VPN Protocol Breakdown: VPN’s achter de schermen

“Beveiliging en privacy” is een van de belangrijkste secties in onze VPN-beoordelingen. Als je ze hebt gelezen – en we raden je dat van harte aan – weet je dat we de protocollen die VPN’s bieden, beveiligingsfuncties, zoals het hebben van een killswitch, en het privacybeleid dat van kracht is, behandelen..


Al deze onderwerpen vormen de VPN-beveiliging, wat belangrijk is om een ​​breed perspectief te krijgen op hoe goed je bent beschermd. Dat gezegd hebbende, het VPN-protocol is het belangrijkste beveiligingsprobleem en het kan moeilijk zijn om te weten welke van de ingebouwde open source en propriëtaire opties te gebruiken.

In deze uitsplitsing van het VPN-protocol gaan we de verwarring opruimen. Er zijn veel netwerkprotocollen, dus we hebben het onderzoek gedaan en onze lijst gecomprimeerd tot de VPN-protocollen die u waarschijnlijk in uw app ziet. Voordat we echter op de details ingaan, moeten we definiëren wat een VPN-protocol is.

Wat is een VPN-protocol?

VPN-protocollen

Een virtueel particulier netwerk beveiligt en anonimiseert uw internetverbinding door u te verbinden met een externe server voordat u websites start. De verbinding met die server is ook gecodeerd, wat betekent dat geen van uw webgebaseerde verzoeken door de buitenwereld kan worden gezien.

Het type en niveau van codering wordt bepaald door het beveiligingsprotocol. Afhankelijk van het protocol dat u gebruikt, maakt u verbinding met de VPN via verschillende poorten en met verschillende beveiligingsniveaus.

Hoewel het coderingstype het belangrijkste verschil is tussen protocollen, heeft het ook invloed op andere aspecten van het gebruik van een VPN. Een geavanceerder coderingsniveau beschermt bijvoorbeeld uw verbinding meer, maar het zal niet zo snel zijn als een protocol dat minder veilige codering gebruikt.

Op praktisch niveau komt de keuze in protocol neer op hoe u veiligheid en snelheid in evenwicht wilt brengen. VPN-protocollen zijn een vorm van netwerkprotocol, wat betekent dat ze de vereisten samenbrengen voor het tot stand brengen van een verbinding tussen twee apparaten. Dat omvat beveiliging en snelheid.

Helaas is het, zoals bij de meeste netwerkonderwerpen, niet zo eenvoudig. Platformondersteuning is belangrijk, evenals waar en wanneer de versleuteling plaatsvindt in de communicatieketen. Die verschillen zijn de reden waarom de beste VPN-providers meerdere protocolopties bevatten.

Gezien hoe gemakkelijk VPN’s te gebruiken zijn, is het echter onwaarschijnlijk dat u uw protocol zult opmerken of dat u dit wilt wijzigen. Toch gaan we de gangbare protocollen die voor u beschikbaar zijn en de verschillende use-cases voor hen doornemen. Daarbij hopen we dat u leert waarom u OpenVPN gebruikt bij het configureren van een VPN voor een router en IKEv2 wanneer u er een op uw telefoon gebruikt.

Algemene VPN-protocollen

Hieronder vind je de meest voorkomende protocollen die we tegenkomen. Er zijn natuurlijk een paar meer exotische varianten, maar de meeste VPN-providers zullen een combinatie hiervan gebruiken.

OpenVPN

OpenVPN

OpenVPN is een populair protocol om te gebruiken omdat het open source en gratis is. Sommige providers, zoals AirVPN en e-VPN (lees onze AirVPN-recensie en e-VPN-recensie), hebben hun diensten eromheen gebouwd. Het is meer dan 15 jaar oud en wordt omringd door een community die voortdurend de bronbestanden scant op beveiligingsproblemen, waardoor het een van de veiligste beschikbare opties is.

Het kan twee transportprotocollen gebruiken: TCP of UDP. Het Transmission Control Protocol komt het meest voor. Uw machine verzendt een pakket en wacht vervolgens op bevestiging voordat het een ander verzendt, wat zorgt voor een betrouwbaardere verbinding.

