VPN-Verschlüsselung erklärt: IPSec vs. SSL
In zahlreichen anderen Artikeln werden IPSec- und SSL-VPNs aus der Perspektive eines Netzwerkadministrators, der sie einrichten muss, verglichen und gegenübergestellt. Dieser Artikel wird jedoch untersuchenwie große kommerzielle VPN-Anbieter SSL und IPSec in ihren Verbraucherdiensten nutzen, die den Zugriff auf das Internet und nicht auf ein Unternehmensnetzwerk ermöglichen sollen.
VPN-Protokolle, die verwendet werdenDie IPSec-Verschlüsselung umfasst L2TP, IKEv2 und SSTP. OpenVPN ist das beliebteste Protokoll, das SSL-Verschlüsselung verwendet, insbesondere die OpenSSL-Bibliothek. SSL wird auch in einigen browserbasierten VPNs verwendet.
In diesem Artikel werden IPSec- und SSL-Verschlüsselung aus Sicht des VPN-Endbenutzers verglichen und gegenübergestellt. Wenn Sie eine grundlegendere Erklärung der beiden Protokolle wünschen, schauen Sie sich unseren ausführlichen Leitfaden an gängige Verschlüsselungsarten .
Die Grundlagen der VPN-Verschlüsselung
Die VPN-Verschlüsselung verschlüsselt den Inhalt Ihres Internetverkehrs so, dass er nur mit dem richtigen Schlüssel entschlüsselt (entschlüsselt) werden kann. Ausgehende Daten werden verschlüsselt, bevor sie Ihr Gerät verlassen. Anschließend wird es an den VPN-Server gesendet, der die Daten mit dem entsprechenden Schlüssel entschlüsselt. Von dort werden Ihre Daten an ihr Ziel, beispielsweise eine Website, weitergeleitet. Die Verschlüsselung verhindert, dass jemand, der zufällig die Daten zwischen Ihnen und dem VPN-Server abfängt – Internetdienstanbieter, Regierungsbehörden, WLAN-Hacker usw. – den Inhalt entschlüsseln kann.
Eingehender Datenverkehr durchläuft denselben Prozess in umgekehrter Reihenfolge. Wenn Daten von einer Website stammen, gelangen sie zunächst zum VPN-Server. Der VPN-Server verschlüsselt die Daten und sendet sie dann an Ihr Gerät. Anschließend entschlüsselt Ihr Gerät die Daten, sodass Sie die Website normal anzeigen können.
All dies stellt sicher, dass die Internetdaten der VPN-Benutzer privat bleiben und nicht in die Hände unbefugter Parteien gelangen.
Zu den Unterschieden zwischen verschiedenen Verschlüsselungsarten gehören:
- Verschlüsselungsstärke oder die Methode und der Grad, in dem Ihre Daten verschlüsselt werden
- Wie die Verschlüsselungsschlüssel verwaltet und ausgetauscht werden
- Welche Schnittstellen, Protokolle und Ports sie verwenden
- Auf welchen OSI-Schichten sie ausgeführt werden
- Einfache Bereitstellung
- Leistung (sprich: Geschwindigkeit)
Sicherheit
Zusamenfassend:Leichter Vorteil zugunsten von SSL.
Für IPSec-Verbindungen muss sowohl auf dem Client als auch auf dem Server ein vorinstallierter Schlüssel vorhanden sein, um den Datenverkehr zu verschlüsseln und aneinander zu senden. Der Austausch dieses Schlüssels bietet einem Angreifer die Möglichkeit, den vorinstallierten Schlüssel zu knacken oder zu erbeuten.
Bei SSL-VPNs besteht dieses Problem nicht, da sie Public-Key-Kryptografie verwenden, um einen Handshake auszuhandeln und Verschlüsselungsschlüssel sicher auszutauschen. Aber TLS/SSL schon eine lange Liste seiner eigenen Schwachstellen wie Heartbleed.
Einige SSL-VPNs erlauben nicht vertrauenswürdige, selbstsignierte Zertifikate und verifizieren keine Clients. Dies kommt besonders häufig bei „clientlosen“ SSL-VPN-Browsererweiterungen vor. Diese VPNs, die es jedem ermöglichen, von jedem Computer aus eine Verbindung herzustellen, sind anfällig für Man-in-the-Middle-Angriffe (MITM). Dies ist jedoch bei den meisten nativen OpenVPN-Clients nicht der Fall.
SSL erfordert in der Regel häufigere Patches, um sowohl für den Server als auch für den Client auf dem neuesten Stand zu bleiben.
