน็ต ทั้งสองช่องนี้ร่วมกันสร้างและรักษาอุโมงค์ VPN ที่ปลอดภัย อย่างไรก็ตาม เพื่อให้ข้อมูลผ่านอุโมงค์ที่ปลอดภัยนี้ได้ ข้อมูลจะต้องถูกห่อหุ้ม
Encapsulation คือเมื่อโปรโตคอล VPN นำบิตข้อมูลที่เรียกว่าแพ็กเก็ตข้อมูลจากทราฟฟิกอินเทอร์เน็ตและวางไว้ในอีกแพ็กเก็ตหนึ่ง เลเยอร์พิเศษนี้จำเป็นเนื่องจากการกำหนดค่าโปรโตคอลที่ VPN ใช้ภายในช่องข้อมูลไม่จำเป็นต้องเหมือนกับที่อินเทอร์เน็ตปกติใช้ เลเยอร์เพิ่มเติมช่วยให้ข้อมูลเดินทางผ่านอุโมงค์ VPN และไปถึงจุดหมายปลายทางที่ถูกต้องได้
ทั้งหมดนี้ค่อนข้างเป็นเทคนิค ดังนั้นภาพรวมกว้างๆ: เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ VPN VPN จะใช้ช่องควบคุมเพื่อสร้างคีย์ที่แชร์และเชื่อมต่อระหว่างอุปกรณ์และเซิร์ฟเวอร์ เมื่อสร้างการเชื่อมต่อนี้แล้ว ช่องข้อมูลจะเริ่มส่งทราฟฟิกอินเทอร์เน็ต เมื่อ VPN พูดถึงจุดแข็งและจุดอ่อนของประสิทธิภาพหรือพูดถึง “อุโมงค์ VPN ที่ปลอดภัย” มันกำลังพูดถึงช่องข้อมูล เมื่อสร้างอุโมงค์ VPN แล้ว ช่องควบคุมจะมีหน้าที่รักษาความเสถียรของการเชื่อมต่อ
PPTP
Point-to-Point Tunneling Protocol (PPTP) เป็นหนึ่งในโปรโตคอล VPN ที่เก่าแก่กว่า เริ่มแรกได้รับการพัฒนาด้วยการสนับสนุนจาก Microsoft และด้วยเหตุนี้ Windows ทุกเวอร์ชันและระบบปฏิบัติการส่วนใหญ่อื่นๆ จึงมี Native support สำหรับ PPTP
PPTP ใช้ Point-to-Point Protocol (PPP) ซึ่งเปรียบเสมือนโปรโต VPN ในตัว แม้จะค่อนข้างเก่า แต่ PPP สามารถยืนยันตัวตนผู้ใช้ (โดยปกติใช้ MS-CHAP v2) และห่อหุ้มข้อมูลได้ด้วยตัวเอง ทำให้สามารถจัดการหน้าที่ทั้งช่องควบคุมและช่องข้อมูล อย่างไรก็ตาม PPP ไม่สามารถทำการกำหนดเส้นทางได้ มันไม่สามารถส่งผ่านอินเทอร์เน็ตได้ด้วยตัวเอง ดังนั้น PPTP จึงห่อหุ้มข้อมูลที่ห่อหุ้มด้วย PPP อีกครั้งโดยใช้ Generic Routing Encapsulation (GRE) เพื่อสร้างช่องข้อมูล
น่าเสียดายที่ PPTP ไม่มีคุณสมบัติการเข้ารหัสลับหรือการยืนยันตัวตนเป็นของตัวเอง โดยต้องอาศัย PPP ในการใช้งานฟังก์ชันเหล่านี้ ซึ่งเป็นปัญหาเนื่องจากระบบการยืนยันตัวตนของ PPP และการเข้ารหัสลับที่ Microsoft เพิ่มเข้ามาอย่าง MPPE ล้วนอ่อนแอ
การเข้ารหัสลับ: โปรโตคอล Point-to-Point Encryption ของ Microsoft (MPPE(หน้าต่างใหม่)) ซึ่งใช้อัลกอริทึม RSA RC4 ความรัดกุมสูงสุดของ MPPE คือคีย์ 128 บิต
