Co trzeba wiedzieć o protokołach VPN? OpenVPN, WireGuard & Co.

VPN protocol Artykuły

Czy interesujesz się rozwiązaniami VPN, ale nie wiesz zbyt wiele o terminach takich jak IPSec, OpenVPN czy WireGuard? VPNheroes wyjaśnia, co się za tym kryje!

Wielu komercyjnych dostawców usług VPN zazwyczaj obsługuje kilka protokołów VPN, aby zabezpieczyć komunikację między komputerem domowym a serwerem internetowym. Protokoły VPN są sercem wirtualnej sieci prywatnej (VPN) i umożliwiają bezpieczne i anonimowe połączenia internetowe.

Mnogość stosowanych protokołów i standardów nie ułatwia ich śledzenia. VPNheroes pomaga i prezentuje najpopularniejsze protokoły VPN.

Najlepsze usługi VPN

NordVPN

ExpressVPN

Surfshark

Ocena VPN: 4,8

Ocena VPN: 4,5

Ocena VPN: 4,5

  • $3,99 / miesiąc

  • Bezpieczeństwo Premium

  • Prędkość 6730+ Mbps

  • Serwery VPN 5400+

  •  WireGuard

  • Liczba urządzeń: 6

  • Zniżka: 51%

  • $3,99 / miesiąc

  • Bezpieczeństwo Premium

  • Prędkość 2220+ Mbps

  • Serwery VPN 3000+

  • OpenVPN

  • Liczba urządzeń: 5

  • Zniżka: 49%

  • $3,99 / miesiąc

  • Wysoki poziom bezpieczeństwa

  • Prędkość 58.46 Mbps

  • Serwery VPN 3200+

  • WireGuard

  • Liczba urządzeń: Nieograniczona

  • Zniżka: 82%

Co to jest protokół VPN?

Do komunikacji między dwoma komputerami lub między klientem a serwerem konieczne jest uzgodnienie wspólnego języka. Polecenia i procesy tworzą różne zestawy reguł, które są połączone w protokół. Protokół stanowi więc podstawę uporządkowanej rozmowy między komputerem domowym a np. serwerem internetowym.

Szczególną cechą protokołów VPN w porównaniu z innymi zestawami reguł jest to, że “język VPN” zapewnia dodatkowe narzędzia do szyfrowania danych za pomocą metod kryptograficznych. Podobnie jak w tunelu, sprawia to, że wzajemna komunikacja uczestników jest niewidoczna dla osób postronnych.

OpenVPN: standard branżowy

OpenVPN jest bezpłatnym oprogramowaniem używanym przez większość dostawców VPN i jest jednym z najpopularniejszych protokołów VPN. Stał się on de facto standardem i nadaje się do większości zastosowań.

Jako projekt open source korzysta z wiedzy dużej, a przede wszystkim darmowej społeczności programistów, którzy nieustannie sprawdzają bardzo rozbudowany kod programu pod kątem luk i poprawiają jego wydajność. Ponadto proces ten jest przejrzysty i umożliwia sprawdzanie linii kodu przez osoby trzecie.

OpenVPN w systemie iOS

OpenVPN ios

OpenVPN w systemie Windows

OpenVPN Windows

Do budowy wirtualnej sieci prywatnej OpenVPN wykorzystuje bibliotekę OpenSSL, ale obsługuje także połączenia z wykorzystaniem protokołu TLS. OpenVPN współpracuje z różnymi algorytmami szyfrowania, w tym 3DES, AES, RC5 i Blowfish.

Prawidłowo zaimplementowany OpenVPN zapewnia bardzo wysoki poziom bezpieczeństwa i stabilności w różnych sieciach, takich jak (W)LAN i komórkowe. Do transportu danych OpenVPN używa protokołu TCP lub UDP, co zapewnia elastyczną transmisję danych. Ponadto protokół VPN bardzo dobrze współpracuje z zaporami ogniowymi.

Jako metody uwierzytelniania używa się haseł lub certyfikatów. Co więcej, protokół OpenVPN jest dostępny na wielu platformach i jest obsługiwany przez wszystkie popularne systemy operacyjne, w tym Windows, macOS, Linux, Unix, Android i iOS. Zanim jednak będzie można z niego korzystać w danym systemie, zwykle wymagane jest dodatkowe oprogramowanie i dalsza konfiguracja.

