CloudLite
8 (495) 784-61-39 techsupport@cloudlite.ru
Техническая поддержка
8 (495) 784-61-37 sales@cloudlite.ru
Тарифы, оплата, счета
Array
(
    [SECTION_CODE] => kakaya-realizatsiya-tekhnologii-vpn-luchshe
)
Настройка сети

БАЗА ЗНАНИЙ

Какая реализация технологии VPN лучше?

В настоящее время существует множеством вариантов реализаций технологии VPN, с определенными преимуществами и недостатками. Мы поможем вам в них разобраться!

VPN в любом случае должен выполнять следующие задачи:

  1. Маркировка узлов виртуальной сети и корректная адресация пакетов для конкретных клиентов
  2. Шифрование передаваемой информации должно быть максимально эффективным, экономичным с точки зрения ресурсов и конфиденциальным. Шифрование должно выполняться синхронно поступлению данных.
  3. Полное исключение передачи данных в открытом виде
  4. Аутентификация участников при подключении к сети и анализ источников информации. Это обязательное условие защиты сети от несанкционированных данных.

Перечисленные задачи выполняются различными VPN при помощи разных протоколов и инструментов, и конкретный результат от применения выбранных методов является основным критерием оценки вашего варианта реализации Virtual Private Network. Также важным критерием служат показатели безопасности, скорости, стабильности работы виртуальной частной сети, кроссплатформенность и простота конфигурации.

Проанализируем наиболее востребованные технологии реализации VPN:

PPTP (Point-to-Point tunneling protocol)
IPSec (IP Security)
L2TP (Layer 2 Tunneling Protocol) и L2TP+IPSec
SSTP (Secure Socket Tunneling Protocol)
OpenVPN

PPTP (Point-to-Point tunneling protocol)

PPTP(Point-to-Point Tunneling Protocol) был основан и опубликован Microsoft в 1999-м году, но и сегодня является довольно популярным решением. Для соединения в нем используется TCP, для шифрования - протокол MPPE (также создано Microsoft). Аутентификация клиентов чаще всего выполняется механизмом MS-CHAPv2.

Широкое распространение PPTP VPN обусловлено простой настройкой и кроссплатформенностью (поддержка данного VPN по умолчанию включена в большинство современных операционных систем, в том числе мобильные и роутерные). Также преимуществами PPTP является стабильность, сокращенная нагрузка на вычислительные ресурсы и высокая скорость работы.

Недостатком PPTP VPN является низкая безопасность. В настоящее время в нем обнаружено множество уязвимостей, касающихся устройства протокола MMPE (напр., изменение исходящего потока RC4), элемента аутентификации MS-CHAP (в 2012 году был выпущен онлайн-сервис, подбирающий MS-CHAPv2 ключ за 23 часа). Вторая проблема решается сменой механизма аутентификации с MS-CHAP на PEAP, однако компания Microsoft рекомендует использовать L2TP или SSTP.

IPSec (IP Security)

IPsec (IP Security) - это группа протоколов, предназначенных для обеспечения конфиденциальности передаваемой через IP-сети информации, при помощи аудита подлинности и целостности и шифрования передаваемых данных. IPsec рассчитан на работу в транспортном и туннельном режимах. Транспортный режим предполагает шифрование только данных передаваемого пакета, при сохранении исходного заголовка; в туннельном режиме шифруется и инкапсулируется в поле данных нового IP-пакета вся передаваемая информация. Транспортный режим IPsec применительно к созданию VPN-сетей также применяется совместно с другими реализациями (обычно L2TP), а вот туннельный сам по себе может использоваться в качестве метода создания VPN-туннеля.