ความเร็ว: เนื่องจากโปรโตคอลการเข้ารหัสลับไม่ต้องการพลังการประมวลผลมากนัก (RC4 และคีย์เพียง 128 บิต) PPTP จึงรักษาความเร็วการเชื่อมต่อที่รวดเร็วไว้ได้
ช่องโหว่ที่ทราบ: PPTP มีช่องโหว่ด้านความปลอดภัยที่ทราบจำนวนมากตั้งแต่ปี 1998 หนึ่งในช่องโหว่ที่รุนแรงที่สุดใช้ประโยชน์จากการยืนยันตัวตน MS-CHAP v2 ที่ไม่มีการห่อหุ้มเพื่อทำการโจมตีแบบคนกลาง (MITM)
พอร์ตไฟร์วอลล์: พอร์ต TCP 1723 การที่ PPTP ใช้ GRE หมายความว่าไม่สามารถนำทางไฟร์วอลล์แบบแปลที่อยู่เครือข่าย (NAT) ได้ และเป็นหนึ่งในโปรโตคอล VPN ที่บล็อกได้ง่ายที่สุด (NAT ไฟร์วอลล์อนุญาตให้หลายคนแชร์ที่อยู่ IP สาธารณะเดียวในเวลาเดียวกัน ซึ่งสำคัญเพราะผู้ใช้ส่วนใหญ่ไม่มีที่อยู่ IP เป็นของตัวเอง)
ความเสถียร: PPTP ไม่น่าเชื่อถือเท่า และไม่กู้คืนได้เร็วเท่า OpenVPN เมื่อผ่านการเชื่อมต่อเครือข่ายที่ไม่เสถียร
บทสรุป: หากกังวลเกี่ยวกับการรักษาความปลอดภัยของข้อมูล ก็ไม่มีเหตุผลที่จะใช้ PPTP แม้แต่ Microsoft ก็แนะนำ(หน้าต่างใหม่)ให้ผู้ใช้อัปเกรดเป็นโปรโตคอล VPN อื่นเพื่อปกป้องข้อมูล
L2TP/IPSec
Layer Two Tunneling Protocol (L2TP) ถูกสร้างขึ้นเพื่อแทนที่ PPTP โดย L2TP สามารถจัดการการยืนยันตัวตนได้ด้วยตัวเองและทำการห่อหุ้ม UDP ดังนั้นในทางหนึ่ง มันสามารถสร้างทั้งช่องควบคุมและช่องข้อมูลได้ อย่างไรก็ตาม เช่นเดียวกับ PPTP มันไม่ได้เพิ่มการเข้ารหัสลับใดๆ ด้วยตัวเอง แม้ว่า L2TP จะสามารถส่ง PPP ได้ แต่เพื่อหลีกเลี่ยงจุดอ่อนที่มีอยู่ใน PPP โดยปกติ L2TP จะจับคู่กับชุด Internet Protocol security (IPSec) เพื่อจัดการการเข้ารหัสลับและการยืนยันตัวตน
IPSec เป็นเฟรมเวิร์กที่ยืดหยุ่นซึ่งสามารถนำไปใช้กับ VPN รวมถึงความปลอดภัยระดับการกำหนดเส้นทางและแอปพลิเคชัน เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ VPN ด้วย L2TP/IPSec ทาง IPSec จะเจรจาคีย์ที่แชร์และยืนยันตัวตนการเชื่อมต่อของช่องควบคุมที่ปลอดภัยระหว่างอุปกรณ์กับเซิร์ฟเวอร์
จากนั้น IPSec จะห่อหุ้มข้อมูล เมื่อ IPSec ทำการห่อหุ้มนี้ มันจะนำไปใช้ส่วนหัวการยืนยันตัวตนและใช้ Encapsulation Security Payload (ESP) ส่วนหัวพิเศษเหล่านี้จะเพิ่มลายเซ็นดิจิทัลให้กับแต่ละแพ็กเก็ต เพื่อไม่ให้ผู้โจมตีแทรกแซงข้อมูลได้โดยไม่แจ้งเตือนเซิร์ฟเวอร์ VPN
