Použití a VPN připojení je stále běžnější. Vzhledem k nárůstu (masového) sledování, hackerů a online sledování a pronásledování ze strany reklamních společností je to pochopitelné. Také využívání služeb VPN již není jen pro počítačové techniky. Abyste však ze svého připojení VPN vytěžili maximum, je velmi důležitý výběr správného protokolu VPN najít nejlepší VPN.
Co je protokol VPN?
VPN šifruje váš internetový provoz před jeho odesláním na server VPN. Pro toto šifrování je často na výběr z různých protokolů, tzv. šifrovacích protokolů (známých také jako protokoly VPN). Každý protokol VPN má své klady a zápory. Nejběžnější protokoly VPN jsou:
- OpenVPN s UDP
- OpenVPN s TCP
- PPTP
- IKEv2
- L2TP/IPSec
- Wireguard (experimentální protokol stále ve vývoji)
OpenVPN | PPTP | L2TP/IPSec | IKEV2 | ||
---|---|---|---|---|---|
Celkově | Populární protokol VPN s otevřeným zdrojovým kódem s funkcemi pro různé platformy | Základní protokol VPN. Toto je první protokol VPN podporovaný systémem Windows. | Protokol tunelování, který používá IPSec pro zabezpečení a šifrování. L2TP funguje přes UDP. | Další tunelovací protokol, který používá pro šifrování IPSec. Tento protokol je však méně běžně podporován. | Nový, experimentální open-source protokol. Protokol je chválen pro svou rychlost, efektivitu a malé (a tedy lépe ovladatelné) množství kódu. |
Šifrování- síla | OpenVPN používá silné šifrování prostřednictvím OpenSSL. Použité algoritmy: 3DES, AES, RC5, Blowfish. 128bitové šifrování s 1024bitovými klíči, 256bitové šifrování pro kontrolu spojení. | PPTP používá pro šifrování protokol MPPE. Použitý algoritmus je algoritmus RSA RC4 se 128bitovými klíči. | L2TP používá IPSec pro šifrování s 256bitovým klíčem, algoritmus 3DES/AES. | IKEv2 používá pro šifrování IPSec. IKEv2 může používat následující šifrovací algoritmy: 3DES, AES, Blowfish, Camellia. | Wireguard používá pro šifrování algoritmus ChaCha20. Audit Wireguard v červnu 2019 nezjistil žádné závažné bezpečnostní problémy. Podle vědců však existuje prostor pro zlepšení. Je důležité si uvědomit, že Wireguard je stále ve fázi vývoje a tedy experimentálního protokolu. |
Použití | Prostřednictvím samostatně nainstalovaného softwaru a použití konfiguračních souborů *.ovpn v kombinaci s uživatelským jménem a heslem. | Lze nastavit přímo v operačním systému. Lze použít i samostatný software. | Nastavení přímo v operačním systému. Lze použít i přes dodaný software. | Nastavení přímo v operačním systému. Lze použít i přes dodaný software. | Vzhledem k tomu, že Wireguard je stále ve vývoji, není zatím podporován drtivou většinou poskytovatelů VPN. Protokol je však kompatibilní s většinou operačních systémů. |
Rychlost | Závisí na mnoha faktorech včetně rychlosti vašeho počítače a serveru. OpenVPN přes UDP je obecně rychlejší než OpenVPN přes TCP. | Závisí na mnoha faktorech včetně rychlosti vašeho počítače a serveru. Obecně je však PPTP znám jako rychlý protokol, a to především kvůli relativně jednoduchému a méně silnému šifrování ve srovnání například s OpenVPN. | Závisí na mnoha faktorech, včetně rychlosti vašeho počítače a serveru. Kvůli nezbytnému přidání IPSec pro dobré šifrování je L2TP/IPSec pomalejší než OpenVPN. | IKEv2 (jako L2TP) používá UDP port (UDP port 500) a je tedy rychlým protokolem. Podle některých zdrojů je IKEv2 dokonce rychlejší než OpenVPN. | Podle vývojářů Wireguardu by efektivní a kompaktní kód v kombinaci se skutečností, že Wireguard je zasazen do jádra operačního systému Linux, měl znamenat, že protokol má za následek vysoké rychlosti. |
Stabilita | Velmi dobrá stabilita se všemi typy sítí (WLAN (bezdrátová), LAN (kabelová), mobilní atd.). | PPTP je relativně nestabilnější. To je způsobeno především problémy s kompatibilitou. | Podobné jako OpenVPN, ale někdy závisí na síti. | IKEV2 je složitější protokol než OpenVPN. V důsledku toho IKEV2 někdy vyžaduje pokročilejší konfiguraci, aby správně fungovala. | Vzhledem k tomu, že Wireguard je stále ve vývoji, je těžké mluvit o stabilitě. |