Dat komt de betrouwbaarheid ten goede, maar niet de snelheid. Omdat elk pakket op bevestiging moet wachten, voegt het gebruik van TCP overhead toe aan de netwerkverbinding. Dat is waar het User Datagram Protocol binnenkomt. Het blijft pakketten verzenden zonder bevestiging, wat zorgt voor een snellere, zij het minder betrouwbare, verbinding.

Wat encryptie betreft, is OpenVPN eersteklas. Het maakt gebruik van de OpenSSL-bibliotheek, wat betekent dat het toegang heeft tot alle cijfers daar. Het maakt ook gebruik van een aangepast beveiligingsprotocol op basis van SSL / TLS dat tot 256-bits codering biedt.

256-bit encryptie is echter niet vereist. Sommige providers, zoals Private Internet Access, gebruiken standaard 128-bit encryptie, zoals je kunt lezen in onze PIA review. Het gebruik van een kleinere sleutelgrootte zorgt meestal voor een snellere verbinding, maar dat gaat ten koste van de beveiliging.

Dat gezegd hebbende, gebruiken zelfs de snelste VPN-providers een 256-bits sleutel, wat laat zien waarom OpenVPN zo populair is. Naast de vele andere redenen waarom een ​​provider het aanbiedt, heeft OpenVPN de beste balans tussen beveiliging en snelheid.

Vanwege het open-source karakter komt het ook voor in aangepaste protocollen van sommige VPN-providers. Het Kameleon-protocol van VyprVPN versleutelt OpenVPN-pakketten en Astrills StealthVPN doet grotendeels hetzelfde (lees onze VyprVPN-recensie en Astrill-recensie).

VyprVPN en Astrill hebben hun protocollen ontwikkeld om censuur in China te omzeilen. OpenVPN, hoewel zeer veilig, doet niets speciaals om zich te verbergen voor diepgaande pakketinspectie. VyprVPN gerangschikt in onze beste VPN-services voor China-gids omdat het Chameleon-protocol de verzonden OpenVPN-pakketten kan doorkruisen.

Een ander voordeel van OpenVPN is dat het kan worden aangepast aan bijna elk platform. Met ExpressVPN kunt u bijvoorbeeld OpenVPN op uw router gebruiken, zoals u kunt zien in onze ExpressVPN-recensie. Het maakt gebruik van aangepaste firmware die een vooraf geconfigureerde versie van OpenVPN bevat, waardoor u het verkeer naar uw router en internet kunt beveiligen.

Layer 2 Tunnel Protocol

Het Layer 2 Tunnel Protocol is een tunnelingprotocol waarmee gegevens van het ene netwerk naar het andere kunnen worden verplaatst. In tegenstelling tot OpenVPN is L2TP strikt een tunnelingprotocol. Het biedt zelf geen codering. Daarom wordt L2TP vaak gecombineerd met een coderingsprotocol om beveiliging te bieden.

Het is gemaakt in 1999 en gebaseerd op twee oudere tunnelingprotocollen genaamd L2F en PPTP. We bespreken het laatste in een later gedeelte. Hoewel een nieuwe versie van het protocol, bekend als L2TPv3, in 2005 werd geïntroduceerd om beveiligingsfuncties toe te voegen, is L2TP grotendeels hetzelfde gebleven.

L2TP gebruikt twee soorten pakketten: controlepakketten en gegevenspakketten. De controlepakketten behandelen het tot stand brengen van een verbinding en het openen van de tunnel tussen u en de server waartoe u toegang heeft. Omdat dat de kernfunctie is van het tunnelingprotocol, heeft L2TP betrouwbaarheidsfuncties, zoals pakketbevestiging, gekoppeld aan controlepakketten.

Datapakketten hebben dergelijke functies niet. L2TP verzendt pakketten binnen een UDP-datagram, wat betekent dat ze niet worden geverifieerd terwijl ze worden verzonden. Dat zorgt voor een snellere, maar minder betrouwbare verbinding.

Het probleem met L2TP alleen is dat de pakketten die je verzendt niet versleuteld zijn. Ze zijn ingekapseld, maar er is geen cryptografisch algoritme om de gegevens te verbergen. Daarom vind je L2TP waarschijnlijk gekoppeld aan IPSec in je VPN-client.

