Co trzeba wiedzieć o protokołach VPN? OpenVPN, WireGuard & Co.

VPN protocol Artiklar

Är du intresserad av VPN-lösningar, men vet inte mycket om termer som IPSec, OpenVPN och WireGuard? VPNheroes förklarar vad som ligger bakom!

Många kommersiella leverantörer av VPN-tjänster har vanligtvis stöd för flera VPN-protokoll för att säkra kommunikationen mellan hemdatorn och Internetservern. VPN-protokoll är kärnan i ett virtuellt privat nätverk (VPN) och möjliggör säkra och anonyma internetanslutningar.

Mängden protokoll och standarder som används gör det inte lätt att hålla reda på det. VPNheroes hjälper till och presenterar de mest populära VPN-protokollen.

Bästa VPN-tjänster

NordVPN

ExpressVPN

Surfshark

VPN-klassificering: 4,8

VPN-klassificering: 4,5

VPN-klassificering: 4,5

  • $3.99 / månad

  • Premium-säkerhet

  • Hastighet 6730+ Mbps

  • VPN-servrar 5400+

  •  WireGuard

  • Antal enheter: 6

  • Rabatt: 51%

  • $6.76 / månad

  • Premium-säkerhet

  • Hastighet 2220+ Mbps

  • VPN-servrar 3000+

  • OpenVPN

  • Antal enheter: 5

  • Rabatt: 49%

  • $2.49 / månad

  • Hög säkerhet

  • Hastighet 58.46 Mbps

  • VPN-servrar 3200+

  • WireGuard

  • Antal enheter: Obegränsad

  • Rabatt: 82%

Vad är ett VPN-protokoll?

För kommunikation mellan två datorer eller mellan klient och server är det nödvändigt att komma överens om ett gemensamt språk. Kommandon och processer bildar olika uppsättningar regler som kombineras i ett protokoll. Protokollet utgör således grunden för en ordnad konversation mellan din hemdator och till exempel en Internetserver.

Det speciella med VPN-protokoll jämfört med andra regeluppsättningar är att “VPN-språket” ger ytterligare verktyg för att kryptera data med hjälp av kryptografiska metoder. Precis som i en tunnel gör detta deltagarnas ömsesidiga kommunikation osynlig för utomstående.

OpenVPN: Branschstandarden

OpenVPN är en gratis programvara som används av de flesta VPN-leverantörer och är ett av de mest populära VPN-protokollen. Det har etablerat sig som de facto-standard och är lämpligt för de flesta användningsfall.

Som ett projekt med öppen källkod drar det också nytta av expertisen hos en stor och framför allt gratis utvecklargemenskap, som kontinuerligt kontrollerar den mycket omfattande programkoden för luckor och förbättrar prestandan. Dessutom är processen transparent och gör det möjligt för tredje part att kontrollera kodraderna.

OpenVPN i iOS

OpenVPN ios

OpenVPN på Windows

OpenVPN Windows

OpenVPN använder OpenSSL-biblioteket för att bygga ett virtuellt privat nätverk, men stöder även anslutningar med TLS. OpenVPN fungerar med olika krypteringsalgoritmer, inklusive 3DES, AES, RC5 och Blowfish.

Rätt implementerat ger OpenVPN en mycket hög säkerhetsnivå och stabilitet i olika nätverk, t.ex. (W)LAN och mobiltelefoni. För datatransport använder OpenVPN antingen TCP eller UDP, vilket garanterar flexibel dataöverföring. Dessutom fungerar VPN-protokollet mycket bra med brandväggar.

Som autentiseringsmetoder används antingen lösenord eller certifikat. Dessutom finns OpenVPN på många plattformar och stöds av alla vanliga operativsystem, inklusive Windows, macOS, Linux, Unix, Android och iOS. Men innan det kan användas på ett system krävs vanligtvis ytterligare programvara och ytterligare konfigurationer.

