Start VPN Verwendung VPN Erklärt VPN Protokoll-Vergleich PPTP vs L2TP vs OpenVPN vs SSTP vs IKEv2

VPN Protokoll-Vergleich PPTP vs L2TP vs OpenVPN vs SSTP vs IKEv2

Mit Edward Snowdens schockierenden Enthüllungen, dass die NSA seit Jahren daran arbeitet VPN Verschlüsselungstechnologien zu knacken und zu unterwandern, zu sammen mit der Tatsachen dass es immer offensichtlicher wird, dass die meisten dieser Technologien durch das National Institute of Standards and Technology (NIST) der US Regierung entwickelt und zertifiziert wurden, haben wir uns entschieden, die Sicherheit und Eigenschaften der verschiedenen VPN-Protokolle gegenüber zu stellen.

Wir beginnen mit einem Überblick über die Unterschiede der wichtigsten VPN-Protokolle, und welche Auswirkungen diese bei der Anwendung durch den Nutzer haben.

NSA Komplex
Die NSA versucht in riesigen Rechenzentren verschlüsselte Daten zu knacken.

PPTP

Das Point-to-Point Tunneling Protokoll wurde von einem Konsortium entwickelt, das von Microsoft gegründet wurde um VPN für Einwahl-Netzwerke zu erstellen, und als solches war es lange Standard für geschäftsinterne VPN. Es ist nur ein VPN-Protokoll, und es vertraut auf verschiedene Authentifizierungsmethoden um Sicherheit bereitzustellen. Als Standard auf nahezu allen VPN-fähigen Plattformen und Geräten, ist es einfach zu verwenden und benötigt keine zusätzliche Software. Es ist noch immer eine beliebte Wahl bei Unternehmen und VPN-Anbietern. Durch den niedrigen benötigten Rechenaufwand, ist es auch recht schnell.

Den Testbericht unseres VPN Testsiegers HideMyAss lesen

Obwohl es nun in der Regel mit 128-Bit Verschlüsselung zu finden ist, in den Jahren bis es das erste Mal mit Windows verbunden wurde, in Windows 95 OSR2 bereits im Jahr 1999, kamen eine Reihe Sicherheitslücken ans Licht, die schwerwiegendste ist die Möglichkeit nicht verkapselter MS-CHAP v2 Authentifikation. Durch diese Lücke wurde PPTP innerhalb von 2 Tagen geknackt, und obwohl Microsoft den Fehler gepatcht hat, (durch die Verwendung von PEAP Authentifizierung), hat es selbst eine Empfehlung an VPN-Nutzer ausgesprochen, stattdessen L2TP/IPsec zu verwenden.

Mit dem Wissen, dass PTPP unsicher ist, war es für niemanden eine Überraschung, dass die NSA PPTP verschlüsselte Kommunikation standardmäßig entschlüsselt. Es ist vielleicht noch beunruhigender ist, dass die NSA fast alle älteren gespeicherten Daten entschlüsselt hat (oder dabei ist), die verschlüsselt wurden, als Fachleute PPTP noch für sicher hielten.

Pros

  • Client in nahezu jeder Plattform enthalten
  • Sehr einfach einzurichten
  • Schnell

Contras

  • Nicht sicher (die anfällige MS CHAPv2 Authentifizierung ist noch immer die am häufigsten verwendete)
  • Definitiv von der NSA kompromittiert

L2TP und L2TP/IPsec

Das Layer 2 Tunnel Protokoll ist ein VPN-Protokoll, das selbst keine Verschlüsselung oder Vertrauenswürdigkeit durchgeleiteter Daten bietet. Aus diesem Grund ist es meist in die IPsec Verschlüsselungs-Suit integriert, um Sicherheit und Datenschutz zu bieten.

L2TP/IPsec ist in allen modernen Betriebssystemen und VPN-fähigen Geräten integriert, und es ist genauso einfach und schnell einzurichten wie PPTP (tatsächlich verwendet es in der Regel den gleichen Client).Allerdings können Probleme auftreten, weil das L2TP Protokoll den UDP Port 500 verwendet, der normalerweise einfach durch NAT-Firewalls blockiert wird, und dadurch eine erweiterte Konfiguration benötigen kann (Port-Forwarding) wenn es hinter einer Firewall verwendet wird.

