Такой разный vpn. разбираем альтернативные протоколы vpn

battarismos

Активный участник
ДРУЗЬЯ ФОРУМА

battarismos

Активный участник
ДРУЗЬЯ ФОРУМА
Регистрация
23 Сен 2020
Сообщения
92
Реакции
5
Репутация
8
Протокол для VPN в идеале должен быть безопасным, функциональным и быстрым. Но есть и еще один фактор: популярность. Непопулярный протокол сложнее внедрить и поддерживать: его программное обеспечение требуется устанавливать и настраивать, а пользователей и администраторов нужно обучать.
Иногда протоколы становятся популярными вопреки своим техническим недостаткам, просто из‑за агрессивного продвижения крупной компанией. Бывает и наоборот, протокол независимых разработчиков решает настолько насущную проблему какой‑то части пользователей, что быстро набирает популярность сам по себе. Так произошло с OpenVPN или WireGuard.
Некоторые протоколы теряют популярность. Некоторые так и не становятся широко известными, иногда заслуженно, иногда нет. В этой статье мы поговорим о нескольких таких протоколах.
PPTP
Протокол PPTP (Point to Point Tunneling Protocol) оказался на задворках вполне справедливо. Хочется верить, что молодые читатели с ним уже не сталкивались, но лет десять назад он был хрестоматийным примером незаслуженно популярного протокола.
Популярность ему обеспечила монополия его разработчика — корпорации Microsoft. С середины девяностых до конца двухтысячных абсолютное большинство клиентских устройств были компьютерами с Windows. Очевидно, наличие в Windows встроенного клиента автоматически делало протокол как минимум распространенным.
Microsoft не была бы самой собой, если бы не воспользовалась этим для сохранения и укрепления своего монопольного положения. Протокол PPTP использовал стандартные PPP и GRE для передачи данных, но для аутентификации и шифрования применялся нестандартный, патентованный набор протоколов: MPPE (Microsoft Point-to-Point Encryption) и MS-CHAP.
Из‑за этого свободные реализации что клиента, что сервера PPTP были в свое время такой же больной темой, как GIF и MP3. Затем срок действия патентов истек, poptop для Linux и MPD для FreeBSD стали популярными альтернативами проприетарным продуктам.
Однако предупреждения о проблемах безопасности самодельной криптографии не были беспочвенными. Оценки стойкости MMPE и MS-CHAP неоднократно снижались, и в 2012 году протокол был дискредитирован окончательно: исследователи доказали, что стойкость MS-CHAP-v2 не лучше DES. После этого воспринимать PPTP как безопасный протокол стало невозможно, и он быстро потерял последние остатки популярности.
Стоит ли использовать PPTP?
SSTP (Secure Socket Tunneling Protocol) — вторая попытка Microsoft создать собственный протокол для VPN. В этот раз они не стали изобретать свои криптографические алгоритмы, а использовали стандартный SSL/TLS. Они также больше не препятствуют созданию свободных реализаций.
SSTP представляет собой PPP поверх HTTPS. Очевидное преимущество — он отлично проходит через NAT и теоретически даже через прокси. Преимущество далеко не уникальное, OpenVPN умел работать поверх TCP/443 задолго до этого.
SoftEther — многопротокольный сервер VPN, подобно MPD или accel-ppp. Он поддерживает L2TP/IPsec, PPTP, SSTP, OpenVPN и одноименный нестандартный протокол SoftEther. Это достаточно молодой проект, его первая версия вышла в 2014 году.
Протокол SoftEther представляет собой Ethernet поверх HTTPS. Поскольку за шифрование и аутентификацию отвечает стандартный SSL, безопасность особых вопросов не вызывает.
Авторы заявляют о производительности в десять раз выше OpenVPN. Верится с трудом, но возможности проверить их заявления у меня нет. Клиент есть только для Linux и Windows, так что на прочих платформах придется использовать другие протоколы.
Стоит ли использовать SoftEther?
Если утверждения авторов о производительности верны, может, и стоит.
OPENCONNECT
Термин SSL VPN без контекста — часто встречающийся, но совершенно бессмысленный. «Поддерживает SSL VPN» может означать и SSTP, и OpenVPN, и множество несовместимых проприетарных протоколов.