Fördelar

  • Mycket säkert
  • Öppen källkod
  • Tillgänglig på många plattformar och operativsystem
  • Stabila anslutningar
  • Kompatibla med brandväggar

Nackdelar

  • Hög ansträngning för felsökning
  • Kan inte användas “direkt ur lådan”.

IKEv2/IPSec: Stabilt i rörelse

Den första versionen av Internet Key Exchange (IKEv1) utvecklades tillsammans med telekommunikationsföretaget Cisco Systems, medan version 2 (IKEv2) skapades i samarbete med Microsoft. Intressant detalj: IKEv1 bygger delvis på ISAKMP (Internet Security Association and Key Management Protocol), som även USA:s nationella säkerhetsbyrå NSA var med och utvecklade.

IKEv2 är en del av IPSec-protokollsamlingen och säkerställer ett säkert utbyte av nycklar som används för IPSec. IPSec (Internet Protocol Security) stöder ett antal olika krypteringsalgoritmer, bland annat 3DES, AES, Blowfish och Camellia.

Systemkonfigurationen av IKEv2/IPSec är komplex på serversidan och använder en fast UDP-port för kommunikation, vilket ganska ofta leder till konflikter med brandväggar. IPSec är en del av IPv4- och IPv6-internetprotokollet och anses allmänt vara ett säkert och mycket snabbt VPN-protokoll.

Det har dock tidigare förekommit påståenden om att NSA har knäckt den underliggande krypteringsalgoritmen som en del av det så kallade Bullrun-programmet.

Detta bekräftades dock aldrig av experter och den underliggande sårbarheten har sedan dess rättats till. IKEv2 lämpar sig mycket väl för mobila anslutningar, eftersom det automatiskt återansluter om du tillfälligt förlorar din internetanslutning, till exempel när du går in i en hiss eller reser genom en tunnel.

Fördelar

  • Mycket snabbt
  • Tillgänglig på många plattformar
  • Säker
  • Stabila anslutningar, stark vid mobil användning

Nackdelar

  • Komplex konfiguration på serversidan
  • Fast UDP-port leder till brandväggskonflikter

WireGuard: Hoppets ledstjärna

Bland de nuvarande VPN-protokollen är WireGuard den yngsta och även den mest lovande representanten i rundan, men är fortfarande i ett tidigt skede enligt utvecklaren. Projektet med öppen källkod hävdar att det erbjuder ett särskilt enkelt, säkert och framför allt snabbt VPN-protokoll.

WireGuards speciella egenskap är att protokollet är en del av Linuxkärnan och har en mycket liten kodstorlek. Utvecklarna räknar med att detta kommer att ge betydande fördelar när det gäller underhåll och felsökning av programkoden samt betydligt högre bearbetningshastigheter. Dessutom förväntas Linuxintegrationen märkbart minska beräkningsarbetet och därmed energibehovet, vilket är särskilt intressant för mobila enheter.

WireGuard använder en algoritm som heter ChaCha20 för datakryptering. Även om VPN-protokollet ursprungligen utvecklades för Linux finns det även tillgängligt för andra plattformar, inklusive Windows, macOS, Android och iOS. Trots sin utvecklingsstatus används WireGuard redan av vissa kommersiella VPN-leverantörer, däribland Hide.me, Mullvad VPN, NordVPN och Surfshark.

NordVPN kringgår problemet med statiska IP-adresser i sin WireGuard-lösning med en extra NAT-server som distribuerar dynamiska IP-adresser.

För närvarande är WireGuard fortfarande en byggarbetsplats som det arbetas flitigt med. Ändå kan du redan nu få en god uppfattning om hur kryptovagnen kommer att se ut i slutändan.

Ett problem för tillfället är den jämförelsevis sämre anonymiteten, eftersom WireGuard arbetar med fasta IP-adresser. Framtiden kommer att visa i vilken riktning nykomlingen kommer att utvecklas och hur den kommer att prestera i praktiken – och om förhandstipsen i slutändan är berättigade.