Der Mangel an Open-Source-Code für IPSec-basierte VPN-Protokolle könnte für Menschen, die sich vor Regierungsspionen und Schnüfflern fürchten, Anlass zur Sorge geben. Im Jahr 2013 enthüllte Edward Snowden, dass das Bullrun-Programm der US-amerikanischen National Security Agency aktiv versucht habe, „Schwachstellen in kommerzielle Verschlüsselungssysteme, IT-Systeme, Netzwerke und Endpunktkommunikationsgeräte einzubauen, die von Zielen verwendet werden“. Die NSA zielte angeblich auf IPSec ab, um Hintertüren und Seitenkanäle hinzuzufügen, die von Hackern ausgenutzt werden könnten.
Letztlich ist eine starke Sicherheit eher das Ergebnis kompetenter und umsichtiger Netzwerkadministratoren als die Wahl des Protokolls.
Firewall-Durchquerung
Zusamenfassend:SSL-basierte VPNs eignen sich im Allgemeinen besser zur Umgehung von Firewalls.
NAT-Firewalls sind häufig auf WLAN-Routern und anderer Netzwerkhardware vorhanden. Zum Schutz vor Bedrohungen verwerfen sie jeglichen Internetverkehr, der nicht erkannt wird, einschließlich Datenpaketen ohne Portnummern. Verschlüsselten IPSec-Paketen (ESP-Paketen) sind standardmäßig keine Portnummern zugewiesen, was bedeutet, dass sie von NAT-Firewalls abgefangen werden können. Dies kann dazu führen, dass IPSec-VPNs nicht funktionieren.
Um dies zu umgehen, kapseln viele IPSec-VPNs ESP-Pakete in UDP-Pakete, sodass den Daten eine UDP-Portnummer zugewiesen wird, normalerweise UDP 4500. Dies löst zwar das NAT-Traversal-Problem, Ihre Netzwerk-Firewall lässt jedoch möglicherweise keine Pakete auf diesem Port zu. Netzwerkadministratoren in Hotels, Flughäfen und anderen Orten erlauben möglicherweise nur den Datenverkehr auf einigen wenigen erforderlichen Protokollen, und UDP 4500 gehört möglicherweise nicht dazu.
SSL-Verkehr kann über Port 443 übertragen werden, den die meisten Geräte als den für sicheren HTTPS-Verkehr verwendeten Port erkennen. Fast alle Netzwerke erlauben HTTPS-Verkehr auf Port 443, wir können also davon ausgehen, dass er geöffnet ist. OpenVPN verwendet standardmäßig Port 1194 für UDP-Verkehr, er kann jedoch entweder über UDP- oder TCP-Ports, einschließlich TCP-Port 443, weitergeleitet werdenSSL ist nützlicher, um Firewalls und andere Formen der Zensur zu umgehendie den Datenverkehr basierend auf Ports blockieren.
Geschwindigkeit und Zuverlässigkeit
Zusamenfassend:Beide sind relativ schnell, aber IKEv2/IPSec handelt Verbindungen am schnellsten aus.
Bei den meisten IPSec-basierten VPN-Protokollen dauert die Aushandlung einer Verbindung länger als bei SSL-basierten Protokollen, bei IKEv2/IPSec ist dies jedoch nicht der Fall.
IKEv2 ist ein IPSec-basiertes VPN-Protokoll, das es schon seit über einem Jahrzehnt gibt, aber mittlerweile bei VPN-Anbietern im Trend liegt. Der Grund für die Bereitstellung ist die Fähigkeit, die Verbindung schnell und zuverlässig wiederherzustellen, wenn die VPN-Verbindung unterbrochen wird. Dies macht es besonders nützlich für mobile iOS- und Android-Clients, die über keine zuverlässige Verbindung verfügen oder häufig zwischen mobilen Daten und WLAN wechseln.
Was den tatsächlichen Durchsatz angeht, ist das ein Fehler. Wir haben Argumente von beiden Seiten gesehen. Das erklärt NordVPN in einem Blogbeitrag IKEv2/IPSec kann einen schnelleren Durchsatz bieten als Konkurrenten wie OpenVPN. Beide Protokolle verwenden typischerweise entweder die 128-Bit- oder die 256-Bit-AES-Verschlüsselung.
Die zusätzliche UDP-Schicht, die viele Anbieter dem IPSec-Verkehr hinzufügen, um ihn beim Durchqueren von Firewalls zu unterstützen, führt zu zusätzlichem Overhead, was bedeutet, dass die Verarbeitung mehr Ressourcen erfordert. Aber die meisten Menschen werden keinen Unterschied bemerken.
Bei den meisten Verbraucher-VPNs wird der Durchsatz weitgehend von der Server- und Netzwerküberlastung und nicht vom VPN-Protokoll bestimmt.
