Het gebruik van een VPN-verbinding wordt steeds meer gemeentegoed. Dit is begrijpelijk, gezien de toename in (massa)-surveillance, hackers en online tracking- en achtervolging door advertentiebedrijven. Ook is het gebruik van VPN-diensten allang niet meer alleen weggelegd voor computertechneuten. Echter, om optimaal gebruik te maken van je VPN-verbinding, is de keuze voor het juiste VPN-protocol erg belangrijk.
Wat is een VPN-protocol?
Een VPN versleutelt je internetverkeer voordat het naar de VPN-server wordt verstuurd. Voor deze versleuteling is er dikwijls de keuze uit verschillende protocollen, zogenoemde encryptie-protocollen (ook wel VPN-protocollen). Elk VPN-protocol heeft zijn voor- en nadelen. De meest voorkomende VPN-protocollen zijn:
- OpenVPN met UDP
- OpenVPN met TCP
- PPTP
- IKEv2
- L2TP/IPSec
- Wireguard (een experimenteel protocol dat nog in ontwikkeling is)
Om een keuze te maken tussen de verschillende VPN-protocollen is het belangrijk de verschillen te weten.
Verschillen tussen de VPN-protocollen
| OpenVPN | PPTP | L2TP/IPSec | IKEV2 | Wireguard | |
|---|---|---|---|---|---|
| Algemeen | Populair open-source VPN-protocol met cross-platform mogelijkheden | Basaal VPN-protocol. Dit is het eerste VPN-protocol dat door Windows werd ondersteund. | Tunneling-protocol dat gebruik maakt van IPSec voor security en encryptie. L2TP werkt via UDP. | Wederom een tunneling-protocol dat gebruik maakt van IPSec voor encryptie. Dit protocol wordt echter minder vaak ondersteund. | Een nieuw, experimenteel open-source protocol. Het protocol wordt geprezen om zijn snelheid, efficiëntie en kleine (en dus overzichtelijkere) hoeveelheid code. |
| Encryptie- sterkte | OpenVPN maakt gebruik van sterke encryptie middels OpenSSL. Gebruikte algoritmes: 3DES, AES, RC5, Blowfish. 128 bit encryptie met 1024 bits sleutels, 256 bit encryptie voor controle van de verbinding. | PPTP gebruikt het MPPE protocol voor encryptie. Het gebruikte algoritme is het RSA RC4 algoritme met 128 bit sleutels. | L2TP gebruikt IPSec voor encryptie met 256 bit sleutel, 3DES/AES algoritme. | IKEv2 gebruikt, net als L2TP/IPSec, IPSec voor encryptie. IKEv2 kan gebruikmaken van de volgende encryptie-algoritmes: 3DES, AES, Blowfish, Camellia. | Wireguard gebruikt het ChaCha20 algoritme voor encryptie. In een audit van Wireguard in juni 2019 werden geen ernstige veiligheidsproblemen aangetroffen. Echter, wel is er volgens de onderzoekers ruimte voor verbetering. Belangrijk is om te beseffen dat Wireguard vooralsnog in de ontwikkelingsfase en dus een experimenteel protocol is. |
| Gebruik | Via apart te installeren software en gebruikt *.ovpn configuratie-bestanden gecombineerd met een gebruikersnaam en wachtwoord. | Kan direct in het besturingssysteem ingesteld worden. Ook kan er gebruik gemaakt worden van aparte software. | Direct in te stellen in het besturingssysteem. Kan ook gebruikt worden via bijgeleverde software. | Direct in te stellen in het besturingssysteem. Kan ook gebruikt worden via bijgeleverde software. | Omdat Wireguard nog volop in ontwikkeling is, wordt het door het overgrote merendeel van de VPN-providers nog niet ondersteund. Echter, het protocol is compatibel met de meeste besturingssystemen. |
| Snelheid | Afhankelijk van veel factoren waaronder de snelheid van jouw computer en van de server. OpenVPN via UDP is over het algemeen sneller dan OpenVPN via TCP. | Afhankelijk van veel factoren waaronder de snelheid van jouw computer en van de server. Echter, over het algemeen staat PPTP bekend als een snel protocol, met name vanwege de relatief simpele en minder sterke encryptie, t.o.v. bijvoorbeeld OpenVPN. | Afhankelijk van veel factoren, waaronder de snelheid van jouw computer en van de server. Door de noodzakelijke toevoeging van IPSec voor goede encryptie, is L2TP/IPSec langzamer dan OpenVPN. | IKEv2 maakt (net als L2TP) gebruik van een UDP poort (UDP poort 500) en is daardoor een snel protocol. Volgens sommige bronnen is IKEv2 zelfs sneller dan OpenVPN. | Volgens de ontwikkelaars van Wireguard, zou de efficiënte en compacte code, gecombineerd met het feit dat Wireguard zich nestelt in de core van het Linuxbesturingssysteem, moeten betekenen dat het protocol resulteert in hoge snelheden. |