Fördelar

  • Mycket stabilt, även när du byter nätverk
  • Extremt snabb
  • Öppen källkod
  • En del av Linux-kärnan
  • Tillgänglig för många plattformar

Nackdelar

  • Tidig utvecklingsfas
  • Anonymitet garanteras endast med ytterligare lösningar

SoftEther VPN: Masteruppsats från Japan

SoftEther utvecklades vid det japanska universitetet i Tsukuba som en del av en masteruppsats av studenten Daiyuu Nobori och har funnits tillgänglig för gratis nedladdning sedan 2013. VPN-protokollet övervinner brandväggar och anses vara immunt mot så kallad deep packet inspection (DPI), en teknik som också används av auktoritära regimer för att granska individuell datatrafik.

Datapaket som passerar genom en VPN-tunnel bär vanligtvis VPN-stämpeln med stora bokstäver. Även om uppgifterna i paketet förblir skyddade kan statliga myndigheter och Internetleverantörer lätt fiska upp och blockera dessa VPN-paket. Detta är vanlig praxis i till exempel Kina, Iran och Ryssland, där dataströmmen från VPN-tjänster i stor utsträckning blockeras.

Protokollet är en del av VPN-programvaran SoftEther och publiceras, liksom OpenVPN och WireGuard, under en öppen källkodslicens. Programpaketet kan hantera flera VPN-protokoll och körs på olika plattformar som Windows, macOS, Linux, FreeBSD och Solaris.

Det installeras som separat klient- och serverprogramvara och är också lämpligt för användare som vill driva sin egen VPN. Den japanska lösningen är en av de mindre kända företrädarna bland VPN-protokollen. För närvarande är Hide.me den enda kommersiella VPN-leverantör som använder SoftEther.

Fördelar

  • Öppen källkod
  • Övervinner brandväggar
  • Tillgänglig för många plattformar och mångsidig

Nackdelar

  • Inte särskilt utbredd

Katapult Hydra och Chameleon: Hemmatillverkare

Catapult Hydra, namnet låter fräckt och mystiskt på samma gång och påminner lite om den hemliga organisationen från Marvel-serierna. VPN-protokollet är en egen utveckling av det amerikanska mjukvaruföretaget AnchorFree (numera: Aura) och används bland annat i Hotspot Shield, tillverkarens VPN-tjänst.

Catapult Hydra bygger på det allmänt använda krypteringsprotokollet Transport Layer Security (TLS). Tillverkaren lovar en betydligt högre hastighet jämfört med konventionella VPN-lösningar som bygger på TLS. Tillverkaren är dock påfallande återhållsam med detaljer om Catapult Hydra.

En transparent granskningsprocess, som är vanlig för projekt med öppen källkod som OpenVPN och WireGuard, äger inte rum med det patentskyddade Catapult Hydra. VPN-protokollet förblir således stängt för utomstående i revisionssyfte. Trots detta använder andra VPN-leverantörer som Kaspersky och Bitdefender också Catapult Hydra i sina produkter.

Liksom Catapult Hydra tillhör Chameleon de proprietära VPN-protokollen och används för närvarande endast av en tillverkare. Utvecklarna på Golden Frog lovar för sin VPN-tjänst VyprVPN att VPN-data som identifieras via Deep Packet Inspection (DPI) inte längre kan blockeras.

Chameleonprotokollet, som är baserat på OpenVPN, försöker i det här läget byta skepnad och anpassa sig till sin omgivning genom att framstå som lika diskret som de okrypterade paketen i Internets stora dataström. Dessa förvrängningsfunktioner – med alternativa proxybaserade tekniker – finns dock även hos andra VPN-leverantörer som NordVPN, Surfshark och Hide.me.

