VPN-gebruik en VPN-abonnementen worden steeds meer gemeengoed. Dit is begrijpelijk, gezien de toename in (massa)-surveillance, hackers en online achtervolging door advertentiebedrijven. Ook het gebruik van VPN-diensten is, met name door simpel te gebruiken software, allang niet meer alleen weggelegd voor computer-techneuten. Het blijft voor alle gebruikers van belang een bewuste en onderbouwde keuze te kunnen maken tussen de verschillende encryptieprotocollen die gebruikt kunnen worden.
Verschillen tussen de VPN protocollen
| OpenVPN | PPTP | L2TP/IPSec | |
|---|---|---|---|
| Algemeen | Open-source VPN protocol met een modulair netwerkdesign en cross-platform mogelijkheden | Basaal VPN-protocol. Dit is het eerste VPN protocol dat door Windows werd ondersteund. Meest voorkomende protocol. | Tunneling-protocol dat gebruik maakt van IPSec voor security/encryptie en werkt via UDP |
| Encryptie- sterkte |
OpenVPN gebruikt OpenSSL met de volgende algorithmes: 3DES, AES, RC5, Blowfish. 128 bit encryptie met 1024 bits sleutels, 256 bit encryptie voor controle van de verbinding (bv vpn password, authenticatie, etc.) | PPTP gebruikt MPPE protocol voor encryptie, met RSA RC4 algorithm en 128 bit sleutels | L2TP gebruikt IPSec voor encryptie met 256 bit sleutel, 3DES/AES algorithme |
| Gebruik | Via apart te installeren software en gebruikt *.ovpn configuratie-bestanden gecombineerd met een gebruikersnaam + paswoord | via device/OS ingebouwde client, gebruikmakend van gebruikersnaam+ wachtwoord +serveradres | Via device/OS ingebouwde client, gebruikmakend van gebruikersnaam+ wachtwoord +serveradres en speciale sleutel |
| Snelheid | Afhankelijk van veel factoren waaronder snelheid van jouw computer en van de server. OpenVPN via UDP is is over het algemeen sneller dan via TCP. |
Afhankelijk van veel factoren waaronder snelheid van jouw computer en van de server. | Afhankelijk van veel factoren waaronder snelheid van jouw computer en van de server. |
| Stabiliteit | Zeer goede stabiliteit met alle soorten netwerken (WLAN (draadloos), LAN (bekabeld), mobiel etc.) | Relatief gezien vaker instabiel. Dit wordt met name door compatibiliteitsproblemen veroorzaakt. | Vergelijkbaar met OpenVPN, maar is soms netwerkafhankelijk. |
| Security | OpenVPN kent weinig beveiligingsproblemen, dit protocol dien je te kiezen voor maximale VPN beveiliging. | Er zijn diverse beveiligingsproblemen bekend in Windows | L2TP icm IPsec staat als erg veilig bekend |
| Voordelen | Beste snelheid en beveiliging Weet de meeste firewalls en netwerk/ISP restricties te omzeilen |
Makkelijk in te stellen Goede snelheden Ondersteund door het grootste aantal apparaten |
Makkelijk in te stellen Passeert netwerk en ISP-restricties |
| Nadelen | Soms moeilijker in te stellen (behalve gebruikmakend van aparte bijgeleverde software) Wordt niet door alle mobiele apparaten ondersteund (behalve gebruik makend van aparte bijgeleverde software) Vaak de installatie van aparte bijgeleverde software nodig (sowieso vaak aan te raden) |
Wisselende stabiliteit Minder veilig Gebruik is makkelijk te blokkeren door sites, overheden en ISPs |
Langzaam en makkelijker te blokkeren |
| Conclusie | OpenVPN is in de meeste gevallen het verbindingstype van voorkeur zowel qua snelheid, stabiliteit als veiligheid. | PPTP is makkelijk in te stellen, maar minder stabiel en minder veilig. De optie die je liever pas kiest als de andere twee niet werken | L2TP is vaak langzamer maar kan soms wel blokkades omzeilen die de twee andere protocollen niet kunnen omzeilen. Wij zien het als een alternatief als OpenVPN niet voldoet. |
Hieronder zullen we in iets meer detail ingaan op de verschillende VPN-protocollen.