Bezpečnost a soukromí | OpenVPN má málo bezpečnostních chyb. Chcete maximální soukromí a zabezpečení VPN? Pak je to v mnoha případech nejlepší protokol. | Ve Windows existuje několik známých chyb zabezpečení. | Je známo, že L2TP v kombinaci s IPsec je velmi bezpečný. Podle Snowdena však L2TP/IPSec kdysi hackla NSA (Národní bezpečnostní agentura USA) | IKEv2 je často považován za stejně bezpečný jako L2TP/IPSec, protože používají stejný model šifrování. Podle uniklých prezentací z NSA však byl hacknut i IKEv2. | Výhodou Wireguardu je, že kód protokolu je relativně malý (méně než 4000 linek ve srovnání se stovkami tisíc linek například s OpenVPN a L2TP/IPSec). Díky tomu je „útočná plocha“ například menší pro hackery. To také usnadňuje detekci bezpečnostních děr. |
Výhody | Velmi dobrá rychlost a nejlepší zabezpečení. Udržuje kolem většiny firewallů a síťových/ISP omezení. | Snadné nastavení Dobré rychlosti Podporováno největším počtem zařízení | Snadné nastavení omezení sítě Pass a ISP | Snadné nastavení Dobré rychlosti | Malé, zvládnutelné množství kódu (snáze se vyhodnocuje) Snadno použitelný a rychlý protokol podle vývojářů a mnoha kritiků. |
Nevýhody | Pro použití je často vyžadována instalace samostatného dodávaného softwaru. | Různá stabilita Méně bezpečné Použití je snadné blokovat weby, vládami a ISP | Pomalé a snadněji blokovatelné | Relativně často blokováno firewally Méně podporované než OpenVPN, L2TP/IPSec a PPTP. | Stále ve vývoji (žádné záruky týkající se bezpečnosti protokolu) Ve svém současném stavu není Wireguard kompatibilní s politikou bez protokolování (více o tom později) |
Závěr | OpenVPN je ve většině případů preferovaný protokol VPN. OpenVPN je rychlý, stabilní a bezpečný. | PPTP se snadno nastavuje, ale je méně stabilní a méně bezpečný. Zkrátka možnost, kterou byste raději zvolili pouze v případě, že ostatní protokoly nefungují. | L2TP/IPSec je často pomalejší, ale někdy může obejít bloky, které ostatní dva protokoly nemohou. Vidíme to jako alternativu, pokud OpenVPN nestačí. | Zdá se, že IKEv2 nabízí stejnou úroveň zabezpečení jako L2TP/IPSec, ale podle mnohých vyšší rychlosti. To druhé však závisí na mnoha proměnných. Aby byla zaručena dobrá stabilita, je někdy nutná složitá konfigurace. Proto zejména začátečníkům tento protokol doporučujeme pouze v případě, že například nefunguje OpenVPN. | Wireguard je bezesporu slibný. Protokol je však stále ve vývoji. Proto jej stejně jako vývojáři a poskytovatelé VPN doporučujeme používat pouze pro experimentální účely nebo v případech, kdy soukromí a anonymita nejsou kritické (např. pro odblokování). |
OpenVPN
OpenVPN (což je zkratka pro open source virtuální privátní síť) je nejznámější protokol VPN. OpenVPN vděčí za svou popularitu svému silnému šifrování a open-source kódu. OpenVPN nyní podporují všechny známé operační systémy, včetně Windows, MacOS a Linux. Mobilní operační systémy jako Android a iOS také podporují OpenVPN.
Jedním z hlavních cílů protokolu VPN je poskytnout skálopevné šifrování. OpenVPN v této oblasti boduje velmi dobře. OpenVPN používá 265bitové šifrování přes OpenSSL. Kromě toho je k dispozici spousta samostatného softwaru VPN, který podporuje OpenVPN.
- OpenVPN podporuje použití dvou typů portů, TCP a UDP.
- OpenVPN-TCP je nejrozšířenější a nejspolehlivější protokol. Každý odeslaný datový paket musí být před odesláním nového paketu nejprve potvrzen přijímajícím počítačem. Díky tomu je připojení velmi spolehlivé, ale pomalejší.
- OpenVPN-UDP je mnohem rychlejší. Datové pakety jsou odesílány bez potřeby zpětné vazby o přijetí. To vede k rychlejšímu připojení VPN, poněkud na úkor spolehlivosti.
