Käyttö a VPN-yhteys on tulossa yhä yleisempään. Tämä on ymmärrettävää, kun otetaan huomioon mainosyritysten harjoittaman (massa)valvonnan, hakkereiden sekä verkkoseurannan ja jahtaamisen lisääntyminen. Myös VPN-palvelujen käyttö ei ole enää vain tietokoneteknikoille tarkoitettua. Oikean VPN-protokollan valitseminen on kuitenkin erittäin tärkeää, jotta VPN-yhteydestäsi tulisi mahdollisimman paljon irti löytää parhaat VPN:t.
Mikä on VPN-protokolla?
VPN salaa Internet-liikenteesi ennen kuin se lähetetään VPN-palvelimelle. Tätä salausta varten on usein valittavissa erilaisia protokollia, niin sanottuja salausprotokollia (tunnetaan myös nimellä VPN-protokollia). Jokaisella VPN-protokollalla on hyvät ja huonot puolensa. Yleisimmät VPN-protokollat ovat:
- OpenVPN UDP:llä
- OpenVPN TCP:llä
- PPTP
- IKEv2
- L2TP/IPSec
- Wireguard (kokeellinen protokolla vielä kehitteillä)
OpenVPN | PPTP | L2TP/IPSec | IKEV2 | ||
---|---|---|---|---|---|
Yleensä ottaen | Suosittu avoimen lähdekoodin VPN-protokolla, jossa on monialustaisia ominaisuuksia | VPN-perusprotokolla. Tämä on ensimmäinen Windowsin tukema VPN-protokolla. | Tunnelointiprotokolla, joka käyttää IPSeciä suojaukseen ja salaukseen. L2TP toimii UDP:n yli. | Toinen tunnelointiprotokolla, joka käyttää IPSeciä salaukseen. Tätä protokollaa tuetaan kuitenkin harvemmin. | Uusi, kokeellinen avoimen lähdekoodin protokolla. Protokollaa kehutaan nopeudestaan, tehokkuudestaan ja pienestä (ja siksi paremmin hallittavasta) koodimäärästä. |
Salaus- vahvuus | OpenVPN käyttää vahvaa salausta OpenSSL:n kautta. Käytetyt algoritmit: 3DES, AES, RC5, Blowfish. 128-bittinen salaus 1024-bittisillä avaimilla, 256-bittinen salaus yhteyden hallintaan. | PPTP käyttää MPPE-protokollaa salaukseen. Käytetty algoritmi on RSA RC4 -algoritmi, jossa on 128-bittiset avaimet. | L2TP käyttää IPSec-salausta 256-bittisellä avaimella, 3DES/AES-algoritmilla. | IKEv2 käyttää IPSeciä salaukseen. IKEv2 voi käyttää seuraavia salausalgoritmeja: 3DES, AES, Blowfish, Camellia. | Wireguard käyttää salaukseen ChaCha20-algoritmia. Wireguardin auditointi kesäkuussa 2019 ei löytänyt vakavia turvallisuusongelmia. Tutkijoiden mukaan parantamisen varaa on kuitenkin. On tärkeää ymmärtää, että Wireguard on edelleen kehitysvaiheessa ja siksi kokeellinen protokolla. |
Käyttää | Erikseen asennetun ohjelmiston kautta ja käyttää *.ovpn-määritystiedostoja yhdistettynä käyttäjätunnukseen ja salasanaan. | Voidaan asettaa suoraan käyttöjärjestelmässä. Voidaan käyttää myös erillistä ohjelmistoa. | Aseta suoraan käyttöjärjestelmässä. Voidaan käyttää myös mukana toimitetulla ohjelmistolla. | Aseta suoraan käyttöjärjestelmässä. Voidaan käyttää myös mukana toimitetulla ohjelmistolla. | Koska Wireguard on edelleen kehitysvaiheessa, suurin osa VPN-palveluntarjoajista ei vielä tue sitä. Protokolla on kuitenkin yhteensopiva useimpien käyttöjärjestelmien kanssa. |