Свой такой протокол есть почти у каждого вендора. Например, Cisco AnyConnect, Juniper Pulse Connect, Palo Alto GlobalProtect. Если в организации широко используется клиент к такому протоколу, сменить оборудование концентратора VPN может быть очень сложно — чего вендоры и добиваются.
Свободный проект OpenConnect предоставляет реализации сервера и клиента для протоколов Cisco, Juniper и Palo Alto. Клиент OpenConnect работает на Windows и множестве UNIX-подобных систем: не только Linux и macOS, но и системах семейства BSD и даже Solaris.
Сервер OCServ может сэкономить организации немалые деньги, поскольку в проприетарных реализациях эти протоколы часто лицензируются на каждого пользователя.
Стоит ли использовать OpenConnect?
Если твоя организация внедрила один из этих протоколов и теперь сама не рада — безусловно. Поскольку ни один из этих протоколов не защищен патентами (да и патентовать в них особо нечего), единственный реальный риск существованию проекта — судебные иски о торговых марках. В названии проекта зарегистрированные торговые марки не фигурируют, так что риск невелик. Кроме того, проект существует с 2009 года, и до сих пор никто из вендоров не судился с авторами.
ВАРИАЦИИ НА ТЕМУ IPSEC
Казалось бы, IPsec — самый стандартизованный протокол из всех, и его поддерживают все поставщики сетевого оборудования. Но со стандартизованным протоколом не заманишь пользователей в ловушку vendor lock-in, поэтому на тему IPsec регулярно изобретают проприетарные вариации.
Иногда они решают вполне реальную проблему, которую сложно решить чистым IPsec. Например, Cisco GETVPN (Group Encrypted Transport) упрощает развертывание защищенной сети для пользователей MPLS, поскольку сам MPLS никакой защиты от перехвата трафика не предоставляет.
В других случаях, как с EZVPN, поставщики пытаются подкупить пользователей относительной простотой настройки по сравнению с «нормальным» IPsec.
Стоит ли использовать проприетарные вариации IPsec?
Если перспектива навсегда остаться привязанным к одному поставщику не пугает... В случае с EZVPN, например, некоторые устройства поддерживают только сервер, а некоторые — только клиент, так что выбор может быть ограничен еще и конкретной моделью.
Кстати об IPsec. Обычно он используется для фиксированных туннелей site-to-site либо как защищенный транспорт для другого протокола вроде L2TP. Старый протокол IKEv1 действительно был плохо приспособлен для клиентских подключений. Однако современный IKEv2 справляется куда лучше. Более того, встроенная поддержка этого вида туннелей присутствует во всех системах, включая Windows, macOS и мобильные устройства.
Со свободными реализациями сервера тоже проблем нет, тот же StrongSWAN официально поддерживает клиентские подключения.
Если ты настраиваешь сервер с нуля и хочешь встроенную поддержку клиента во всех распространенных ОС, как минимум рассмотреть этот вариант наравне с L2TP/IPsec точно стоит.
TINC
Большинство протоколов VPN ориентируются на топологии «точка — точка» или «звезда». Mesh-сети до сих пор остаются достаточно экзотическим сценарием. Тем не менее протоколы для этих целей существуют и развиваются. Проект TINC разрабатывается с 1998 года. Это значит, он старше OpenVPN, который выпустил свою первую версию в 2001-м. Он поддерживает Windows и все UNIX-подобные ОС, но версий для мобильных ОС у него нет.
Главная фича — автоматическое построение mesh-сети. Даже если в сети множество узлов, трафик между ними будет передаваться напрямую, а не через центральный сервер. Это может сделать TINC рабочей альтернативой Dynamic Multi-Point VPN и упомянутому GETVPN для корпоративных сетей. Ну или могло бы, если бы поставщики сетевого оборудования и популярные свободные сетевые ОС его поддерживали.
Стоит ли использовать TINC?
Как минимум поэкспериментировать точно будет интересно.
ЗАКЛЮЧЕНИЕ
Протоколов для VPN в мире великое множество. Даже если ты предпочитаешь использовать только самые популярные, знать о других небесполезно — выбор будет более информированным.
 

Круц

Активный участник

Круц

Активный участник
Регистрация
19 Сен 2021
Сообщения
53
Реакции
0
Репутация
0
Очень тяжёлая, для восприятия инфа.
 
Сверху