Plusy

  • Bardzo bezpieczne
  • Otwarte źródło
  • Dostępny na wielu platformach i systemach operacyjnych
  • Stabilne połączenia
  • Zgodność z zaporami ogniowymi

Cons

  • Wysoki nakład pracy przy rozwiązywaniu problemów
  • Nie nadaje się do użytku “po wyjęciu z pudełka

IKEv2/IPSec: Stabilność w ruchu

Pierwsza wersja Internet Key Exchange (IKEv1) została opracowana wspólnie przez firmę telekomunikacyjną Cisco Systems, natomiast wersja 2 (IKEv2) powstała we współpracy z firmą Microsoft. Interesujący szczegół: IKEv1 opiera się częściowo na protokole Internet Security Association and Key Management Protocol (ISAKMP), który również pomogła opracować amerykańska Agencja Bezpieczeństwa Narodowego (NSA).

IKEv2 jest częścią zbioru protokołów IPSec i zapewnia bezpieczną wymianę kluczy używanych w IPSec. Protokół IPSec (Internet Protocol Security) obsługuje wiele różnych algorytmów szyfrowania, takich jak 3DES, AES, Blowfish i Camellia.

Konfiguracja systemu IKEv2/IPSec jest złożona po stronie serwera i wykorzystuje do komunikacji stały port UDP, co dość często prowadzi do konfliktów z zaporami sieciowymi. Protokół IPSec jest częścią protokołu internetowego IPv4 i IPv6 i jest powszechnie uważany za bezpieczny i bardzo szybki protokół VPN.

W przeszłości pojawiły się jednak zarzuty, że NSA złamała algorytm szyfrowania leżący u jego podstaw w ramach tak zwanego programu Bullrun.

Nie zostało to jednak nigdy potwierdzone przez ekspertów, a luka w zabezpieczeniach została już naprawiona. IKEv2 bardzo dobrze nadaje się do połączeń mobilnych, ponieważ automatycznie nawiązuje ponowne połączenie w przypadku chwilowej utraty połączenia z Internetem, na przykład podczas jazdy windą lub przechodzenia przez tunel.

Plusy

  • Bardzo szybko
  • Dostępność na wielu platformach
  • Bezpieczna strona
  • Stabilne połączenia, wytrzymałe w zastosowaniach mobilnych

Cons

  • Złożona konfiguracja po stronie serwera
  • Stały port UDP prowadzi do konfliktów z zaporą sieciową

WireGuard: Latarnia nadziei

Wśród obecnych protokołów VPN WireGuard jest najmłodszym, a zarazem najbardziej obiecującym przedstawicielem w tej rundzie, ale według twórców jest jeszcze we wczesnym stadium. Projekt open source twierdzi, że oferuje szczególnie prosty, bezpieczny, a przede wszystkim szybki protokół VPN.

Szczególną cechą WireGuard jest to, że protokół jest częścią jądra systemu Linux i ma bardzo mały rozmiar kodu. Twórcy oczekują, że zapewni to znaczące korzyści w zakresie konserwacji i rozwiązywania problemów z kodem programu, a także znacznie większą szybkość przetwarzania. Ponadto integracja z Linuksem ma znacząco zmniejszyć wysiłek obliczeniowy, a tym samym zapotrzebowanie na energię, co jest szczególnie interesujące w przypadku urządzeń przenośnych.

Do szyfrowania danych WireGuard wykorzystuje algorytm o nazwie ChaCha20. Chociaż protokół VPN został pierwotnie opracowany dla systemu Linux, jest on również dostępny na inne platformy, w tym Windows, macOS, Android i iOS. Pomimo statusu rozwoju, WireGuard jest już wykorzystywany przez niektórych komercyjnych dostawców VPN, w tym Hide.me, Mullvad VPN, NordVPN i Surfshark.

NordVPN omija problem statycznych adresów IP w swoim rozwiązaniu WireGuard za pomocą dodatkowego serwera NAT, który rozdziela dynamiczne adresy IP.

W chwili obecnej WireGuard to wciąż plac budowy, nad którym trwają intensywne prace. Mimo to już teraz można sobie wyobrazić, jak ten kryptowaluta będzie wyglądała w ostatecznym rozrachunku.

Obecnie jednym z problemów jest stosunkowo gorsza anonimowość, ponieważ WireGuard działa w oparciu o stałe adresy IP. Przyszłość pokaże, w jakim kierunku rozwinie się ta nowość i jak będzie się sprawować w praktyce – oraz czy pochwały z góry są ostatecznie uzasadnione.