Výhody a nevýhody OpenVPN
- + OpenVPN je velmi bezpečný
- + Podpora většiny softwaru
- + Lze použít na téměř všech operačních systémech
- + Často testováno na bezpečnost
- – Často potřebujete další software
Protokol PPTP VPN
Protokol PPTP (Point-to-Point Tunneling Protocol) je jedním z nejstarších protokolů VPN. PPTP byl prvním protokolem podporovaným systémem Windows. NSA prolomila protokol, díky čemuž je nebezpečný. PPTP je velmi rychlý kvůli slabému šifrování. Rozdíl může být patrný zejména na pomalých počítačích. Protokol PPTP je vzhledem ke svému stáří nejpodporovanějším protokolem. Firewally, které se snaží blokovat provoz VPN, mají s rozpoznáním PPTP jen malé potíže.
Klady a zápory protokolu PPTP
- + PPTP je velmi rychlý
- + se snadno používá
- + funguje na téměř všech operačních systémech
- – nabízí velmi slabé šifrování
- – Provoz PPTP lze snadno rozpoznat a zablokovat
- – hackeři často využívají slabiny PPTP
L2TP/IPSec
Layer 2 Tunneling Protocol (L2TP) je tunelovací protokol pro nastavení připojení VPN. L2TP sám o sobě internetový provoz nešifruje. Proto je L2TP téměř vždy kombinován s IPSec k šifrování dat. IPSec je zkratka pro Internet Protocol Security a zajišťuje end-to-end šifrování dat v L2TP tunelu. Kombinace L2TP/IPSec jako protokol VPN je mnohem bezpečnější než PPTP.
- Nevýhodou L2TP/IPSec je, že firewall někdy toto připojení blokuje. L2TP používá UDP port 500 a někteří poskytovatelé a společnosti tento port blokují. Pokud jde o rychlost, L2TP je velmi rychlý, ale to je způsobeno chybějícím šifrováním. Přidání protokolu IPSec zvyšuje zatížení počítače a může snížit rychlost připojení. OpenVPN je rychlejší než L2TP/IPSec.
Výhody a nevýhody L2TP/IPSec
- + Lepší šifrování než PPTP
- + přímo podporováno v mnoha operačních systémech
- – pomalejší než OpenVPN
- – Snowden říká, že L2TP/IPSec byl hacknut NSA
- – L2TP může být blokován firewally
Protokol VPN IKEv2
IKEv2 znamená Internet Key Echange Version 2. Jak název napovídá, IKEv2 je nástupcem IKE. Při použití IKEv2 je internetový provoz nejprve šifrován pomocí IPSec. Poté je vytvořen VPN tunel, ve kterém jsou odesílána šifrovaná data.
- Protokol IKEv2, stejně jako L2TP, používá UDP port 500, což znamená, že je někdy blokován firewally. Díky použití IPSec je IKEv2 často považován za stejně bezpečný jako L2TP/IPSec. Při použití slabého hesla je IKEv2 mimořádně citlivý na hackery. IKEv2 je velmi rychlý protokol VPN.
Výhody a nevýhody IKEv2
- + IKEv2 je velmi rychlý
- + poměrně silné šifrování
- + může obnovit ztracená připojení
- + IKEv2 se snadno používá
- – lze poměrně snadno blokovat firewally
- – možná prasklé NSA
- – nezabezpečené při použití slabého hesla
- – méně podporovaný protokol ve srovnání s OpenVPN a L2TP/IPSec
Wireguard
Wireguard je nový pokusný experimentální protokol VPN napsaný Jasonem A. Donenfeldem. Protokol je stále ve vývoji. Různí poskytovatelé VPN však tento protokol nabízejí. Protokol se odlišuje mnohem menším množstvím kódu ve srovnání s konkurencí.
- Díky tomu je protokol a jeho zabezpečení snazší vyhodnotit (audit) a v kombinaci se samotným kódem by mělo jít o jednodušší, rychlejší, efektivnější a snadněji použitelný protokol VPN.
Protože je však tento protokol stále ve vývoji, vývojáři a většina poskytovatelů VPN jej doporučují používat pouze pro experimentální účely, nebo když soukromí není nezbytně nutné (zatím). Dále je důležité poznamenat, že aktuální verze Wireguard pracuje pouze se statickými IP adresami. Podle mnoha IT úřadů to znamená, že používání Wireguard není kompatibilní se zásadami VPN bez protokolování.
Výhody a nevýhody Wireguardu
- + Wireguard je teoreticky a podle benchmarků na vlastním webu velmi rychlý
- + Malé množství kódu znamená, že protokol lze snadněji auditovat
- – Většina poskytovatelů VPN (zatím) tento protokol nepodporuje.
- – Wireguard používá statické IP adresy, a proto není kompatibilní se zásadou zákazu protokolování.
souhrn
Je důležité zvolit správný protokol VPN. Každý protokol VPN má své výhody a nevýhody. Ve většině případů je OpenVPN nejlepší volbou. PPTP není téměř nikdy dobrý nápad používat kvůli jeho slabému šifrování. Pokud OpenVPN není podporováno nebo nefunguje správně, lze zvážit L2TP/IPSec nebo IKEv2.