ESP เข้ารหัสแพ็กเก็ตข้อมูลที่ถูกห่อหุ้มเพื่อไม่ให้ผู้โจมตีอ่านได้ (และขึ้นอยู่กับการตั้งค่าของ VPN จะทำการยืนยันตัวตนแพ็กเก็ตข้อมูลด้วย) เมื่อ IPSec ห่อหุ้มข้อมูลแล้ว L2TP จะห่อหุ้มข้อมูลนั้นอีกครั้งโดยใช้ UDP เพื่อให้สามารถผ่านช่องข้อมูลได้
โปรโตคอล VPN หลายตัว รวมถึง IKEv2 ใช้การเข้ารหัสลับ IPSec แม้ว่าจะปลอดภัยโดยทั่วไป แต่ IPSec มีความซับซ้อนมาก ซึ่งอาจนำไปสู่การใช้งานที่ไม่ดี L2TP/IPSec ได้รับการรองรับในระบบปฏิบัติการหลักส่วนใหญ่
การเข้ารหัสลับ: L2TP/IPSec สามารถใช้การเข้ารหัสลับแบบ 3DES หรือ AES ได้ แม้ว่าปัจจุบัน 3DES จะถือเป็นรหัสที่อ่อนแอและไม่ค่อยได้ใช้แล้วก็ตาม
ความเร็ว: โดยทั่วไป L2TP/IPSec จะช้ากว่า OpenVPN เมื่อใช้ความรัดกุมของการเข้ารหัสลับเดียวกัน สาเหตุหลักมาจากข้อเท็จจริงที่ว่าการเข้ารหัสลับแบบ AES ที่ OpenVPN ใช้นั้นมีการเร่งความเร็วด้วยฮาร์ดแวร์บนโปรเซสเซอร์ทั่วไปส่วนใหญ่
ช่องโหว่ที่ทราบ: L2TP/IPSec เป็นโปรโตคอล VPN ขั้นสูง แต่ การนำเสนอของ NSA ที่รั่วไหล(หน้าต่างใหม่) ชี้ให้เห็นว่าหน่วยงานข่าวกรองได้พบวิธีแทรกแซงแล้ว นอกจากนี้ เนื่องจากความซับซ้อนของ IPSec ผู้ให้บริการ VPN หลายรายใช้ Pre-shared Keys(หน้าต่างใหม่) ในการตั้งค่า L2TP/IPSec
พอร์ตไฟร์วอลล์: ใช้พอร์ต UDP 500 สำหรับการแลกเปลี่ยนคีย์เริ่มต้น พอร์ต UDP 5500 สำหรับ NAT traversal และพอร์ต UDP 1701 เพื่ออนุญาตทราฟฟิก L2TP เนื่องจากการใช้พอร์ตคงที่เหล่านี้ L2TP/IPSec จึงถูกบล็อกได้ง่ายกว่าโปรโตคอลอื่นๆ บางตัว
ความเสถียร: L2TP/IPSec ไม่เสถียรเท่ากับโปรโตคอล VPN ขั้นสูงอื่นๆ ความซับซ้อนอาจนำไปสู่การหลุดของเครือข่ายบ่อยครั้ง
บทสรุป: ความปลอดภัยของ L2TP/IPSec เป็นการปรับปรุงจาก PPTP อย่างไม่ต้องสงสัย แต่อาจไม่ปกป้องข้อมูลจากผู้โจมตีขั้นสูง ความเร็วที่ช้ากว่าและความไม่เสถียรยังหมายความว่าผู้ใช้ควรพิจารณาใช้ L2TP/IPSec เฉพาะในกรณีที่ไม่มีตัวเลือกอื่นเท่านั้น
IKEv2/IPSec
Internet Key Exchange Version Two (IKEv2) เป็นโปรโตคอล Tunneling ที่ค่อนข้างใหม่ ซึ่งจริงๆ แล้วเป็นส่วนหนึ่งของชุด IPSec Microsoft และ Cisco ร่วมมือกันพัฒนาโปรโตคอล IKEv2/IPSec ดั้งเดิม แต่ปัจจุบันมีเวอร์ชันโอเพนซอร์สมากมาย
