Протокол VPN в идеале должен быть безопасным, функциональным и быстрым. Но есть еще один фактор: популярность. Непопулярный протокол сложнее реализовать и поддерживать: его программное обеспечение необходимо установить и настроить, а пользователей и администраторов нужно обучить.
Иногда протоколы становятся популярными, несмотря на свои технические недостатки, просто из-за агрессивного продвижения крупной компании. Иногда, наоборот, протокол независимых разработчиков решает такую актуальную проблему некоторых пользователей, которая сама быстро набирает популярность. Это произошло с OpenVPN или WireGuard. Некоторые протоколы теряют популярность. Некоторые не становятся широко известными, иногда заслуженно, иногда нет. В этой статье мы поговорим о нескольких таких протоколах.
PPTP (протокол туннелирования от точки к точке) оказался полностью честным. Хочется верить, что юные читатели не встречали его, но десять лет назад он был хрестоматийным примером незаслуженно популярного протокола.
Его популярность была обеспечена монополией разработчика — Microsoft. С середины 1990-х до конца 2000-х подавляющее большинство клиентских устройств были компьютерами под управлением Windows. Очевидно, наличие встроенного клиента в Windows автоматически сделало протокол хотя бы распространенным.
Microsoft не была бы собой, если бы не использовала это для сохранения и укрепления своей монопольной позиции. Протокол PPTP использовал стандартные PPP и GRE для передачи данных, но для аутентификации и шифрования использовался нестандартный проприетарный набор протоколов: MPPE (Microsoft Point-to-Point Encryption) и MS-CHAP. клиентские и PPTP-серверы когда-то были такой же болезненной темой, как GIF и MP3. Затем срок действия патентов истек, poptop для Linux и MPD для FreeBSD стали популярными альтернативами проприетарным продуктам.
Однако предупреждения о проблемах безопасности самодельной криптографии были безосновательными. Оценки устойчивости к MPPE и MS-CHAP неоднократно снижались, и в 2012 году протокол был окончательно дискредитирован: исследователи доказали, что устойчивость MS-CHAP-v2 не лучше, чем DES.
После этого стало невозможно воспринимать PPTP как безопасный протокол, и он быстро потерял последние остатки своей популярности.
Стоит ли использовать PPTP? Очевидно, это не рекомендуется.
SSTP (протокол безопасного туннелирования) — вторая попытка Microsoft создать собственный протокол для VPN. На этот раз они не изобретали свои криптографические алгоритмы, а использовали стандартный SSL / TLS. Они также больше не мешают созданию бесплатных реализаций.
SSTP — это PPP поверх HTTPS. Очевидным преимуществом является то, что он отлично проходит через NAT и теоретически даже через прокси. Преимущество не уникальное, OpenVPN смог работать на TCP / 443 задолго до этого.
Однако OpenVPN по умолчанию использует не только UDP, но не TCP. Туннели на вершине TCP имеют серьезные проблемы с производительностью — на одном и том же сальнике они могут быть в десять раз медленнее.
Очевидно, что в Windows есть встроенный клиент — начиная с Windows Vista. Для Linux существуют клиентские реализации и плагины для NetworkManager. Также существуют независимые клиенты для macOS, такие как EasySSTP. Для мобильных устройств вам также придется искать и устанавливать сторонние приложения.
Если вам нужно развернуть сервер SSTP, он поддерживается 4CCEL-PPP и SoftEther из бесплатных проектов.
Стоит ли использовать SSTP? Если это не навязывает корпоративную политику.
SoftEther — это многопротокольный сервер VPN, например MPD или ACCEL-PPP. Он поддерживает L2TP / IPsec, PPTP, SSTP, OpenVPN и нестандартный одноименный протокол SoftEther. Это довольно молодой проект, первая его версия вышла в 2014 году. SoftEther — это Ethernet через HTTPS. Поскольку стандартный SSL отвечает за шифрование и аутентификацию, безопасность не является серьезной проблемой.
Авторы утверждают, что производительность в десять раз выше, чем у OpenVPN. В это трудно поверить, но у меня нет возможности проверить их утверждения. Этот клиент предназначен только для Linux и Windows, поэтому на других платформах потребуется использовать другие протоколы.
Стоит ли использовать SoftEther? Если утверждения авторов о производительности верны, оно того стоит.
Термин SSL VPN без контекста является наиболее распространенным, но совершенно бессмысленным. «Запуск SSL VPN» может означать как SSTP, так и OpenVPN, а также многие несовместимые собственные протоколы.