IPSec biedt codering, waarbij het reeds ingekapselde pakket wordt ingekapseld terwijl het door de L2TP-tunnel gaat. Dat betekent dat de IP-adressen van de bron en de bestemming gecodeerd zijn in het IPSec-pakket, waardoor een veilige VPN-verbinding ontstaat.

Wat codering betreft, biedt IPSec een paar opties, waaronder HMAC met een geschikt hash-algoritme, TripleDES-CBC, AES-CBC en AES-GCM. Sommige VPN-providers, zoals TorGuard (lees onze TorGuard-recensie), laten je het gebruikte cijfer wijzigen, maar je zult L2TP / IPSec meestal beveiligd vinden met AES 128-bit of 256-bit.

L2TP / IPSec wordt als veilig beschouwd, maar sommige beveiligingsexperts twijfelen omdat IPSec gedeeltelijk is ontwikkeld door de Amerikaanse National Security Agency. Toch is het normaal gesproken een slechtere keuze dan OpenVPN. De poort die L2TP gebruikt, wordt gemakkelijk geblokkeerd door firewalls, dus u zult het moeilijk hebben om censuur te omzeilen, tenzij u een VPN gebruikt die port forwarding ondersteunt.

Secure Socket Tunneling Protocol

SSTL

Het Secure Socket Tunneling Protocol is een gepatenteerde Microsoft-technologie die is ontwikkeld voor Windows Vista. Hoewel het een door Microsoft ontwikkeld protocol is, kan SSTP ook op Linux worden gebruikt. Dat gezegd hebbende, het wordt niet ondersteund op macOS en zal dat waarschijnlijk nooit zijn. Lees onze beste VPN voor Mac als je deel uitmaakt van Team Apple.

Net als OpenVPN staat SSTP toe dat point-to-point-verkeer door een SSL / TLS-kanaal gaat. Daarom heeft het dezelfde voor- en nadelen van het gebruik van een dergelijk systeem. Het gebruikt bijvoorbeeld SSL / TLS via TCP-poort 443, waardoor het uitstekend door de meeste firewalls kan passeren omdat het verkeer normaal lijkt.

Het probleem daarmee, wat hetzelfde probleem is bij het gebruik van TCP op OpenVPN, is dat je kwetsbaar bent voor TCP-meltdown. TCP moet wachten op bevestiging voordat een pakket wordt teruggestuurd. Het heeft ingebouwde functies om problemen op te sporen en te proberen op te lossen als een pakket niet is bevestigd.

In zo’n geval kan een TCP-pakket in één laag proberen een probleem op te lossen, waardoor het pakket in de laag erboven overcompenseert. Wanneer dat gebeurt, nemen de prestaties van een TCP-verbinding aanzienlijk af. Dat kan worden vermeden met OpenVPN door in plaats daarvan UDP te gebruiken. Met SSTP is het probleem onvermijdelijk.

Hoewel SSTP beschikbaar is in sommige VPN-applicaties, wordt het zelden gebruikt. Het is beter om firewalls te omzeilen dan L2TP, maar dat geldt ook voor OpenVPN. Het probleem met SSTP is dat het niet zo configureerbaar is als OpenVPN, dus het is gevoeliger voor problemen, zoals TCP-meltdown. OpenVPN biedt alle voordelen van SSTP zonder de nadelen.

Internet Key Exchange versie 2

Internet Key Exchange is een protocol dat in 1998 door Microsoft en Cisco is ontwikkeld. Technisch gezien is het geen VPN-protocol. IKE wordt gebruikt om een ​​beveiligingskoppeling in te stellen in de IPSec-protocolsuite. De beveiligingsassociatie bevat kenmerken zoals de coderings- en verkeerscoderingssleutel.

Toch wordt het vaak behandeld als een VPN-protocol, IKEv2 genaamd, wat simpelweg de tweede versie van IKE is, of IKEv2 / IPSec. In tegenstelling tot L2TP / IPSec, dat alleen IPSec gebruikt voor codering, gebruikt IKE IPSec om gegevens te transporteren.