Nopeus | Riippuu monista tekijöistä, mukaan lukien tietokoneen ja palvelimen nopeus. OpenVPN over UDP on yleensä nopeampi kuin OpenVPN over TCP. | Riippuu monista tekijöistä, mukaan lukien tietokoneen ja palvelimen nopeus. Yleisesti ottaen PPTP tunnetaan kuitenkin nopeana protokollana lähinnä suhteellisen yksinkertaisen ja vähemmän vahvan salauksen vuoksi verrattuna esimerkiksi OpenVPN:ään. | Riippuu monista tekijöistä, mukaan lukien tietokoneen ja palvelimen nopeus. Hyvän salauksen edellyttämän IPSec-lisäyksen vuoksi L2TP/IPSec on hitaampi kuin OpenVPN. | IKEv2 (kuten L2TP) käyttää UDP-porttia (UDP-portti 500) ja on siksi nopea protokolla. Joidenkin lähteiden mukaan IKEv2 on jopa nopeampi kuin OpenVPN. | Wireguardin kehittäjien mukaan tehokkaan ja kompaktin koodin yhdistettynä siihen, että Wireguard on Linux-käyttöjärjestelmän ytimessä, pitäisi tarkoittaa, että protokolla johtaa nopeisiin nopeuksiin. |
Vakaus | Erittäin hyvä vakaus kaikentyyppisissä verkoissa (WLAN (langaton), LAN (langallinen), mobiili jne.). | PPTP on suhteellisen epävakaampi. Tämä johtuu pääasiassa yhteensopivuusongelmista. | Samanlainen kuin OpenVPN, mutta on joskus verkkoriippuvainen. | IKEV2 on monimutkaisempi protokolla kuin OpenVPN. Tämän seurauksena IKEV2 vaatii joskus kehittyneemmän kokoonpanon toimiakseen kunnolla. | Koska Wireguard on edelleen kehitteillä, on vaikea sanoa paljon vakaudesta. |
Turvallisuus ja yksityisyys | OpenVPN:ssä on vähän tietoturva-aukkoja. Haluatko maksimaalisen yksityisyyden ja VPN-suojauksen? Sitten monissa tapauksissa tämä on paras protokolla. | Windowsissa on useita tunnettuja tietoturva-aukkoja. | L2TP yhdessä IPsecin kanssa tiedetään erittäin turvalliseksi. Snowdenin mukaan NSA (US National Security Agency) hakkeroi kuitenkin kerran L2TP/IPSecin. | Usein IKEv2:ta pidetään yhtä turvallisena kuin L2TP/IPSeciä, koska ne käyttävät samaa salausmallia. NSA:n vuotaneiden esitysten mukaan IKEv2 on kuitenkin myös hakkeroitu. | Wireguardin etuna on, että protokollan koodi on suhteellisen pieni (alle 4000 riviä verrattuna satoihin tuhansiin riveihin esimerkiksi OpenVPN:llä ja L2TP/IPSecillä). Tämä pienentää esimerkiksi hakkereiden "hyökkäyspintaa". Tämä helpottaa myös turva-aukkojen havaitsemista. |
Edut | Erittäin hyvä nopeus ja paras turvallisuus. Pysyy useimpien palomuurien ja verkko-/ISP-rajoitusten ympärillä. | Helppo asentaa Hyvät nopeudet Suurin määrä laitteita tukee | Helppo määrittää Pass verkko- ja ISP-rajoitukset | Helppo asentaa Hyvät nopeudet | Pieni, hallittava määrä koodia (helppo arvioida) Helppokäyttöinen, nopea protokolla kehittäjien ja monien kriitikkojen mukaan. |
Haitat | Käyttöä varten tarvitaan usein erillisen toimitetun ohjelmiston asennus. | Vaihteleva vakaus Sivustot, viranomaiset ja Internet-palveluntarjoajat voivat helposti estää käytön | Hidas ja helpompi estää | Palomuurit estävät suhteellisen usein. Vähemmän tuettua kuin OpenVPN, L2TP/IPSec ja PPTP. | Vielä kehitteillä (ei takuita protokollan turvallisuudesta) Wireguard ei ole nykyisessä tilassaan yhteensopiva kirjautumattomuuskäytännön kanssa (lisää tästä myöhemmin) |