OpenVPN
OpenVPN (wat staat voor open source virtual private network) is een protocol dat een versimpeld security framework, een modulair netwerkdesign en cross-platform portabiliteit biedt. Het is ontwikkeld onder een GNU General Public License (GPL) licentie. OpenVPN bevat diverse technieken die een beveiligde point-to-point of site-to-site verbinding en toegang op afstand faciliteert. Het OpenVPN-protocol maakt gebruik van SSL/TLS beveiliging voor de versleuteling (encryptie) en kan NATs en firewalls passeren.
OpenVPN staat clients toe om elkaar te authenticeren via een van tevoren gedeelde geheime sleutel of een gebruikersnaam/wachtwoord-combinatie. Indien OpenVPN gebruikt wordt in een opstelling met meerdere clients per server, staat het de server toe een authenticatiecertificaat voor iedere client uit te geven. OpenVPN maakt gebruik van de OpenSSL-encryptie en SSLv3/TLSv1 protocollen. Daarnaast beschikt OpenVPN over vele beveiligings- en controlemogelijkheden.
Er bestaat OpenVPN-TCP, en OpenVPN-UDP. OpenVPN-UDP is sneller en weet vele opgelegde blokkades door internetproviders en overheden te passeren.
OpenVPN Ciphers
OpenVPN Ciphers wordt ook wel data encryptie genoemd. Dit VPN protocol, de handshake en de data verificatie zijn ontworpen om er voor te zorgen dat je VPN verbinding met de VPN server beveiligd zijn. De data zelf wordt versleuteld door middel van een cijferschrift (cipher).
Blowfish cipher
In de meeste gevallen maakt OpenVPN gebruik van de Blowfish cipher. Over het algemeen is dit een veilige methode, maar er zijn wel degelijk risico’s. De bedenker van het cijferschrift raadde bedrijven daarom in 2007 aan om over te stappen op Twofish.
Twofish cipher
De Twofish is een veiligere cipher dan Blowfish, maar wordt helaas niet ondersteund door OpenVPN.
AES cipher
De gouden standaard op het gebied van versleuteling is de AES cipher. AES-256 wordt dusdanig veilig geacht dat zelfs de Amerikaanse overheid er gebruik van maakt om beveiligde gegevens te beschermen. Naast de grote mate van veiligheid is het met AES mogelijk om veel grotere bestanden te versturen dan bij het gebruik van Blowfish. De 128-bit versie en de 256-bit versie van AES worden het meest gebruikt. Er bestaat wel een 192-bit variant van de AES cipher, maar die kom je maar zelden tegen.
Block Cipher Mode
In sommige gevallen kom je bij VPN providers de ‘Block Cipher Mode’ tegen. Dit heeft betrekking op blokvercijfering; een technisch zeer ingewikkelde manier van versleuteling. Er zijn verschillende algoritmes binnen de blokvercijfering. VPN providers maken voornamelijk gebruik van Cipher Block Chaining (CBC). Een volledige lijst van ciphers die door OpenVPN worden ondersteund is beschikbaar wanneer je “openvpn-showciphers” invoert in een commandoregel. Theoretisch gezien zou CBC kwetsbaar genoemd kunnen worden. Over het algemeen wordt echter aangenomen dat CBC een veilige encryptiemethode is. De methode wordt derhalve ook aangeraden in de OpenVPN handleiding. Bovendien is het erg onwaarschijnlijk dat je te maken krijgt met een ander soort blokvercijfering. Geen reden dus om je zorgen te maken bij het gebruik van CBC.
PPTP
Het Point-to-Point Tunneling Protocol (PPTP) is een van de eerste VPN protocollen. PPTP gebruikt als verificatiekanaal TCP en GRE om de PPP pakketten te omvatten.
Het PPTP-protocol wordt al sinds tijden door Windows ondersteund en is in het algemeen het best ondersteunde protocol. Helaas kent het een aantal cruciale implementatiezwaktes waardoor bijvoorbeeld brute force dictionary attacks mogelijk zijn.
L2TP
Het Layer 2 Tunneling Protocol (L2TP) is een tunneling-protocol dat wordt gebruikt voor het opzetten van VPN-netwerken. Het biedt zelf geen encryptie of anonimiteit, maar maakt gebruik van een extern encryptieprotocol dat voor veiligheid zorgt.
L2TP is in feite een Session Layer protocol en gebruikt een UDP port (1701). Het volledige L2TP pakket, inclusief payload en L2TP header, wordt via UDP verzonden. Vanwege de afwezigheid van encryptie wordt het L2TP protocol vaak in combinatie met IPsec gebruikt.
Ik kies altijd OpenVPN en blijkbaar adviseren jullie dat ook.