Такой протокол есть практически у каждого провайдера. Например, Cisco Any-Connect, Juniper Pulse Connect, Palo Alto GlobalProtect. Если организация использует клиента для такого протокола, может быть очень сложно изменить оборудование концентратора VPN, которое хотят провайдеры.
Бесплатный проект OpenConnect предоставляет серверные и клиентские реализации для Cisco, Juniper и Palo Alto. Клиент OpenConnect работает в Windows и многих UNIX-подобных системах: не только Linux и macOS, но также в системах BSD и даже Solaris.
OCServ может сэкономить организациям много денег, потому что в их собственных реализациях эти протоколы часто лицензируются для каждого пользователя.
Стоит ли использовать OpenConnect?
Если ваша организация внедрила один из этих протоколов и сейчас не удовлетворена — конечно. Поскольку ни один из этих протоколов не защищен патентами (и ничего особо не запатентовано в них), единственный реальный риск для существования проекта — это претензии на товарный знак. Зарегистрированные товарные знаки не отражаются в названии проекта, поэтому риск невелик. Кроме того, проект существует с 2009 года, и пока никто из вендоров не подал в суд на авторов.
Казалось бы, IPsec — самый стандартизированный протокол из всех, и он поддерживается всеми поставщиками сетевого оборудования. Но со стандартизированным протоколом вы не можете заманить пользователей в ловушку блокировки поставщика, поэтому IPsec регулярно предлагает свои собственные варианты.
Иногда они решают вполне реальные проблемы, которые сложно решить с помощью чистого IPsec. Например, Cisco GETVPN (Group Encrypted Transport) упрощает развертывание безопасной сети для пользователей MPLS, поскольку сам MPLS не обеспечивает никакой защиты от перехвата трафика.
В других случаях, как в случае с EZVPN, провайдеры пытаются подкупить пользователей относительная простота установки по сравнению с «обычным» IPsec.
Следует ли использовать фирменные варианты IPsec?
Если перспектива навсегда привязана к одному провайдеру, это не страшно … В случае EZVPN, например, некоторые устройства поддерживают только сервер, а некоторые — только клиента, поэтому выбор может быть ограничен конкретной моделью.
Кстати об IPsec. Обычно он используется для стационарных туннелей от сайта к сайту или в качестве безопасного транспорта для другого протокола, такого как L2TP. Старый протокол IKEvI не подходил для клиентских подключений. Однако современный IKEv2 справляется намного лучше. Более того, встроенная поддержка этого типа туннеля доступна во всех системах, включая Windows, macOS и мобильные устройства.
С бесплатными серверными реализациями проблем тоже нет, тот же StrongSWAN официально поддерживает клиентские подключения.
Должен ли я использовать клиент IPsec? Если вы настраиваете сервер с нуля и хотите создать поддержку клиентов для всех распространенных операционных систем, по крайней мере рассмотрите этот вариант вместе с L2TP / IPsec.
Большинство протоколов VPN ориентированы на топологию «точка-точка» или «звезда». Сетевое взаимодействие по-прежнему остается довольно экзотическим сценарием. Однако протоколы для этих целей существуют и развиваются. Проект TINC находится в разработке с 1998 года. Это означает, что он старше, чем OpenVPN, первая версия которого была выпущена в 2001 году. Он поддерживает Windows и все UNIX-подобные операционные системы. систем, но мобильных версий у него нет.
Главная особенность — автоматическое построение сети. Даже если в сети много узлов, трафик между ними будет передаваться напрямую, а не через центральный сервер. Это может сделать TINC рабочей альтернативой динамической многоточечной VPN и вышеупомянутому GETVPN для корпоративных сетей. Что ж, могло бы быть, если бы поставщики сетевого оборудования и популярные бесплатные сетевые операционные системы поддерживали это.
Стоит ли использовать TINC? По крайней мере, будет интересно поэкспериментировать.
ЗАКЛЮЧЕНИЕ
В мире существует множество протоколов VPN. Даже если вы предпочитаете использовать только самые популярные, полезно знать о других — выбор будет более осознанным. Также далеко не всегда возникает необходимость «прогонять» весь трафик всех установленных в системе приложений через VPN. Зачастую потребность в VPN может возникнуть лишь в связи с использованием того или иного браузера. Одним из весьма интересных и эффективных решений является vpn для yandex, на который также стоит обратить внимание!
Добавить комментарий