Johtopäätös | OpenVPN on suosituin VPN-protokolla useimmissa tapauksissa. OpenVPN on nopea, vakaa ja turvallinen. | PPTP on helppo ottaa käyttöön, mutta vähemmän vakaa ja vähemmän turvallinen. Lyhyesti sanottuna vaihtoehto, jonka valitset mieluummin vain, jos muut protokollat eivät toimi. | L2TP/IPSec on usein hitaampi, mutta voi joskus ohittaa lohkot, joita kaksi muuta protokollaa eivät pysty. Näemme sen vaihtoehtona, jos OpenVPN ei riitä. | IKEv2 näyttää tarjoavan saman suojaustason kuin L2TP/IPSec, mutta monien mielestä nopeampia nopeuksia. Jälkimmäinen riippuu kuitenkin monista muuttujista. Hyvän vakauden takaamiseksi tarvitaan joskus monimutkainen kokoonpano. Siksi erityisesti aloittelijoille suosittelemme tätä protokollaa vain, jos esimerkiksi OpenVPN ei toimi. | Wireguard on epäilemättä lupaava. Protokolla on kuitenkin vielä kehitteillä. Siksi, kuten kehittäjät ja VPN-palveluntarjoajat, suosittelemme sen käyttöä vain kokeellisiin tarkoituksiin tai kun yksityisyys ja nimettömyys eivät ole tärkeitä (esim. |
OpenVPN
OpenVPN (joka tarkoittaa avoimen lähdekoodin virtuaalinen yksityinen verkko) on tunnetuin VPN-protokolla. OpenVPN:n suosio johtuu vahvasta salauksesta ja avoimen lähdekoodin koodista. OpenVPN:ää tukevat nyt kaikki tunnetut käyttöjärjestelmät, mukaan lukien Windows, MacOS ja Linux. Mobiilikäyttöjärjestelmät, kuten Android ja iOS, tukevat myös OpenVPN:ää.
Yksi VPN-protokollan päätavoitteista on tarjota vakaa salaus. OpenVPN tekee erittäin hyviä tuloksia tällä alueella. OpenVPN käyttää 265-bittistä salausta OpenSSL:n kautta. Lisäksi saatavilla on paljon erillistä VPN-ohjelmistoa, joka tukee OpenVPN:ää.
- OpenVPN tukee kahden tyyppisten porttien, TCP:n ja UDP:n, käyttöä.
- OpenVPN-TCP on laajimmin käytetty ja luotettavin protokolla. Vastaanottavan tietokoneen on ensin vahvistettava jokainen lähetetty datapaketti ennen kuin uusi paketti lähetetään. Tämä tekee yhteydestä erittäin luotettavan, mutta hitaamman.
- OpenVPN-UDP on paljon nopeampi. Datapaketit lähetetään ilman kuittauspalautetta. Tämä johtaa nopeampaan VPN-yhteyteen, jossain määrin luotettavuuden kustannuksella.
OpenVPN:n hyvät ja huonot puolet
- + OpenVPN on erittäin turvallinen
- + Useimpien ohjelmistojen tuki
- + Voidaan käyttää lähes kaikissa käyttöjärjestelmissä
- + Turvallisuustestattu usein
- – Usein tarvitaan lisäohjelmistoja
PPTP VPN-protokolla
Point-to-Point Tunneling Protocol (PPTP) on yksi vanhimmista VPN-protokollista. PPTP oli ensimmäinen Windowsin tukema protokolla. NSA on murtanut protokollan tehden siitä vaarallisen. PPTP on erittäin nopea heikon salauksen vuoksi. Ero voi olla havaittavissa etenkin hitaissa tietokoneissa. PPTP on ikänsä vuoksi tuetuin protokolla. Palomuurit, jotka yrittävät estää VPN-liikenteen, eivät pysty tunnistamaan PPTP:tä.
PPTP-protokollan hyvät ja huonot puolet
- + PPTP on erittäin nopea
- + on helppokäyttöinen
- + toimii lähes kaikissa käyttöjärjestelmissä
- - tarjoaa erittäin heikon salauksen
- – PPTP-liikenne voidaan helposti tunnistaa ja estää
- – Hakkerit käyttävät usein hyväkseen PPTP:n heikkouksia
L2TP/IPSec
Layer 2 Tunneling Protocol (L2TP) on tunnelointiprotokolla VPN-yhteyden muodostamiseen. L2TP ei salaa Internet-liikennettä itse. Siksi L2TP yhdistetään lähes aina IPSecin kanssa tietojen salaamiseksi. IPSec tulee sanoista Internet Protocol Security ja varmistaa L2TP-tunnelin tietojen päästä päähän -salauksen. L2TP/IPSec-yhdistelmä VPN-protokollana on paljon turvallisempi kuin PPTP.
