محصولات VPN از نظر راحتی ، کارایی و امنیت بسیار متفاوت است. اگر امنیت یک نگرانی جدی است ، یک سازمان باید به پروتکل هایی که یک سرویس از آنها پشتیبانی می کند ، توجه کند. برخی از پروتکل های پرکاربرد دارای ضعف های قابل توجهی هستند ، در حالی که برخی دیگر امنیت پیشرفته ای را ارائه می دهند. بهترین چیزهای امروز شامل OpenVPN و IKEv2 است.
درک پروتکل های VPN
آنچه پروتکل VPN نامیده می شود در واقع مجموعه ای از پروتکل ها است. چندین کارکرد وجود دارد که هر VPN باید آنها را مدیریت کند:
- تونلینگ. وظیفه اصلی VPN این است که بسته ها را از یک نقطه به نقطه دیگر تحویل دهد بدون اینکه آنها را در مسیر بین این افراد قرار دهد. برای این کار ، کلیه داده ها را با فرمی که مشتری و سرور آن را درک می کنند ، محصور می کند. طرف ارسال داده ، آن را در قالب تونل زنی قرار می دهد ، و طرف گیرنده آن را استخراج می کند.
- رمزگذاری. به خودی خود ، تونل زنی هیچ محافظتی ندارد. هر کسی می تواند داده ها را استخراج کند. همچنین باید در مسیر انتقال رمزگذاری شود. طرف گیرنده می داند که چگونه داده های فرستنده را رمزگشایی کند.
- احراز هویت. برای امنیت ، یک VPN باید هویت هر مشتری را که سعی در برقراری ارتباط با آن دارد ، تأیید کند. مشتری باید تأیید کند که به سرور مورد نظر رسیده است. اگر می خواهید درباره پروتکل vpn اطلاعات بیشتری کسب کنید ، این راهنمایی است.
- مدیریت جلسه. پس از تأیید اعتبار کاربر ، VPN باید جلسه را حفظ کند تا مشتری بتواند در طی یک دوره زمانی ارتباط خود را با آن ادامه دهد.
به طور کلی پروتکل های VPN به طور کلی تونلینگ ، تأیید اعتبار و مدیریت جلسه را به عنوان یک بسته درمان می کنند. رمزگذاری یک هنر تخصصی است ، بنابراین آنها پروتکل های قابل اعتماد را به جای ابداع نسخه های جدید در خود جای می دهند. ضعف در هر یک از عملکردها ، نقص امنیتی احتمالی پروتکل است.
پروتکل های ضعیف
قدیمی ترین پروتکل که هنوز در حال استفاده است PPTP یا پروتکل تونلینگ نقطه به نقطه. اولین بار در سال 1995 مورد استفاده قرار گرفت و سن آن را نشان می دهد. این پروتکل رمزگذاری را مشخص نمی کند اما می تواند از چندین مورد از جمله MPPE-128 قوی استفاده کند. فقدان استاندارد سازی در پروتکل قوی یک ریسک است ، زیرا تنها می تواند از قوی ترین نسخه ای که پشتیبانی را خاتمه می دهد استفاده کند. این اتصال ممکن است از رمزگذاری ضعیف تر از آنچه انتظار کاربر است استفاده کند.
مشکل واقعی با PPTP ، فرایند احراز هویت است. این پروتکل از پروتکل بنام MS-CHAP استفاده می کند که با توجه به سطح قدرت محاسبات امروز در معرض شکست قرار می گیرد. یک مهاجم مصمم می تواند یک کاربر مجاز وارد سیستم شود و جعل هویت کند.
پروتکل L2TP معمولاً با الگوریتم رمزگذاری IPSec کار می کند. این به طور قابل توجهی از PPTP قوی تر است اما هنوز نگرانی هایی را ایجاد می کند. منطقه اصلی آسیب پذیری در L2TP / IPSec روش تبادل کلیدهای عمومی است. تبادل کلید عمومی Diffie-Hellman راهی برای توافق دو طرف در مورد کلید برای رمزگذاری بعدی است که هیچ کس دیگری از آن چیزی نمی داند. روشی برای ترک این وجود دارد. به یک بار محاسبات زیاد نیاز دارد ، اما پس از آن امکان دسترسی به کلیه ارتباطات در یک VPN داده شده را فراهم می کند. ادوارد اسنودن و دیگران بر این باورند که NSA این کار را انجام داده است. اگر ممکن باشد ، سایر بازیگران ایالتی نیز چنین می کنند.