IKEv2 ตั้งค่าช่องควบคุมโดยการยืนยันตัวตนช่องการสื่อสารที่ปลอดภัยระหว่างอุปกรณ์กับเซิร์ฟเวอร์ VPN โดยใช้อัลกอริทึม Diffie–Hellman key exchange(หน้าต่างใหม่) จากนั้น IKEv2 จะใช้ช่องการสื่อสารที่ปลอดภัยนั้นเพื่อสร้างสิ่งที่เรียกว่า Security Association ซึ่งหมายความง่ายๆ ว่าอุปกรณ์และเซิร์ฟเวอร์ VPN ใช้คีย์การเข้ารหัสลับและอัลกอริทึมเดียวกันในการสื่อสาร
เมื่อมี Security Association แล้ว IPSec สามารถสร้างอุโมงค์ นำไปใช้ส่วนหัวที่ผ่านการยืนยันตัวตนกับแพ็กเก็ตข้อมูล และห่อหุ้มด้วย ESP (อีกครั้ง ขึ้นอยู่กับว่าใช้รหัสใด ESP อาจจัดการการยืนยันตัวตนข้อความได้) แพ็กเก็ตข้อมูลที่ถูกห่อหุ้มจะถูกห่อหุ้มอีกครั้งใน UDP เพื่อให้สามารถผ่านอุโมงค์ได้
IKEv2/IPSec ได้รับการรองรับใน Windows 7 และเวอร์ชันใหม่กว่า macOS 10.11 และเวอร์ชันใหม่กว่า รวมถึงระบบปฏิบัติการมือถือส่วนใหญ่
การเข้ารหัสลับ: IKEv2/IPSec สามารถใช้อัลกอริทึมการเข้ารหัสลับที่แตกต่างกันได้หลายแบบ รวมถึง AES, Blowfish และ Camellia โดยรองรับการเข้ารหัสลับแบบ 256 บิต
ความเร็ว: IKEv2/IPSec เป็นโปรโตคอล VPN ที่รวดเร็ว แม้ว่าจะไม่เร็วเท่ากับ OpenVPN ที่เร่งความเร็วด้วยฮาร์ดแวร์ หรือ WireGuard ก็ตาม
ช่องโหว่ที่ทราบ: IKEv2/IPSec ไม่มีจุดอ่อนที่ทราบ และผู้เชี่ยวชาญด้านความปลอดภัยไอทีเกือบทุกคนถือว่าปลอดภัยเมื่อนำไปใช้อย่างถูกต้องด้วย Perfect Forward Secrecy
พอร์ตไฟร์วอลล์: ใช้พอร์ต UDP 500 สำหรับการแลกเปลี่ยนคีย์เริ่มต้นและพอร์ต UDP 4500 สำหรับ NAT traversal เนื่องจากใช้พอร์ตเหล่านี้เสมอ IKEv2/IPSec จึงถูกบล็อกได้ง่ายกว่าโปรโตคอลอื่นๆ บางตัว
ความเสถียร: IKEv2/IPSec รองรับโปรโตคอล Mobility และ Multihoming ทำให้มีความน่าเชื่อถือมากกว่าโปรโตคอล VPN อื่นๆ ส่วนใหญ่ โดยเฉพาะอย่างยิ่งสำหรับผู้ใช้ที่สลับระหว่างเครือข่าย WiFi ต่างๆ บ่อยครั้ง
บทสรุป: ด้วยความปลอดภัยที่แข็งแกร่ง ความเร็วสูง และความเสถียรที่เพิ่มขึ้น IKEv2/IPSec จึงเป็นโปรโตคอล VPN ที่ดี อย่างไรก็ตาม การเปิดตัว WireGuard เมื่อเร็วๆ นี้หมายความว่ามีเหตุผลเพียงเล็กน้อยที่จะเลือกใช้ IKEv2/IPSec มากกว่าโปรโตคอล VPN ที่ใหม่กว่า