Siehe auch: Schnellste VPNs
Benutzerfreundlichkeit
Zusamenfassend:IPSec ist universeller, aber die meisten Benutzer, die Apps von VPN-Anbietern verwenden, werden keinen großen Unterschied bemerken.
IKEv2, SSTP und L2TP sind in den meisten gängigen Betriebssystemen integrierte IPSec-basierte VPN-Protokolle, was bedeutet, dass für die Inbetriebnahme nicht unbedingt eine zusätzliche Anwendung erforderlich ist. Die meisten Benutzer von Verbraucher-VPNs werden jedoch weiterhin die App des Anbieters verwenden, um eine Verbindung herzustellen.
SSL funktioniert standardmäßig in den meisten Webbrowsern, für die Verwendung von OpenVPN ist jedoch normalerweise eine Drittanbieteranwendung erforderlich. Auch dies wird in der Regel von der App des VPN-Anbieters erledigt.
Unserer Erfahrung nach bietet IKEv2 aus Sicht des Endbenutzers tendenziell ein nahtloseres Erlebnis als OpenVPN. Dies liegt vor allem daran, dass IKEv2 schnell eine Verbindung herstellt und Unterbrechungen verarbeitet. Allerdings ist OpenVPN tendenziell vielseitiger und möglicherweise besser für Benutzer geeignet, die mit IKEv2 nicht das erreichen können, was sie wollen.
Wenn es um Unternehmens-VPNs geht, die den Zugriff auf ein Unternehmensnetzwerk anstelle des Internets ermöglichen, besteht allgemeiner Konsens darüber, dass IPSec für Site-to-Site-VPNs vorzuziehen ist und SSL besser für den Fernzugriff geeignet ist. Der Grund dafür ist, dass IPSec auf der Netzwerkschicht des OSI-Modells arbeitet, was dem Benutzer unabhängig von der Anwendung vollen Zugriff auf das Unternehmensnetzwerk ermöglicht. Es ist schwieriger, den Zugriff auf bestimmte Ressourcen einzuschränken. SSL-VPNs hingegen ermöglichen es Unternehmen, den Fernzugriff auf bestimmte Anwendungen auf granularer Ebene zu steuern.
Für Netzwerkadministratoren, die VPNs betreiben, ist die Clientverwaltung mit SSL tendenziell viel einfacher und weniger zeitaufwändig als mit IPSec.
IPSec vs. SSL-VPNs: Fazit
Alles in allem empfehlen wir VPN-Benutzern, die beide Optionen haben, zunächst IKEv2/IPSec zu wählen und sich dann bei Problemen an OpenVPN zu wenden. Die Geschwindigkeit, mit der IKEv2 Verbindungen aushandeln und aufbauen kann, wird für den durchschnittlichen, alltäglichen VPN-Benutzer eine spürbare Verbesserung der Lebensqualität bei vergleichbarer Sicherheit und Geschwindigkeit bedeuten, funktioniert aber möglicherweise nicht unter allen Umständen.
Bis vor Kurzem galt OpenVPN/SSL für die meisten Nutzer von Verbraucher-VPNs als die beste VPN-Kombination. OpenVPN, das die OpenSSL-Bibliothek zur Verschlüsselung und Authentifizierung nutzt, ist relativ schnell, sehr sicher, Open Source und kann NAT-Firewalls überwinden. Es kann entweder das UDP- oder das TCP-Protokoll unterstützen.
IKEv2/IPSec stellt einen neuen Herausforderer für OpenVPN dar und verbessert L2TP und andere IPSec-basierte Protokolle durch schnellere Verbindungen, mehr Stabilität und integrierte Unterstützung auf den meisten neueren Verbrauchergeräten.
SSL und IPSec verfügen beide über starke Sicherheitsmerkmale mit vergleichbarer Durchsatzgeschwindigkeit, Sicherheit und Benutzerfreundlichkeit für die meisten Kunden kommerzieller VPN-Dienste.
„ IPsec in der Netzwerkschicht ” von Soufiane Hamdaoui, lizenziert unter CC BY-SA 3.0
Häufig gestellte Fragen zu IPSec vs. SSL-VPNs
Verbergen SSL-VPNs IP-Adressen?
SSL-VPNs können Anonymität bieten, indem sie IP-Adressen verbergen, sie können aber auch so konfiguriert werden, dass IP-Adressen offengelegt werden. Es hängt alles davon ab, wie das SSL-VPN konfiguriert ist. Wenn Sie vollständige Anonymität wünschen, müssen Sie sicherstellen, dass das SSL-VPN richtig konfiguriert ist, um zu verhindern, dass Aktivitäten an Ihren ISP weitergegeben werden.