Lesen Sie unsere Bewertung von IPVanish

IPsec hat keine bekannten schwerwiegenden Sicherheitslücken, und wenn es richtig implementiert wird, sollte es sicher sein. Allerdings haben Edward Snowdens Enthüllungen deutlich darauf hingewiesen, dass der Standard durch die NSA gefährdet ist, und wie John Gilmore (Sicherheits-Spezialist und Gründungsmitglied der Electronic Frontier Foundation) erzählt in diesem Beitrag, dass es wahrscheinlich ist, das es bereits in der Entwicklungsphase bewusst geschwächt wurde.

Relativ gering, im Vergleich zum letzten Punkt aber wahrscheinlich erwähnenswert ist, dass, weil L2TP/IPsec Daten zweimal kapselt, ist es nicht so effizient wie SSL basierte Lösungen (wie OpenVPN und SSTP), und ist deshalb etwas langsamer.

Pros

  • Gilt in der Regel als sicher, aber siehe Contras
  • Leicht einzurichten
  • Verfügbar für alle modernen Plattformen

Contras

  • Könnte durch die NSA gefährdet sein
  • Wahrscheinlich absichtlich geschwächt durch die NSA
  • Langsamer als OpenVPN
  • Kann Schwierigkeiten mit restriktiven Firewalls haben

OpenVPN

OpenVPN ist eine ziemlich neue Open Source Technologie, die die OpenSSL Bibliothek verwendet und SSLv3/TLSv1 Protokolle, zusammen mit einer Mischung aus anderen Technologien, um eine starke und zuverlässige VPN-Lösung zu bieten. Einer seiner größten Vorteile ist, dass es in hohem Maße konfigurierbar ist, und obwohl es am besten auf dem UDP Port läuft, kann zum Laufen auf jedem Port eingestellt werden. einschließlich TCP Port 443. Dies mach es unmöglich Traffic zu erkennen, abgesehen von Traffic der den Standard HTTPS über SSL verwendet, (wie es z.B. bei Gmail verwendet wird), und deshalb ist es sehr schwer zu blockieren.

Ein weiterer Vorteil von OpenVPN ist, dass es die OpenSSL Bibliothek verwendet um Verschlüsselung zu bieten, unterstützt eine Anzahl kryptographischer Algorithmen (wie AES, Blowfish, 3DES, CAST-128, Camelia und mehr), obwohl VPN Anbieter meist exklusiv AES oder Blowfish verwenden. 128-Bit Blowfish ist der in OpenVPN integrierte Standard Cypher, und obwohl es allgemein als sicher angesehen wird, hat es eine bekannte Schwäche, und selbst sein Entwickler wurde im Jahr 2007 zitiert, als er sagte, ‚an diesem Punkt bin ich erstaunt, dass es noch verwendet wird. Wenn ich gefragt werde, empfehle ich stattdessen Twofish‘.

AES ist eine neuere Technologie, hat keine bekannten Schwachstellen, und dank seiner Anpassung durch die US Regierung zur Verwendung zum ‚Schutz‘ von Daten, wird es allgemein als der ‚Gold Standard‘ angesehen, wenn es um Verschlüsselung geht. Die Tatsache, dass es 128-Bit Blockgröße hat, statt 64-Bit Blockgröße bei Blowfish, bedeutet auch, dass es größere (über 1GB) Dateien besser als Blowfish handhaben kann. Allerdings sind beide Chiffren NITS zertifiziert, was zwar in weiten Teilen nicht als Problem erkannt wird, und aber nachdenklich macht.

Welche Geschwindigkeiten OpenVPN liefert, hängt vom Grad der Verschlüsselung ab, aber es ist generell schneller als IPsec. Vielleicht das Wichtigste, im Licht der von Edward Snowden erhaltenen Informationen ist, dass es scheint OpenVPN war nicht gefährdet oder geschwächt durch die NSA, und es ist auch immun gegen NSA Attacken auf RSA-Key Verschlüsselung. Obwohl niemand die vollen Fähigkeiten der NSA mit Sicherheit kennt, deuten die Erkenntnisse und die Mathematik stark auf OpenVPN, wenn es in Verbindung mit einemstarken Chiffre verwendet wird, als das einzige VPN-Protokoll, das als wirklich sicher angesehen werden kann.