| Stabiliteit | Zeer goede stabiliteit met alle soorten netwerken (WLAN (draadloos), LAN (bedraad), mobiel etc.). | PPTP is relatief gezien vaker instabiel. Dit wordt met name door compatibiliteitsproblemen veroorzaakt. | Vergelijkbaar met OpenVPN, maar is soms netwerkafhankelijk. | IKEV2 is een complexer protocol dan OpenVPN. Daardoor behoeft IKEV2 soms een geavanceerdere configuratie om goed te functioneren. | Aangezien Wireguard nog in ontwikkeling is, is het moeilijk om veel te zeggen over de stabiliteit. |
| Veiligheid & Privacy | OpenVPN kent weinig beveiligingsproblemen. Wil je maximale privacy en VPN-beveiliging? Dan is dit in veel gevallen het beste protocol. | Er zijn diverse beveiligingsproblemen bekend in Windows. | L2TP i.c.m IPsec staat als erg veilig bekend. Volgens Snowden echter, is L2TP/IPSec ooit gekraakt door de NSA (National Security Agency van de VS) | Vaak wordt IKEv2 gezien als even veilig als L2TP/IPSec, omdat ze gebruikmaken van hetzelfde encryptiemodel. Echter, volgens gelekte presentaties van de NSA, is ook IKEv2 wel eens gekraakt. | Het voordeel van Wireguard is dat de code van het protocol relatief klein is (nog geen 4000 regels t.o.v. honderdduizenden regels bij OpenVPN en L2TP/IPSec bijvoorbeeld). Hierdoor is de “attack surface” voor bijvoorbeeld hackers kleiner. Ook is het hierdoor makkelijker om veiligheidslekken op te sporen. |
| Voordelen | Zeer goede snelheid en beste beveiliging. Weet de meeste firewalls en netwerk/ISP restricties te omzeilen. | Makkelijk in te stellen Goede snelheden Ondersteund door het grootste aantal apparaten | Makkelijk in te stellen Passeert netwerk en ISP-restricties | Makkelijk in te stellen Goede snelheden | Kleine, overzichtelijke hoeveelheid code (makkelijker te evalueren) Volgens de ontwikkelaars en veel critici een makkelijk te gebruiken, snel protocol. |
| Nadelen | Vaak is voor gebruik installatie van aparte bijgeleverde software nodig. | Wisselende stabiliteit Minder veilig Gebruik is makkelijk te blokkeren door sites, overheden en ISPs | Langzaam en makkelijker te blokkeren | Wordt relatief vaak door firewalls geblokkeerd Minder vaak ondersteund dan OpenVPN, L2TP/IPSec en PPTP. | Nog volop in ontwikkeling (geen garanties omtrent de veiligheid van het protocol) In zijn huidige staat is Wireguard niet compatibel met een no-logging beleid (hier later meer over) |
| Conclusie | OpenVPN is in de meeste gevallen het VPN-protocol van voorkeur. OpenVPN is snel, stabiel en veilig. | PPTP is makkelijk in te stellen, maar minder stabiel en minder veilig. Kortom, een optie die je liever pas kiest als de andere protocollen niet werken. | L2TP/IPSec is vaak langzamer maar kan soms wel blokkades omzeilen die de twee andere protocollen niet kunnen omzeilen. Wij zien het als een alternatief als OpenVPN niet voldoet. | IKEv2 lijkt, volgens velen, dezelfde mate van veiligheid te bieden als L2TP/IPSec, maar hogere snelheden. Echter, dit laatste is afhankelijk van veel variabelen. Om een goede stabiliteit te garanderen is soms een complexe configuratie nodig. Daarom raden wij, zeker voor beginners, dit protocol alleen aan als OpenVPN bijvoorbeeld niet werkt. | Wireguard is zonder twijfel veelbelovend. Echter, het protocol is nog in ontwikkeling. Daarom raden wij, net als de ontwikkelaars en VPN-providers, alleen aan het te gebruiken voor experimentele doeleinden of als privacy en anonimiteit niet cruciaal zijn (bijvoorbeeld voor unblocking). |
Hieronder zullen we in iets meer detail ingaan op de verschillende VPN-protocollen.