Plusy

  • Bardzo stabilna, nawet przy zmianie sieci
  • Niezwykle szybki
  • Otwarte źródło
  • Część jądra systemu Linux
  • Dostępne dla wielu platform

Cons

  • Wczesne stadium rozwoju
  • Anonimowość gwarantowana tylko dzięki dodatkowym rozwiązaniom

SoftEther VPN: praca magisterska z Japonii

SoftEther został opracowany na japońskim Uniwersytecie Tsukuba jako część pracy magisterskiej studenta Daiyuu Nobori i jest dostępny do bezpłatnego pobrania od 2013 r. Protokół VPN pokonuje zapory ogniowe i jest uważany za odporny na tzw. głęboką inspekcję pakietów (DPI), technikę wykorzystywaną również przez reżimy autorytarne do sprawdzania indywidualnego ruchu danych.

Pakiety danych przechodzące przez tunel VPN są zwykle opatrzone znaczkiem VPN napisanym dużymi literami. Choć dane w pakiecie pozostają chronione, władze rządowe i dostawcy Internetu mogą łatwo wyłowić i zablokować te pakiety VPN. Jest to powszechna praktyka na przykład w Chinach, Iranie i Rosji, gdzie strumień danych z usług VPN jest w dużej mierze blokowany.

Protokół jest częścią oprogramowania SoftEther VPN i, podobnie jak OpenVPN i WireGuard, został opublikowany na licencji open source. Pakiet oprogramowania może obsługiwać kilka protokołów VPN i działa na różnych platformach, takich jak Windows, macOS, Linux, FreeBSD i Solaris.

Jest ono instalowane jako oddzielne oprogramowanie klienta i serwera i nadaje się również dla użytkowników, którzy chcą obsługiwać własną sieć VPN. To japońskie rozwiązanie jest jednym z mniej znanych przedstawicieli wśród protokołów VPN. Obecnie Hide.me jest jedynym komercyjnym dostawcą VPN, który korzysta z SoftEther.

Plusy

  • Otwarte źródło
  • Pokonuje zapory sieciowe
  • Dostępne dla wielu platform i wszechstronne

Cons

  • Niezbyt rozpowszechnione

Katapulta Hydra i Kameleon: Domowi piwowarzy

Catapult Hydra – nazwa ta brzmi śmiało i tajemniczo zarazem i przypomina nieco tajną organizację z komiksów Marvela. Protokół VPN jest autorskim opracowaniem amerykańskiej firmy programistycznej AnchorFree (obecnie: Aura) i jest wykorzystywany m.in. w Hotspot Shield, usłudze VPN tego producenta.

Catapult Hydra bazuje na powszechnie stosowanym protokole szyfrowania Transport Layer Security (TLS). Producent obiecuje znacznie większą szybkość w porównaniu z konwencjonalnymi rozwiązaniami VPN opartymi na TLS. Producent nie ujawnia jednak szczegółów na temat rozwiązania Catapult Hydra.

W przypadku chronionego patentem Catapult Hydra nie ma miejsca przejrzysty proces audytu, co jest powszechne w przypadku projektów open source, takich jak OpenVPN i WireGuard. Dlatego protokół VPN pozostaje zamknięty dla osób postronnych w celach audytowych. Niemniej jednak, inni dostawcy VPN, tacy jak Kaspersky i Bitdefender, również wykorzystują Catapult Hydra w swoich produktach.

Podobnie jak Catapult Hydra, Chameleon należy do zastrzeżonych protokołów VPN i jest obecnie wykorzystywany tylko przez jednego producenta. Twórcy z Golden Frog obiecują, że w przypadku ich usługi VPN VyprVPN dane VPN zidentyfikowane za pomocą Deep Packet Inspection (DPI) nie będą już mogły być blokowane.

Protokół Chameleon, który opiera się na OpenVPN, próbuje w tym momencie zmienić swój kształt i dostosować się do otoczenia, wyglądając tak niepozornie, jak niezaszyfrowane pakiety w dużym strumieniu danych w Internecie. Jednak te funkcje maskowania – wraz z alternatywnymi technikami opartymi na proxy – są dostępne także u innych dostawców VPN, takich jak NordVPN, Surfshark i Hide.me.