Pros

  • In hohem Maß konfigurierbar
  • Sehr sicher (wahrscheinlich sogar gegen die NSA)
  • Kann eine breite Palette an Verschlüsselungsalgorithmen verwenden
  • Open Source (und deshalb sicher auf Backdoors geprüft oder andere NSA-Stil Beeinflussung)

Contras

  • Benötigt Software eines Drittanbieters
  • Kann kniffelig einzurichten sein
  • Unterstützung auf Mobilgeräten verbessert sich, ist aber nicht nicht so gut wie auf PCs

Hier zu HideMyAss und OpenVPN verwenden

SSTP

Das Secure Socket Tunneling Protokoll wurde von Microsoft in Windows Vista SP1 eingeführt, und obwohl es mittlerweile für Linus, RouterOS und SEIL verfügbar ist, ist es noch immer weitgehend eine reine Windows-Plattform (und ein Schneeball hat mehr Chancen in der Hölle, als dass es irgendwann auf einem Apple Gerät erscheint). SSTP verwendet SSL v3. und deshalb bietet es ähnliche Vorteile wie OpenVPN (wie die Verwendbarkeit von Port 443 um Probleme mit NAT Firewalls zu vermeiden), und weil es in Windows integriert ist, ist es vielleicht leichter zu verwenden und stabiler.

Allerdings, anders als OpenVPN, ist SSTP ein selbstentwickelter Standard im Besitz von Microsoft. Das bedeutet, dass der Code nicht offen ist für öffentliche Kontrolle, und Microsofts Geschichte über Kooperation mit der NSA und anhaltende Spekulationen über mögliche Backdoors, integriert in das Windows Betriebssystem, regen uns nicht zu Vertrauen in den Standard an.

Pros

  • Sehr sicher (abhängig vom Cypher, aber in der Regel sehr starkes AES)
  • Vollständig integriert in Windows (Windows Vista SP1, Windows 7, Windows 8, Windows 10)
  • Microsoft Support
  • Kann die meisten Firewalls umgehen

Contras

  • Arbeit nur wirklich gut in einer reinen Windows Umgebung
  • Selbstentwickelter Standard im Besitz von Microsoft, und kann deshalb nicht unabhängig auf Backdoors und ähnliches untersucht werden
VPN Schema
Mit dem richtigen VPN Protokoll die eigenen Daten vor Angriffen schützen.

IKEv2

Internet Key Exchange (Version 2) ist ein auf IPsec basierendes Tunneling Protokoll, das zusammen von Microsoft und Cisco entwickelt wurde, und das in Windows Versionen 7 und aufwärts integriert ist. Der Standard wird von Blackberry Geräten unterstützt, und unabhängig entwickelte (und kompatible) Open Source Implementierungen sind für Linux und andere Betriebssysteme verfügbar.

Namentlich VPN Connect von Microsoft ist besonders gut bei automatischer Wiederherstellung einer VPN-Verbindung, wenn Nutzer vorübergehend ihre Internetverbindung verlieren (wie z.B. Einfahren oder Verlassen eines Eisenbahntunnels).

Deshalb profitieren Nutzer von Mobil-Geräten am meisten von der Verwendung von IKE v2, was auf der Unterstützung des Mobility and Multihoming (MOBIKE) Protokolls beruht, und außerdem ist es hoch widerstandsfähig gegen Netzwechsel. Das sind hervorragende Nachrichten für Smartphone-Besitzer die, zum Beispiel, ihr Smartphone zu Hause über WiFi verbinden, und unterwegs mit dem Mobilnetz, oder regelmäßig den Hotspot wechseln.

IKEv2 ist sogar noch nützlicher für Blackberry-Nutzer, weil es eines der wenigen von Blackberry-Geräten unterstützten VPN-Protokolle ist.

Es ist nicht allgegenwärtig, wie IPsec (es wird z.B. auf weniger Plattformen unterstützt), aber IKEv2 wird in Sachen Sicherheit und Leistung (Geschwindigkeit) und Stabilität als gleichwertig, wenn nicht besser, als L2TP/IPsec angesehen.

Pros

  • Schneller als PPTP, SSTP und L2TP
  • Sehr stabil – besonders bei Netzwechseln oder der Wiederverbindung nach unterbrochener Internetverbindung
  • Einfach einzurichten (zumindest auf Benutzerseite)
  • Das Protokoll wird von Blackberry-Geräten unterstützt

Contras

  • Wird nicht von vielen Plattformen unterstützt
  • Verwendet den selben UDP Port 500 wie IPsec (und PPTP), was einfacher zu blockieren ist als SSL basierte Lösungen, wie OpenVPN oder SSTP
  • Die Implementierung auf der Serverseite ist kniffelig, was letztendlich zu Problemen führen kann
  • Wir trauen nur den Open Source Implementierungen

2 KOMMENTARE

Kommentar verfassen