OpenVPN
OpenVPN เป็นโปรโตคอล Tunneling แบบโอเพนซอร์ส ตรงกันข้ามกับโปรโตคอล VPN ที่อาศัยชุด IPSec ทาง OpenVPN ใช้ SSL/TLS เพื่อจัดการการแลกเปลี่ยนคีย์และตั้งค่าช่องควบคุม และใช้โปรโตคอล OpenVPN ที่ไม่เหมือนใครเพื่อจัดการการห่อหุ้มและช่องข้อมูล
นี่หมายความว่าทั้งช่องข้อมูลและช่องควบคุมได้รับการเข้ารหัส ซึ่งทำให้ค่อนข้างมีเอกลักษณ์เมื่อเทียบกับโปรโตคอล VPN อื่นๆ โดยได้รับการสนับสนุนในระบบปฏิบัติการหลักทั้งหมดผ่านซอฟต์แวร์บุคคลที่สาม
การเข้ารหัสลับ: OpenVPN สามารถใช้อัลกอริทึมการเข้ารหัสลับต่างๆ ที่มีอยู่ในไลบรารี OpenSSL(หน้าต่างใหม่) เพื่อเข้ารหัสข้อมูล รวมถึง AES, RC5 และ Blowfish
เรียนรู้เพิ่มเติมเกี่ยวกับการเข้ารหัสลับ AES
ความเร็ว: เมื่อใช้ UDP ทาง OpenVPN จะรักษาการเชื่อมต่อที่รวดเร็ว แม้ว่า IKEv2/IPSec และ WireGuard จะได้รับการยอมรับโดยทั่วไปว่าเร็วกว่า
ช่องโหว่ที่ทราบ: OpenVPN ไม่มีช่องโหว่ที่ทราบตราบใดที่นำไปใช้กับอัลกอริทึมการเข้ารหัสลับที่แข็งแกร่งเพียงพอและ Perfect Forward Secrecy โดยเป็นมาตรฐานอุตสาหกรรมสำหรับ VPN ที่กังวลเกี่ยวกับความปลอดภัยของข้อมูล
พอร์ตไฟร์วอลล์: OpenVPN สามารถกำหนดค่าให้ทำงานบนพอร์ต UDP หรือ TCP ใดก็ได้ รวมถึงพอร์ต TCP 443 ซึ่งจัดการทราฟฟิก HTTPS ทั้งหมดและทำให้บล็อกได้ยากมาก
ความเสถียร: OpenVPN มีความเสถียรมากโดยทั่วไปและมีโหมด TCP เพื่อเอาชนะการเซ็นเซอร์
บทสรุป: OpenVPN ปลอดภัย เชื่อถือได้ และเป็นโอเพนซอร์ส เป็นหนึ่งในโปรโตคอล VPN ที่ดีที่สุดที่ใช้งานอยู่ในปัจจุบัน โดยเฉพาะอย่างยิ่งสำหรับผู้ใช้ที่กังวลเรื่องความปลอดภัยของข้อมูลเป็นหลัก ความสามารถในการกำหนดเส้นทางการเชื่อมต่อผ่าน TCP (ดูด้านล่าง) ยังทำให้เป็นตัวเลือกที่ดีสำหรับการหลบเลี่ยงการเซ็นเซอร์ อย่างไรก็ตาม แม้ว่าจะขาดข้อได้เปรียบด้านการต่อต้านการเซ็นเซอร์ของ OpenVPN แต่ WireGuard ก็ปลอดภัยเช่นกันและเร็วกว่า OpenVPN
WireGuard®
WireGuard(หน้าต่างใหม่) เป็นโปรโตคอล VPN แบบโอเพนซอร์สที่ปลอดภัย รวดเร็ว และมีประสิทธิภาพ
