В дополнение к предыдущей публикации VPN, приведём краткое справочное руководство по основным доступным протоколам VPN.

• OpenVPN: является надежным вариантом, особенно когда настройка выполняется сторонним приложением.
• L2TP/IPSec: вероятно, является наиболее широко доступной альтернативой, обеспечивающей достойную безопасность.
• SSTP: является хорошим вариантом для пользователей Windows, если вы доверяете проприетарной технологии Microsoft.
• IKEv2: быстрая и безопасный протокол, в основном, для мобильных устройств.
• PPTP: следует использовать только в крайнем случае.
• Wireguard — новый протокол, который обещает быть более быстрым и эффективным, но имеет некоторые недостатки конфиденциальности.

Следует использовать только пользовательские протоколы с открытым исходным кодом и профессионально проверенные протоколы.

OpenVPN

VPN-протокол с открытым исходным кодом, который легко настраивается для различных портов и типов шифрования, первый выпуск которого состоялся в 2001 году. Он становится все более популярным для использования VPN общего назначения и в настоящее время является протоколом по умолчанию, используемым большинством платных провайдеров VPN.

По быстродействию он уступает PPTP, сравним с L2TP, в зависимости от устройства и конфигурации.

OpenVPN использует собственный протокол безопасности, который в значительной степени зависит от OpenSSL, с шифрованием аналогичным HTTPS. Поскольку OpenVPN можно настроить на использование любого порта, его можно легко замаскировать под обычный интернет-трафик, и поэтому его трудно заблокировать. Он поддерживает несколько алгоритмов шифрования, наиболее распространенными из которых являются AES и Blowfish.

Настройка вручную у OpenVPN довольно сложная. Однако многие собственные VPN-клиенты потребительских провайдеров VPN значительно упрощают установку и запуск. В таких случаях OpenVPN обычно не требует ручной настройки, так как приложение провайдера позаботится об этом за вас.

L2TP/IPSec

Туннельный протокол уровня 2, обычно используется в сочетании с IPSec для обеспечения безопасности. L2TP был разработан Cisco и Microsoft в 1990-х годах. Он используется для доступа к Интернет, когда важны безопасность и конфиденциальность.

По скорости он сравним с OpenVPN. Средний пользователь, вероятно, не заметит разницы в скорости между ними. Однако, L2TP/IPSec заметно медленнее, чем PPTP.

В плане безопасности, L2TP/IPSec не имеет известных серьезных уязвимостей. Однако некоторые эксперты выразили опасения, что протокол мог быть ослаблен или скомпрометирован АНБ, посколько эта организация участвовала в разработке IPSec.

Как и для PPTP, поддержка L2TP/IPSec сегодня встроена в большинство современных компьютеров и мобильных устройств. Процесс настройки аналогичен, но порт, который использует L2TP, легко блокируется брандмауэрами.

РРТР

PPTP (Point to point tunneling protocol? туннелирование точка-точка), самый старый и широко используемый протокол VPN, изначально разработанный Microsoft для коммутируемых сетей. означает.

PPTP используется как для доступа к Интернету, так и для Интренет (т. е. для доступа к внутренней сети корпоративного офисного здания).

Из-за более низкого стандарта шифрования PPTP является одним из самых быстрых протоколов VPN. Однако, это делает данный проткал небезопасным. PPTP не устарел, но за эти годы появилось много уязвимостей в системах безопасности. АНБ активно расшифровывает и отслеживает трафик PPTP. Несмотря на то, что он обычно использует 128-битное шифрование, он фактически не дает никаких преимуществ в плане безопасности. PPTP — это наиболее распространенный протокол, встроенный сегодня во многие компьютеры и мобильные устройства, что делает его одним из самых простых, если не самым простым, для ручной настройки.

SSTP

SSTP (Securt Socket Tunneling Protocol, Протокол безопасного туннелирования сокетов) был разработан Microsoft и впервые встроен в ОС Windows Vista. Проприетарный (т.е., не с открытым исходным кодом), протокол SSTP работает в Linux, но в первую очередь считается технологией только для Windows.

SSTP может использоваться ярыми поклонниками Windows, потому что он встроен, но у него нет реальных преимуществ перед OpenVPN. Это лучше, чем L2TP, для обхода брандмауэров без сложной настройки. По быстродействию он сравним с OpenVPN.

Если вы доверяете Microsoft, то можете считать данный протокол безопасным. Если не доверяете, то, соответственно, небезопасным. Обычно он настраивается с использованием надежного шифрования AES.

Ручная настройка довольно проста на компьютерах с Windows. В iOS он не работает. На Linux его можно запустить, но довольно сложно.