OpenVPN
OpenVPN (wat staat voor open source virtual private network) is het meest bekende VPN-protocol. Zijn populariteit dankt OpenVPN aan zijn sterke encryptie en open-source code. OpenVPN wordt inmiddels ondersteund door alle bekende besturingssystemen, waaronder Windows, MacOS en Linux. Ook mobiele besturingssystemen zoals Android en iOS ondersteunen OpenVPN.
Eén van de belangrijkste doelen van een VPN-protocol is het leveren van ijzersterke encryptie. Op dit gebied scoort OpenVPN erg goed. OpenVPN maakt namelijk gebruik van 265-bit encryptie via OpenSSL. Daarnaast is er veel aparte VPN-software beschikbaar die OpenVPN ondersteunt.
OpenVPN ondersteunt het gebruik van twee type poorten, TCP en UDP.
OpenVPN-TCP is het meeste gebruikte en betrouwbaarste protocol. Elk verstuurd datapakketje moet door de ontvangende computer eerst worden bevestigd voor er een nieuw pakketje wordt gestuurd. Hierdoor is de verbinding erg betrouwbaar, maar wel trager.
OpenVPN-UDP is een stuk sneller. De datapakketjes worden verstuurd, zonder dat er een terugkoppeling van ontvangst nodig is. Dit leidt tot een snellere VPN-verbinding, enigszins ten koste van de betrouwbaarheid.
Voor- en nadelen van OpenVPN
- + OpenVPN is erg veilig
- + Ondersteuning door de meeste software
- + Bruikbaar op vrijwel alle besturingssystemen
- + Veelvuldig getest op veiligheid
- – Vaak extra software nodig
PPTP VPN-protocol
Het Point-to-Point Tunneling Protocol (PPTP) is een van de oudste VPN-protocollen. PPTP was het eerste protocol dat door Windows werd ondersteund. De NSA heeft het protocol gekraakt waardoor het niet meer veilig is. PPTP is vanwege de zwakke encryptie wel erg snel. Met name op trage computers kan het verschil merkbaar zijn.
PPTP is vanwege zijn leeftijd het meest ondersteunde protocol. Firewalls die VPN-verkeer proberen tegen te houden hebben weinig moeite met het herkennen van PPTP.
Voor- en nadelen van het PPTP-protocol
- + PPTP is erg snel
- + is simpel in gebruik
- + werkt op vrijwel alle besturingssystemen
- – biedt zeer zwakker encryptie
- – PPTP verkeer kan makkelijk herkend en geblokkeerd worden
- – hackers misbruiken de zwaktes in PPTP vaak
L2TP/IPSec
Het Layer 2 Tunneling Protocol (L2TP) is een tunneling-protocol voor het opzetten van een VPN-verbinding. L2TP versleutelt zelf het internetverkeer niet. Daarom wordt L2TP vrijwel altijd gecombineerd met IPSec voor het versleutelen van data.