Wat beveiliging betreft, is het zo goed als L2TP of SSTP, ervan uitgaande dat je Microsoft vertrouwt. Het ondersteunt meerdere versies van AES en u zult het waarschijnlijk vinden in combinatie met een 128-bits of 256-bits sleutel in uw VPN-applicatie.

Het is echter niet zomaar een optie. IKEv2 is meestal het snelste protocol dat VPN’s bieden.

IKE gebruikt UDP-pakketten en begint de beveiligingskoppeling te maken nadat de eerste paar pakketten zijn verzonden. De beveiligingsassociatie wordt vervolgens overgebracht naar de IPSec-stack, waardoor deze relevante IP-pakketten begint te onderscheppen en deze waar nodig versleutelt of ontsleutelt.

Daarom is IKE goed in het opnieuw verbinden nadat een verbinding is verbroken. Op een bekabelde of WiFi-verbinding is dat minder zorgwekkend omdat ze over het algemeen statisch en stabiel zijn. Voor mobiele apparaten is IKE echter veel aantrekkelijker.

3G- en 4G LTE-netwerken veranderen voortdurend terwijl uw telefoon of tablet met u meebeweegt. U kunt van 4G LTE naar 3G gaan of de verbinding tijdelijk verbreken. Omdat IKE snel opnieuw verbinding maakt, is het een ideale keuze op mobiele apparaten. IKEv2 is zelfs ingebouwd in BlackBerry-apparaten.

Point-to-Point-tunnelprotocol

PPTP

Het Point-to-Point-tunnelingprotocol is een gedateerd en onveilig tunnelingprotocol dat niet mag worden gebruikt als u zich zorgen maakt over beveiliging. Desondanks nemen sommige VPN-providers het nog steeds op in hun applicaties. Voor de meeste gebruikers moet het gewoon worden genegeerd.

De beste use-case voor PPTP is het extern benaderen van het interne netwerk van een bedrijfsgebouw.Daarom zijn VPN’s in de eerste plaats ontwikkeld. PPTP specificeert geen codering. Het vertrouwt eerder op het point-to-point-protocol om beveiligingsfuncties te implementeren.

Vanwege de lagere vorm van codering is PPTP snel. Het is bijna dezelfde snelheid als je normale internetverbinding. In een persoonlijk geval is het ook ongeveer net zo veilig als uw normale internetverbinding. Daarom raden we je aan PPTP alleen te gebruiken als je iets doet wat je niet kunt doen zonder een VPN, zoals toegang tot een extern netwerk.

Verwacht echter niet dat die verbinding veilig is. Er zijn veel tools voor het kraken van PPTP-tunnels, waarvan sommige de sleutel eenvoudig uit de authenticatiemethode kunnen halen en andere die de sleutel binnen een paar uur kunnen vinden met behulp van een brute force-aanval.

Bovendien is het bekend dat de NSA actief PPTP-netwerken bespioneert vanwege de zwakke beveiliging. Tenzij je een specifieke reden hebt om het te gebruiken, raden we aan om PPTP te vermijden, zelfs als dit een optie is in je VPN-applicatie (voor meer informatie, bekijk ons ​​PPTP versus OpenVPN-artikel).

Laatste gedachten

We hopen dat u met meer vertrouwen in uw VPN-applicatie kunt gaan, nu u het verschil tussen de protocollen kent. Voor de meeste gebruikers is OpenVPN de beste optie omdat het standaard beveiliging en configureerbaarheid op het hoogste niveau biedt. Bovendien kunt u dankzij de open source-aard configuratiebestanden downloaden en deze naar wens aanpassen.

De andere opties hebben hun sterke punten, maar ze hebben ook zwakke punten. SSTP lost het firewallprobleem op, maar kan het slachtoffer worden van TCP-meltdown. L2TP is snel en stabiel, maar gemakkelijk te blokkeren. De enige uitzondering zou IKEv2 zijn, dat, hoewel aantoonbaar inferieur aan OpenVPN, veel voordelen heeft voor mobiele gebruikers.

Heeft u meer vertrouwen in uw kennis van VPN-protocollen? Laat ons weten hoe dat uw VPN-gebruik heeft veranderd in de onderstaande opmerkingen en, zoals altijd, bedankt voor het lezen.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me