Plusy

  • Optymalnie dostosowany do usług
  • Szybkie prędkości

Cons

  • Kod nie może być sprawdzony pod kątem luk w zabezpieczeniach

L2TP/IPSec, PPTP, SSTP: Stara gwardia

Protokół Layer 2 Tunneling Protocol (L2TP) jest często łączony z IPSec w celu szyfrowania, ponieważ L2TP nie udostępnia własnej procedury kryptograficznej dla strumienia danych. Dlatego wszystkie stwierdzenia dotyczące bezpieczeństwa protokołu IPSec można w zasadzie odnieść również do protokołu L2TP.

L2TP/IPSec obsługuje bardzo dobre algorytmy szyfrowania 3DES i AES, ale niekoniecznie należy do najszybszych przedstawicieli wśród protokołów VPN. Ponadto często koliduje z ustawieniami zabezpieczeń zapory sieciowej, która blokuje port UDP używany przez L2TP/IPSec. Jest on dostępny na wielu platformach, ale podejrzewa się, że został skompromitowany przez amerykańską agencję wywiadowczą NSA.

Protokół PPTP (Point-to-Point Tunneling Protocol) był przez długi czas używany przez firmę Microsoft do wewnętrznych sieci VPN i był pierwszym protokołem VPN obsługiwanym przez system Windows, dlatego też był bardzo popularny. Ze względu na poważne luki w zabezpieczeniach protokołu i podatność wbudowanych metod kryptograficznych obecnie generalnie nie zaleca się używania protokołu PPTP jako protokołu VPN.

Protokół Secure Socket Tunneling Protocol (SSTP) również pochodzi od firmy Microsoft i został opracowany specjalnie do stosowania w tzw. scenariuszach end-to-site. W takim przypadku komputer pracownika ma mieć dostęp do sieci firmowej z domu, chroniony przez tunel VPN.

SSTP wykorzystuje do szyfrowania metody kryptograficzne dostępne w TLS, takie jak AES i ChaCha20. Protokół SSTP jest uważany za bardzo bezpieczny i umożliwia klientom dostęp do sieci za zaporą ogniową. Dlatego nie występują w nim problemy typowe dla innych protokołów VPN, takich jak IPSec i PPTP. Jednak specjalizacja w zakresie jednego scenariusza użytkowania prowadzi również do tego, że protokoły VPN mają raczej małe znaczenie w konkurencji protokołów VPN.

Protokoły VPN: również kwestia zaufania

W usługach VPN, stosowanych protokołach i metodach szyfrowania chodzi przede wszystkim o zaufanie. Musisz ufać, że usługa robi dokładnie to, co twierdzi, i opierać się na fakcie, że środki ochrony są najnowocześniejsze. Ale który protokół VPN jest teraz dla Ciebie odpowiedni?

Czy bardziej godny zaufania jest protokół, który podlega ciągłemu i przejrzystemu procesowi audytu, jak to się dzieje w przypadku projektów open source? A może polegasz na zastrzeżonym protokole jednego producenta, który został precyzyjnie dostosowany do danej usługi VPN, a jednocześnie jest rozwijany, optymalizowany i kontrolowany za zamkniętymi drzwiami? Jeśli bierzesz pod uwagę czystą wiarygodność, rozwiązania oparte na otwartym kodzie źródłowym są na pierwszym miejscu ze względu na ich wysoki poziom przejrzystości.

Jaki jest najlepszy protokół VPN?

Odpowiedź na pytanie o najlepszy protokół nie jest taka prosta. W zasadzie idealnym rozwiązaniem jest wybór między kilkoma protokołami, ponieważ daje to użytkownikowi kilka opcji w zależności od przypadku użycia. OpenVPN oferuje najlepszy kompromis między stabilnością, bezpieczeństwem i szybkością oraz jest odpowiedni dla wielu scenariuszy zastosowań. Zaraz za nim plasuje się WireGuard, który ma przed sobą świetlane perspektywy na przyszłość i wyróżnia się zaawansowanymi funkcjami bezpieczeństwa i niesamowitą szybkością.

Wielu dostawców VPN już zlikwidowało ten słaby punkt dzięki statycznym adresom IP. Należy jednak pamiętać, że WireGuard nie jest jeszcze w pełni dojrzały. IKEv2 jest szczególnie przydatne w przypadku połączeń mobilnych, na przykład za pomocą smartfonów. Jednak w dłuższej perspektywie WireGuard może przewyższyć IKEv2, ponieważ jedną z mocnych stron WireGuard jest ochrona przed nagłymi zmianami sieci, np. z WLAN na LTE.

David West
Oceń autora
Bohaterowie VPN