IPSec staat voor Internet Protocol Security en zorgt voor de end-to-end encryptie van de data in de L2TP tunnel. De L2TP/IPSec combinatie als VPN-protocol is een stuk veiliger dan PPTP. Een nadeel van L2TP/IPSec is dat firewalls deze verbinding soms blokkeren. L2TP maakt namelijk gebruik van UDP poort 500 en sommige providers en bedrijven blokkeren deze poort. Qua snelheid is L2TP erg snel, maar dat komt door het gebrek aan encryptie. Door IPSec toe te voegen neemt de belasting op de computer toe en kan de snelheid van de verbinding afnemen. OpenVPN is sneller dan L2TP/IPSec.
Voor- en nadelen van L2TP/IPSec
- + Betere encryptie dan PPTP
- + direct ondersteund in veel besturingssystemen
- – trager dan OpenVPN
- – Volgens Snowden is L2TP/IPSec door de NSA gekraakt
- – L2TP kan geblokkeerd worden door firewalls
IKEv2 VPN-protocol
IKEv2 staat voor Internet Key Echange Versie 2. Zoals de naam al zegt is IKEv2 de opvolger van IKE. Bij het gebruik van IKEv2 wordt het internetverkeer eerst versleuteld met behulp van IPSec. Daarna wordt er een VPN-tunnel aangelegd waar de versleutelde data in verstuurd wordt. Het IKEv2 protocol gebruikt net als L2TP UDP poort 500 waardoor het soms door firewalls geblokkeerd wordt. Vanwege het gebruik van IPSec wordt IKEv2 vaak als even veilig beschouwd als L2TP/IPSec. Bij het gebruik van een zwak wachtwoord is IKEv2 extra gevoelig voor hackers. IKEv2 is een erg snel VPN-protocol.
Voor- en nadelen van IKEv2
- + IKEv2 is erg snel
- + vrij sterke versleuteling
- + kan verloren verbindingen herstellen
- + IKEv2 is simpel in gebruik
- – kan vrij makkelijk geblokkeerd worden door firewalls
- – mogelijk gekraakt door de NSA
- – onveilig bij het gebruik van een zwak wachtwoord
- – minder ondersteund protocol ten opzichte van OpenVPN en L2TP/IPSec
Wireguard
Wireguard is een nieuw, voorlopig experimenteel VPN-protocol, geschreven door Jason A. Donenfeld. Het protocol is nog in ontwikkeling. Desalniettemin bieden diverse VPN-providers dit protocol aan. Het protocol onderscheidt zich door een vele malen kleinere hoeveelheid code t.o.v. zijn concurrenten. Dit maakt het protocol en de veiligheid hiervan makkelijker te evalueren (auditen) en zou, in combinatie met de code zelf, moeten zorgen voor een simpeler, sneller, efficiënter en makkelijker te gebruiken VPN-protocol. Echter, omdat dit protocol nog volop in ontwikkeling is, raden de ontwikkelaars en de meeste VPN-providers alleen aan het te gebruiken voor experimentele doeleinden of als privacy niet absoluut noodzakelijk is (voorlopig). Verder is het belangrijk om op te merken dat de huidige versie van Wireguard alleen met statische IP-adressen werkt. Volgens veel autoriteiten op het gebied van ICT betekent dit dat het gebruik van Wireguard niet samengaat met een no-logging VPN-beleid.
Voor- en nadelen van Wireguard
- + Wireguard is in theorie en volgens benchmarks op de eigen website erg snel
- + De kleine hoeveelheid code betekent dat het protocol makkelijker te auditen is
- – De meeste VPN-providers ondersteunen dit protocol (nog) niet.
- – Wireguard maakt gebruik van statische IP-adressen en gaat daarom niet samen met een no-logging beleid.
Samenvattend
Het is belangrijk om het juiste VPN-protocol te kiezen. Elk VPN-protocol heeft zijn eigen voor- en nadelen. In de meeste gevallen is OpenVPN de beste keuze. PPTP is vrijwel nooit verstandig om te gebruiken vanwege de zwakke encryptie. Indien OpenVPN niet ondersteund wordt of niet goed werkt kan L2TP/IPSec of IKEv2 overwogen worden.
Ik kies altijd OpenVPN en blijkbaar adviseren jullie dat ook.