پروتکل هایی با امنیت بهتر
IKEv2 (تبادل کلید اینترنتی) از نظر امنیتی در بین پروتکل های فعلی رتبه بالایی دارد. از تونل سازی IPSec و انتخاب گسترده ای از پروتکل های رمزگذاری استفاده می کند. استفاده از رمزگذاری AES-256 ، حتی با داشتن منابع محاسباتی جدی ، شکستن آن بسیار سخت است. از احراز هویت قوی مبتنی بر گواهینامه استفاده می کند و می تواند از الگوریتم HMAC برای تأیید صحت داده های منتقل شده استفاده کند. این برنامه از ارتباطات سریع پشتیبانی می کند و مخصوصاً در صورت قطع ارتباط اینترنت بسیار مناسب است. Windows ، MacOS ، iOS و Android از آن پشتیبانی می کنند. چندین پیاده سازی منبع باز در دسترس است.
نسخه 1 پروتکل در سال 1998 معرفی شد ، و نسخه 2 در سال 2005. این یکی از جدیدترین پروتکل ها نیست ، اما خوب نگه داشته شده است.
SSTP (پروتکل تونل سوکت ایمن) محصولی از مایکروسافت است که بیشتر در ویندوز پشتیبانی می شود. هنگامی که از رمزگذاری AES و SSL استفاده می شود ، از لحاظ تئوری امنیت خوبی را ارائه می دهد. با این حال ، از یک پیاده سازی اختصاصی استفاده می کند ، بنابراین در معرض تأیید مستقل نیست. در حالی که هیچ آسیب پذیری شناخته شده ای وجود ندارد ، افراد شناسایی نشده یا پشتیبان آنها می توانند وجود داشته باشند.
موضوع عملی در مورد SSTP ، پشتیبانی محدود از سیستم های غیر ویندوز است. این مسئله باعث می شود VPN با هدف کلی استفاده شود.
OpenVPN مجموعه ای از پروتكل های باز است كه امنیت خوبی را ارائه می دهد و بسیار محبوب است. اولین بار در سال 2001 با مجوز GPL منتشر شد. منبع باز بودن ، برای بسیاری از چشم ها برای بررسی آسیب پذیری در دسترس است. رمزگذاری معمولاً از کتابخانه OpenSSL استفاده می کند. OpenSSL از بسیاری از الگوریتم های رمزنگاری ، از جمله AES پشتیبانی می کند.
هیچ پشتیبانی از OpenVPN در سطح سیستم عامل وجود ندارد ، اما بسیاری از بسته ها شامل مشتری OpenVPN خود هستند.
برای به دست آوردن بیشترین امنیت با پروتکل ، مدیران باید به درستی از آن استفاده کنند. انجمن OpenVPN توصیه هایی را برای سخت شدن OpenVPN ارائه می دهد.
SoftEther (نرم افزار اترنت) جدیدترین ورودی است که برای اولین بار در سال 2014 در دسترس قرار گرفت. مانند OpenVPN ، این یک مشخصات و اجرای متن باز است. این پشتیبانی از قوی ترین پروتکل های رمزگذاری ، از جمله AES-256 و RSA 4096 بیتی. این سرعت ارتباط بیشتری را برای نرخ داده معین نسبت به بیشتر پروتکل ها ، از جمله OpenVPN فراهم می کند. این پشتیبانی از سیستم عامل بومی ندارد اما در بسیاری از سیستم عامل ها از جمله ویندوز ، مک ، اندروید ، iOS ، لینوکس و یونیکس قابل نصب است.
به عنوان یک پروتکل جدیدتر ، به اندازه برخی از گزینه های دیگر پشتیبانی نمی کند. حدود OpenVPN نگذشته است ، بنابراین مردم وقت زیادی برای بررسی این نقاط ضعف ندارند. با این وجود ، این کاندیدای قوی برای هر کسی است که به امنیت با کیفیت بالا نیاز داشته باشد.
انتخاب برنده
کدام پروتکل امن ترین است؟ این یک تماس دشوار است
IKEv2 ، OpenVPN و SoftEther همه مدعیان قدرتمندی هستند. OpenVPN و SoftEther از مزیت منبع باز بودن برخوردار هستند. IKEv2 پیاده سازی های متن باز و همچنین اختصاصی دارد. مهمترین مزیت امنیتی IKEv2 این است که تنظیم آن آسان است و احتمال خطاهای پیکربندی را کاهش می دهد. SoftEther امنیت بسیار خوبی را ارائه می دهد ، اما کاربران به اندازه دو سال دیگر تجربه آن را با چند سال تجربه ندارند. این می تواند به معنای شانس بیشتری برای یک مشکل کشف نشده باشد.
OpenVPN توسط یک مو گره می زند. کد آن سالهاست که کارشناسان امنیتی برای بازرسی از آن استفاده می کنند ، از آن استفاده گسترده ای می کند و از قوی ترین پروتکل های رمزگذاری پشتیبانی می کند. با این حال ، این سه رتبه چنان به هم نزدیک هستند که شما می توانید فاکتورهای دیگری مانند راحتی و سرعت را در نظر بگیرید بدون اینکه از ترس امنیتی قابل توجهی برخوردار باشید.
.