IKEv2

IKEv2 (Internet Key Exchange версии 2) – это не совсем протокол VPN, но может рассматриваться как таковой. Он был разработан совместно Microsoft и Cisco. Он используется  для мобильных устройств 3G или 4G LTE, потому что оно хорошо восстанавливает соединение, если оно прерывается.

Пропускная способность IKEv2 сравнима с OpenVPN, но одним из преимуществ является то, что соединение устанавливается намного быстрее.

Если вы доверяете Microsoft, то протокол можно считать безопасным. IKEv2 поддерживает несколько уровней шифрования AES и, как и L2TP, использует шифрование IPSec.

IKEv2 широко не поддерживается, но для совместимых устройств его довольно легко настроить.

IPSec

IPSec (Internet Protocol Secure) — это протокол, используемый для нескольких целей, одной из которых является VPN. Он работает на уровне сети, а не на уровне приложения (используется SSL).

IPSec часто сочетается с другими протоколами VPN, такими как L2TP, для обеспечения шифрования, но его также можно использовать отдельно. Он часто используется для соединения корпоративных сетей через VPN, и многие приложения iOS VPN также используют IPSec вместо OpenVPN или какого-либо другого протокола.

IPSec обычно считается более быстрым, чем SSL, но зависят от конфигурации и вида использования.

Да, IPSec безопасен, хотя в 2013 году утечки от бывшего сотрудника АНБ Сноудена показали, что АНБ активно работает над внедрением уязвимостей.

В зависимости от того, для чего вы планируете его использовать, настройка VPN с протоколом IPSec может быть сложной. Для обычного пользователя с iPhone, который просто пытается подключиться к серверам своего VPN-провайдера, это не должно быть проблемой.

SSL/TLS

SSL/TLS: Transport Security Layer (TLS) и его предшественник Secure Socket Layer (SSL) являются наиболее распространенными сегодня криптографическими протоколами. Подключения к веб-сайтам HTTPS (легко определить, если адресная строка в браузере начинается с https://…, ваше соединение с сервером защищено с помощью SSL. Он используется в некоторых протоколах VPN, но сам по себе не является протоколом VPN.

В частности, шифрование OpenVPN построено на библиотеке OpenSSL, а OpenVPN считается SSL VPN.

SSL также используется для создания прокси-серверов HTTPS, которые некоторые компании выдают за VPN. Они часто рекламируются как VPN на основе браузера, которые работают как расширения Chrome или Firefox, но не обеспечивают всех преимуществ безопасности настоящего VPN.

Быстродействие зависит от используемого протокола VPN и уровня шифрования.

В плане безопасности, TLS новее и лучше защищает от атак, чем SSL.

Обычно считается, что SSL VPN легче настроить, чем IPSec, для удаленных клиентских подключений. Хотя может быть и наоборот.

Wireguard

Wireguard — это безопасный протокол туннелирования VPN, целью которого является улучшение других протоколов с точки зрения скорости, простоты развертывания и накладных расходов. Из перепиленных, это наиболее новый протокол в этом списке.

Wireguard уже доступен для нескольких платформ. Он достаточно легкий для работы со встроенными интерфейсами, и подходит для контейнеров Docker, для создания высокопроизводительных программных устройств и сетей.

Wireguard находит всё большее применение, в основном благодаря повышению скорости по сравнению с OpenVPN и IKEv2. Он может запускаться из ядра Linux для повышения скорости.

Тесты скорости показали значительные улучшения почти у всех провайдеров, которые внедрили Wireguard, с удвоением, а в некоторых случаях утроением, пропускной способности загрузки, по сравнению с другими протоколами.

Wireguard использует современную криптографию, легко поддается аудиту и использует концепцию, называемую «маршрутизацией криптоключей», для управления сетью и контроля доступа вместо сложных правил брандмауэра.

Однако Wireguard назначает IP-адреса статически, а не динамически, а это означает, что некоторые пользовательские данные необходимо хранить на сервере.

Разработчики протокола сравнивают Wireguard с настройкой SSH, очень простого безопасного протокола, который позволяет перемещаться между IP-адресами.

Пользовательские протоколы

Некоторые провайдеры VPN предпочитают писать свои собственные протоколы вместо использования существующих. Catapult Hydra от Hotspot Shield, Lightway от ExpressVPN и NordLynx от NordVPN — вот несколько примеров.

Эти протоколы различаются по производительности и безопасности, а иногда их код не является общедоступным. Мы рекомендуем использовать только протоколы с открытым исходным кодом.

Некоторые пользовательские протоколы создаются с нуля, и многие из них являются просто вариантами существующих протоколов.