การเข้ารหัสลับ: WireGuard ใช้ ChaCha20 สำหรับการเข้ารหัสลับแบบสมมาตร (RFC7539(หน้าต่างใหม่)), Curve25519 สำหรับการแลกเปลี่ยนคีย์แบบไม่ระบุตัวตน, Poly1305 สำหรับการยืนยันตัวตนข้อมูล และ BLAKE2s สำหรับการแฮช (RFC7693(หน้าต่างใหม่)) โดยรองรับ Perfect Forward Secrecy โดยอัตโนมัติ
ความเร็ว: WireGuard ใช้อัลกอริทึมการเข้ารหัสลับความเร็วสูงแบบใหม่ ตัวอย่างเช่น ChaCha20 นั้นง่ายกว่ารหัส AES ที่มีความรัดกุมเท่ากันมากและเร็วพอๆ กัน แม้ว่าอุปกรณ์ส่วนใหญ่ในปัจจุบันจะมาพร้อมกับคำสั่งสำหรับ AES ในฮาร์ดแวร์ก็ตาม ผลลัพธ์คือ WireGuard ให้ความเร็วการเชื่อมต่อที่รวดเร็วและใช้ CPU ต่ำ
ช่องโหว่ที่ทราบ: WireGuard ได้ผ่านการตรวจสอบอย่างเป็นทางการต่างๆ และเพื่อรวมเข้ากับเคอร์เนล Linux ฐานโค้ด Linux ของ WireGuard ได้รับการตรวจสอบอย่างอิสระ(หน้าต่างใหม่)โดยบุคคลที่สาม
พอร์ตไฟร์วอลล์: WireGuard สามารถกำหนดค่าให้ใช้พอร์ตใดก็ได้และโดยปกติจะทำงานผ่าน UDP อย่างไรก็ตาม Proton VPN ยังให้บริการ WireGuard TCP ในแอปส่วนใหญ่ของเรา
ความเสถียร: WireGuard เป็นโปรโตคอล VPN ที่เสถียรมากและแนะนำคุณสมบัติใหม่ๆ ที่โปรโตคอล Tunneling อื่นๆ ไม่มี เช่น การรักษาการเชื่อมต่อ VPN ในขณะที่เปลี่ยนเซิร์ฟเวอร์ VPN หรือเปลี่ยนเครือข่าย WiFi
บทสรุป: WireGuard เป็นโปรโตคอล VPN ที่ล้ำสมัย รวดเร็ว มีประสิทธิภาพ และปลอดภัย แม้ว่าจะไม่ “ผ่านการทดสอบในสมรภูมิ” เท่ากับ OpenVPN และไม่มีความสามารถในการต่อต้านการเซ็นเซอร์แบบ TCP ของ OpenVPN (ดูด้านล่าง) แต่สำหรับคนส่วนใหญ่ เกือบตลอดเวลา มันคือโปรโตคอล VPN ที่เราแนะนำให้ใช้
เรียนรู้เพิ่มเติมเกี่ยวกับ WireGuard
Stealth
Stealth เป็นโปรโตคอล VPN ใหม่ที่พัฒนาโดย Proton ด้วยโปรโตคอลนี้ สามารถเข้าถึงไซต์ที่ถูกเซ็นเซอร์และสื่อสารกับผู้คนบนโซเชียลมีเดียได้ แม้ในขณะที่โปรโตคอล VPN ปกติถูกบล็อกโดยรัฐบาลหรือองค์กร
Stealth มีพื้นฐานมาจาก WireGuard ที่ทำ Tunneling ผ่าน TLS ดังนั้นจึงใช้การเข้ารหัสลับเดียวกับ WireGuard โดยเพิ่มเลเยอร์การเข้ารหัสลับ TLS เข้าไป ส่วนอื่นๆ จะเหมือนกับ WireGuard (ตามที่อธิบายข้างต้น)
เรียนรู้เพิ่มเติมเกี่ยวกับ Stealth
คำศัพท์สำคัญอื่นๆ
เมื่ออ่านการเปรียบเทียบโปรโตคอล VPN ต่างๆ อาจพบตัวย่อหรือคำศัพท์ทางเทคนิคที่ไม่คุ้นเคย เราขออธิบายคำที่สำคัญที่สุดบางคำที่นี่
TCP กับ UDP