Шифрование соединения IPsec реализуется такими средствами:

IKE (Internet Key Exchange Protocol)
ISAKMP (Internet Security Association and Key Management Protocol)
AH (Authentication Header Protocol)
STS (Station-to-Station protocol)
HMAC (Hash Message Authentication Code)
MD5 (Message Digest 5)
3DES (Triple Data Encryption Standart)
AES (Advanced Encryption Standart)
XAUTH (Extended Authentication)
ESP (Encapsulating Security Payload Protocol)
SHA-1 (Security Hash Algorithm)

В полном мере назвать IPsec VPN все-таки нельзя, так как он не создает в системе дополнительный виртуальный сетевой адаптер, а использует стандартный внешний интерфейс. Это не реализация технологии виртуальных частных сетей, а средство защиты от подмены передаваемых IP-пакетов. Развертывание же виртуальных туннелей – уже второстепенное свойство.

Поддержка IPsec доступна на всех современных операционных системах (серверных, настольных, мобильных) а также на многих роутерах. Настройка VPN на роутерах не требует дополнительных действий на клиентах, находящихся за этими роутерами.

Все эти преимущества делают IPsec одним из лучших вариантов для применения в сетях VPN.

Однако, у IPsec есть и недостатки. Работа в транспортном режиме IPsec может сопровождаться атакам, направленным на протокол ISAKMP. А при работе IPsec без заголовков AH атакующий может выполнить инъекцию собственных данных в передаваемые пакеты. Возможны атаки, при которых подменяется маршрут передачи пакетов (характерно для транспортного режима IPSec). Также известен новый эксплойт, позволяющий расшифровать IPsec-трафик посредством уязвимости в IKE.

L2TP (Layer 2 Tunneling Protocol) и L2TP+IPSec

L2TP(Layer 2 Tunneling Protocol) представляет собой протокол туннелирования для виртуальных частных сетей. Это симбиоз протокола L2F (Layer 2 Forwarding) производства Cisco и PPTP (см.выше). Предназначен для создания VPN-сети с разграничением прав доступа, однако не шифрует трафик. Этот протокол обеспечивает конфиденциальность и целостность L2TP-пакетов внутри туннеля, одновременно требуя обеспечения шифрования и аутентификации на пакетном уровне для всего проходящего трафика. Для этого подходит IPsec.

Совместное использование L2TP/IPsec востребовано в современных ОС, при этом настройка его аналогична PPTP. Усложнить конфигурацию может L2TP, а также UDP-порт 500, изредка блокируемый в случае вашего нахождения за NAT. Чтобы предупредить такие проблемы, используйте дополнительную настройку firewall или роутера (переадресацию портов), которая не требуется для решений, использующих стандартный для HTTPS порт TCP 443.

В настоящее время LT2P/IPsec является достаточно безопасным вариантом при таких алгоритмах шифрования, как AES. Однако двойное инкапсулирование данных приводит к замедлению реализаций, использующих SSL (напр., OpenVPN или SSTP).

Стабильность работы L2TP/IPsec – очень высока.

Возможным недостатком LT2P/IPsec является повышенное использование ресурсов CPU для обеспечения двойного инкапсулирования.

 

SSTP (Secure Socket Tunneling Protocol)

SSTP (Протокол безопасного туннелирования сокетов (Secure Socket Tunneling Protocol) – также разработано Microsoft и опубликовано одновременно с выходом Windows Vista. В качестве SSTP-сервера может использоваться уже не только Windows Server 2008/2012, но и машина под управлением Linux или RouterOS (правда, это не самый функциональный вариант). Поддержка SSL v.3, SSTP делает возможной работу без конфигурации маршрутизатора/межсетевого экрана, а за счет интегрированности в Windows упрощена настройка и стабилизирована работа. Для шифрования применяется стойкий AES (до 256 бит шифрование с сертификатами до 2048-бит).

SSTP – оптимальное решение именно для Windows-сетей по всем критериям.

OpenVPN

OpenVPN – был представлен в 2002 году, однако на сегодняшний день данная open-source реализация VPN набирает все большую популярность. Безопасность разворачиваемых туннелей обеспечивает библиотека OpenSSL , предоставляющая большой выбор открытых инструментов шифрования (Blowfish, AES, Camelia, 3DES, CAST и т.д.). Скорость работы OpenVPN напрямую зависит от выбранного алгоритма, и по сравнению с L2TP/IPsec она быстрей и экономичней.