- L2TP/IPSecin haittana on, että palomuurit estävät joskus tämän yhteyden. L2TP käyttää UDP-porttia 500, ja jotkut palveluntarjoajat ja yritykset estävät tämän portin. Nopeudella L2TP on erittäin nopea, mutta se johtuu salauksen puutteesta. IPSecin lisääminen lisää tietokoneen kuormitusta ja voi hidastaa yhteyden nopeutta. OpenVPN on nopeampi kuin L2TP/IPSec.
L2TP/IPSec:n hyvät ja huonot puolet
- + Parempi salaus kuin PPTP
- + suoraan tuettu monissa käyttöjärjestelmissä
- – hitaampi kuin OpenVPN
- – Snowden sanoo, että L2TP/IPSec on hakkeroitu NSA:n toimesta
- – Palomuurit voivat estää L2TP:n
IKEv2 VPN-protokolla
IKEv2 tulee sanoista Internet Key Echange Version 2. Kuten nimestä voi päätellä, IKEv2 on IKE:n seuraaja. IKEv2:ta käytettäessä Internet-liikenne ensin salataan IPSecillä. Sen jälkeen rakennetaan VPN-tunneli, jossa salatut tiedot lähetetään.
- IKEv2-protokolla, kuten L2TP, käyttää UDP-porttia 500, mikä tarkoittaa, että palomuurit estävät sen joskus. IPSecin käytön vuoksi IKEv2:ta pidetään usein yhtä turvallisena kuin L2TP/IPSec. Kun käytetään heikkoa salasanaa, IKEv2 on erityisen herkkä hakkereille. IKEv2 on erittäin nopea VPN-protokolla.
IKEv2:n hyvät ja huonot puolet
- + IKEv2 on erittäin nopea
- + melko vahva salaus
- + voi palauttaa kadonneet yhteydet
- + IKEv2 on helppokäyttöinen
- – palomuurit voivat estää sen melko helposti
- – mahdollisesti NSA:n murtama
- – epävarma käytettäessä heikkoa salasanaa
- – vähemmän tuettu protokolla verrattuna OpenVPN:ään ja L2TP/IPSeciin
Lankasuoja
Wireguard on uusi alustava kokeellinen VPN-protokolla, jonka on kirjoittanut Jason A. Donenfeld. Protokolla on vielä kehitteillä. Siitä huolimatta useat VPN-palveluntarjoajat tarjoavat tämän protokollan. Protokolla erottuu kilpailijoihinsa verrattuna huomattavasti pienemmällä koodimäärällä.
- Tämä tekee protokollasta ja sen turvallisuudesta helpompia arvioida (auditoida) ja yhdessä itse koodin kanssa sen pitäisi tehdä yksinkertaisemmasta, nopeammasta, tehokkaammasta ja helpompi käyttää VPN-protokollasta.
Koska tämä protokolla on kuitenkin vielä kehitteillä, kehittäjät ja useimmat VPN-palveluntarjoajat suosittelevat sen käyttöä vain kokeellisiin tarkoituksiin tai kun yksityisyys ei ole ehdottoman välttämätöntä (toistaiseksi). Lisäksi on tärkeää huomata, että Wireguardin nykyinen versio toimii vain staattisten IP-osoitteiden kanssa. Monien IT-viranomaisten mukaan tämä tarkoittaa, että Wireguardin käyttö ei ole yhteensopiva kirjautumattomuuden VPN-käytännön kanssa.
Wireguardin hyvät ja huonot puolet
- + Wireguard on erittäin nopea teoriassa ja omilla verkkosivuillaan olevien vertailuarvojen mukaan
- + Pieni koodimäärä tarkoittaa, että protokollaa on helpompi tarkastaa
- – Useimmat VPN-palveluntarjoajat eivät (vielä) tue tätä protokollaa.
- – Wireguard käyttää staattisia IP-osoitteita, joten se ei ole yhteensopiva kirjautumattomuuskäytännön kanssa.
Yhteenveto
On tärkeää valita oikea VPN-protokolla. Jokaisella VPN-protokollalla on omat etunsa ja haittansa. Useimmissa tapauksissa OpenVPN on paras valinta. PPTP ei ole melkein koskaan hyvä idea käyttää sen heikon salauksen vuoksi. Jos OpenVPN:ää ei tueta tai se ei toimi kunnolla, L2TP/IPSec tai IKEv2 voidaan harkita.