Transmission Control Protocol (TCP) และ User Datagram Protocol (UDP) เป็นสองวิธีที่แตกต่างกันที่อุปกรณ์สามารถสื่อสารกันผ่านอินเทอร์เน็ต ทั้งสองทำงานบน Internet Protocol ซึ่งรับผิดชอบในการส่งแพ็กเก็ตข้อมูลไปยังและจากที่อยู่ IP
เมื่อเห็นว่าโปรโตคอล Tunneling ใช้พอร์ต TCP หรือพอร์ต UDP นั่นหมายความว่ามันตั้งค่าการเชื่อมต่อระหว่างคอมพิวเตอร์กับเซิร์ฟเวอร์ VPN โดยใช้หนึ่งในสองโปรโตคอลนี้
การที่โปรโตคอล VPN ใช้ TCP, UDP หรือทั้งสองอย่างนั้นส่งผลต่อประสิทธิภาพอย่างมาก TCP เน้นที่การส่งข้อมูลอย่างถูกต้องเป็นหลักโดยการเรียกใช้การตรวจสอบเพิ่มเติมเพื่อให้แน่ใจว่าข้อมูลอยู่ในลำดับที่ถูกต้องและแก้ไขหากไม่เป็นเช่นนั้น
นี่ฟังดูเป็นคุณสมบัติที่ดี แต่การตรวจสอบต้องใช้เวลา ส่งผลให้ประสิทธิภาพช้าลง การรัน VPN ผ่าน TCP (TCP บน TCP) อาจทำให้การเชื่อมต่อช้าลงในสิ่งที่เรียกว่า TCP Meltdown
ตัวอย่างเช่น หากมีทราฟฟิก TCP ผ่านอุโมงค์ TCP ของ OpenVPN และข้อมูล TCP ในอุโมงค์ตรวจพบข้อผิดพลาด มันจะพยายามชดเชย ซึ่งอาจทำให้อุโมงค์ TCP ชดเชยมากเกินไป กระบวนการนี้อาจทำให้เกิดความล่าช้าอย่างรุนแรงในการส่งมอบข้อมูล
อย่างไรก็ตาม มันก็ดีสำหรับการเอาชนะการเซ็นเซอร์เช่นกัน เนื่องจากทราฟฟิก HTTPS(หน้าต่างใหม่) ใช้พอร์ต TCP 443 ดังนั้นหากกำหนดเส้นทางการเชื่อมต่อ VPN ผ่านพอร์ตเดียวกัน มันจะดูเหมือนทราฟฟิก VPN ที่ปลอดภัยทั่วไป
ความสามารถในการรันทราฟฟิก VPN ผ่านพอร์ต 443 เป็นหนึ่งในข้อได้เปรียบที่ใหญ่ที่สุดของการใช้ OpenVPN (และ WireGuard หากใช้การนำ TCP ไปใช้แบบกำหนดเองของ Proton VPN)
เรียนรู้เพิ่มเติมเกี่ยวกับ TCP และ UDP
Perfect Forward Secrecy
Perfect Forward Secrecy เป็นองค์ประกอบความปลอดภัยที่สำคัญของการสื่อสารที่เข้ารหัส โดยหมายถึงการดำเนินการที่ควบคุมวิธีการสร้างคีย์การเข้ารหัสลับ หาก VPN รองรับ Perfect Forward Secrecy มันจะสร้างชุดคีย์ที่ไม่ซ้ำกันสำหรับแต่ละเซสชัน (เช่น แต่ละครั้งที่สร้างการเชื่อมต่อ VPN ใหม่)
นี่หมายความว่าแม้ว่าผู้โจมตีจะได้รับคีย์ใดคีย์หนึ่งไป แต่พวกเขาสามารถใช้คีย์นั้นเพื่อเข้าถึงข้อมูลจากเซสชัน VPN นั้นๆ เท่านั้น ข้อมูลในเซสชันอื่นๆ ที่เหลือจะยังคงปลอดภัยเนื่องจากมีคีย์เฉพาะที่แตกต่างกันคอยปกป้อง นอกจากนี้ยังหมายความว่าคีย์เซสชันจะยังคงปลอดภัยแม้ว่าคีย์ส่วนตัวของ VPN จะถูกเปิดเผยก็ตาม