Преимуществом OpenVPN также является возможность прохождения через NAT и Firewall без их дополнительной конфигурации по стандартному для HTTPS порту TCP 443 за счет SSL/TLS-инкапсуляции. Также возможна и работа по протоколу UDP –установленному в конфигурации по умолчанию. ТCP гарантирует высокую надёжность передачи данных, однако характеризуется большими задержками по сравнению с UDP, гораздо более быстрым за счёт отсутствия подтверждения доставки пакетов.

Сжатие данных в OpenVPN осуществляется инструментом LZO.

Широкие возможности конфигурации, дополнительные возможности безопасности частной сети и поддержка большинством ОС обуславливает растущую популярность OpenVPN. Гибкость OpenVPN в некоторых ситуациях может обернуться более утомительной конфигурацией, по сравнению с другими вариантами, что, впрочем, решается подготовкой преднастроенных установочных клиентских пакетов или использованием OpenVPN Remote Access Server. Так что необходимость установки стороннего ПО есть.

Выводы

Конечно, выбор оптимальной реализации VPN зависит от конкретных задач. Однако общие выводы следующие:

PPTP - стабильный и простой в использовании, однако достаточно уязвимый с точки зрения безопасности. Неплохой выбор при минимальных требованиях к конфиденциальности туннеля, альтернатива IPsec или L2TP+IPsec (которые в тех же условиях предоставляют больше возможностей: кроссплатформенность, порог вхождения в конфигурацию для администратора, более высокий уровень безопасности).

IPsec располагает большим количеством алгоритмов шифрования и аутентификации для VPN, несмотря на то что является стеком протоколов для защиты IP-пакетов при их передаче. IPsec идеален для развертывания VPN, безопасность которых особенно актуальна. Для таких задач IPsec лучше использовать в связке с L2TP. В плане возможностей IPsec – один из лучших вариантов для VPN.

L2TP в связке с IPsec также оптимален и в плане безопасности, и в плане совместимости с популярными ОС. Недостатки: возможная необходимость в дополнительной настройке роутера/firewall на разрешение используемых LT2P/IPsec портов (UDP 1701, UDP 4500, UDP 500), а также двойная инкапсуляция, замедляющая работу туннеля.

Протокол SSTP отличается удобством конфигурации, стабильностью и безопасностью, но привязан только к системам Microsoft. На других ОС SSTP на порядок менее функционален.

OpenVPN по многим параметрам сбалансирован идеально.

Скорость: за счет сжатия LZO и опции работы по протоколу UDP
Стабильность: особенно при работе через TCP
Гибкость конфигурации: доступны дополнительные опции, например, балансировка нагрузки, различные типы аутентификации
Кроссплатформенность: наличие клиентских приложений для большинства современных ОС, в т.ч. мобильных
Безопасность: благодаря работе со всеми инструментами библиотеки openssl

Однако даже первичная конфигурация OpenVPN может оказаться сложнее, по сравнению другими реализациями. Проблему возможно компенсировать за счет: быстрого развертывания сервера виртуальной частной сети из стандартной конфигурации; OpenVPN Remote Access Server для создания VPN «из коробки»;  возможности сервера передавать большой список параметров подключения клиентам без их указания в клиентской конфигурации вручную.

Самостоятельная настройка VPN на физическом или виртуальном сервере (VPS/VDS) является наиболее надежным и гибким решением. Отличным вариантом является создание виртуальной частной сети OpenVPN по одном из тарифов нашей компании (Windows, Linux), используя облачный VPS/VDS сервер.

Не нашли ответа на Ваш вопрос? Напишите нам!

techsupport@cloudlite.ru - служба техподдержки

sales@cloudlite.ru - вопросы по услугам, оплате, документам и партнерству

partner@cloudlite.ru - партнерская программа