Fördelar

  • Optimalt anpassad till tjänsten
  • Snabba hastigheter

Nackdelar

  • Koden kan inte kontrolleras med avseende på sårbarheter

L2TP/IPSec, PPTP, SSTP: Det gamla gardet

Layer 2 Tunneling Protocol (L2TP) kombineras ofta med IPSec för kryptering, eftersom L2TP inte har något eget kryptoförfarande för dataströmmen. Därför kan alla uttalanden om IPSecs säkerhet i princip också tillämpas på L2TP.

L2TP/IPSec stöder mycket bra krypteringsalgoritmer med 3DES och AES, men är inte nödvändigtvis en av de snabbaste företrädarna bland VPN-protokollen. Dessutom kolliderar det ofta med säkerhetsinställningarna i brandväggen, som blockerar UDP-porten som används av L2TP/IPSec. Det finns tillgängligt på många plattformar, men misstänks vara komprometterat av den amerikanska underrättelsetjänsten NSA.

Point-to-Point Tunneling Protocol (PPTP) användes länge av Microsoft för interna VPN-tjänster och var det första VPN-protokollet som stöddes av Windows, varför det var mycket vanligt. På grund av allvarliga säkerhetshål i protokollet och sårbarheten hos de inbyggda kryptometoderna rekommenderas numera i allmänhet inte att använda PPTP som VPN-protokoll.

Secure Socket Tunneling Protocol (SSTP) kommer också från Microsoft och utvecklades speciellt för användning i så kallade end-to-site-scenarier. I detta fall ska en anställds dator få tillgång till företagsnätverket hemifrån, skyddat av en VPN-tunnel.

SSTP förlitar sig på de kryptografiska metoder som finns i TLS, t.ex. AES och ChaCha20, för kryptering. SSTP anses vara mycket säkert och gör det möjligt för klienter att få tillgång till ett nätverk bakom en brandvägg. Det lider därför inte av de typiska problemen med andra VPN-protokoll som IPSec och PPTP. Specialiseringen på ett enda användningsscenario leder dock också till att det har ganska liten betydelse i konkurrensen mellan VPN-protokoll.

VPN-protokoll: också en fråga om förtroende

VPN-tjänster, de protokoll och krypteringsmetoder som används handlar i första hand om förtroende. Du måste lita på att tjänsten gör exakt vad den påstår sig göra och du måste bygga på att skyddsåtgärderna är toppmoderna. Men vilket VPN-protokoll är rätt för dig nu?

Är det protokoll som är föremål för en kontinuerlig och öppen granskningsprocess, vilket är vanligt med projekt med öppen källkod, mer pålitligt? Eller förlitar du dig på en enskild tillverkares proprietära protokoll, som har skräddarsytts exakt för respektive VPN-tjänst, men som samtidigt utvecklas, optimeras och kontrolleras bakom stängda dörrar? Om man tar hänsyn till ren pålitlighet kommer lösningar baserade på öppen källkod att ligga i topp på grund av deras höga grad av öppenhet.

Vad är det bästa VPN-protokollet?

Frågan om det bästa protokollet är inte så lätt att besvara. I princip är ett val mellan flera protokoll idealiskt, eftersom det ger användaren flera alternativ beroende på användningsfallet. OpenVPN erbjuder den bästa kompromissen mellan stabilitet, säkerhet och hastighet och lämpar sig för många tillämpningsscenarier. Det följs tätt av WireGuard, som har ljusa framtidsutsikter och som poängterar med sina sofistikerade säkerhetsfunktioner och sin brinnande snabba hastighet.

Många VPN-leverantörer har redan överbryggat den svaga punkten med statiska IP-adresser. Du bör dock komma ihåg att WireGuard ännu inte är helt moget. IKEv2 är särskilt lämplig för mobila anslutningar, till exempel med en smartphone. På lång sikt kan WireGuard dock överträffa IKEv2, eftersom en av WireGuards styrkor är skyddet mot plötsliga nätverksförändringar, till exempel från WLAN till LTE.

David West
Betygsätt författare
VPN heroes