โปรโตคอลที่ใช้โดยแอป Proton VPN
เราเริ่ม Proton VPN เพื่อให้แน่ใจว่านักเคลื่อนไหว ผู้เห็นต่าง และนักข่าวมีสิทธิ์เข้าถึงอินเทอร์เน็ตที่ปลอดภัยและส่วนตัว เพื่อรักษาความปลอดภัยให้กับชุมชน Proton เราใช้เฉพาะโปรโตคอล VPN ที่ผ่านการตรวจสอบและที่เชื่อถือได้เท่านั้น รายการต่อไปนี้แสดงให้เห็นว่าโปรโตคอล VPN ใดบ้างที่ได้รับการสนับสนุนในแอปต่างๆ ของเรา:
- Windows: OpenVPN, WireGuard® และ Stealth
- macOS: OpenVPN, IKEv2, WireGuard และ Stealth
- Android: OpenVPN, WireGuard และ Stealth
- iOS/iPadOS: OpenVPN, IKEv2, WireGuard และ Stealth
- Linux: OpenVPN และ WireGuard
สามารถใช้ OpenVPN และ WireGuard ในโหมด UDP หรือ TCP ได้
เรียนรู้วิธีเปลี่ยนโปรโตคอล VPN
แอป Windows, macOS, Android และ iOS/iPadOS ของเรารองรับ Smart Protocol คุณสมบัติต่อต้านการเซ็นเซอร์นี้จะตรวจสอบเครือข่ายอย่างชาญฉลาดเพื่อค้นหาการกำหนดค่าโปรโตคอล VPN ที่ดีที่สุดที่จำเป็นสำหรับประสิทธิภาพสูงสุดหรือข้ามการเซ็นเซอร์
ตัวอย่างเช่น มันสามารถสลับจาก IKEv2 เป็น OpenVPN หรือ OpenVPN UDP เป็น OpenVPN TCP โดยอัตโนมัติ โดยใช้พอร์ตต่างๆ ตามความจำเป็น
เรียนรู้เพิ่มเติมเกี่ยวกับ Smart Protocol
แอปทั้งหมดของเราใช้การตั้งค่าความปลอดภัยที่รัดกุมที่สุดที่โปรโตคอล VPN รองรับ OpenVPN, WireGuard และ IKEv2/IPSec เป็นโปรโตคอลเพียงกลุ่มเดียวที่ผู้เชี่ยวชาญด้านความปลอดภัยไอทีส่วนใหญ่ยอมรับว่าปลอดภัย
เราปฏิเสธที่จะให้บริการการเชื่อมต่อ VPN ใดๆ ที่ใช้ PPTP หรือ L2TP/IPSec (แม้ว่าจะดำเนินการได้ถูกกว่าและกำหนดค่าได้ง่ายกว่า) เนื่องจากความปลอดภัยไม่ตรงตามมาตรฐานของเรา
เมื่อเข้าสู่ระบบ Proton VPN มั่นใจได้เลยว่าการเชื่อมต่อ VPN กำลังใช้โปรโตคอล Tunneling ล่าสุดและแข็งแกร่งที่สุด
ขอแสดงความนับถือ
ทีมงาน Proton VPN
สามารถติดตามเราบนโซเชียลมีเดียเพื่อติดตามข่าวสารล่าสุดเกี่ยวกับการเปิดตัว Proton VPN:
Twitter (หน้าต่างใหม่)| Facebook(หน้าต่างใหม่) | Reddit(หน้าต่างใหม่)
หากต้องการรับบัญชีอีเมลที่เข้ารหัสลับ Proton Mail ฟรี โปรดไปที่: proton.me/mail(หน้าต่างใหม่)
