Jakie są wady OpenVPN?

29

Widziałem tak wielu ludzi, którzy zawsze zmagają się z IPSec i wieloma innymi bezpiecznymi technologiami VPN. Ja, na przykład, zawsze po prostu korzystałem z OpenVPN, z pięknymi, prostymi i wszechstronnymi wynikami. Użyłem go na routerach DD-WRT, dużych serwerach i telefonach z Androidem, żeby wymienić tylko kilka.

Czy ktoś mógłby mi wyjaśnić, czego mi brakuje? Czy są jakieś wady OpenVPN, o których nie wiem? Czy IPSec i przyjaciele oferują niesamowite funkcje, o których nie wiedziałem? Dlaczego nie wszyscy używają OpenVPN?

vpn ipsec użytkownik1056
źródło

Odpowiedzi:

20

IMHO, największą wadą OpenVPN jest to, że nie współpracuje on ze znaczną większością produktów sprzedawców sieciowych „znanych marek”. Produkty bezpieczeństwa i routerów Cisco & Juniper nie obsługują go - obsługują tylko IPsec i zastrzeżone SSL VPN. Palo Alto, Fortinet, Check Point itp. Też go nie obsługują. Jeśli więc Twoja organizacja / przedsiębiorstwo chce skonfigurować sieć ekstranetową lokacja-lokacja dla innej firmy i masz tylko urządzenie OpenVPN, prawdopodobnie nie będziesz miał szczęścia.

To powiedziawszy, niektóre firmy oferujące sprzęt i oprogramowanie sieciowe zaczynają stosować OpenVPN. MikroTik jest jednym z nich. Jest obsługiwany od RouterOS 3.x:

http://wiki.mikrotik.com/wiki/OpenVPN

Ponadto przez długi czas jedynym sposobem na uruchomienie klienta OpenVPN na Apple iOS wymagało jailbreakingu. To już nie jest tak:

https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8

Ogólnie sytuacja się poprawia. Jednak bez dostawców, takich jak Cisco i Juniper, wdrażających go w swoich produktach, nie widzę, aby duże firmy stosowały go bez problemów z interoperacyjnością.

Mark Kamichoff
źródło
Podobnie jak Mikrotik OpenVPN jest w (i jest już od jakiegoś czasu) pfSense pfsense.org (Chociaż nie sądzę, że można tworzyć za jego pomocą tunele między witrynami, może za pośrednictwem interfejsu CLI?
jwbensley
Nie wiedziałem, że to aplikacja OpenVPN na iOS, tak!
zevlag
6

IPSEC jest standardem. Obsługuje go prawie każdy dostawca sieci. Nie można osiągnąć tego samego poziomu interoperacyjności między routerami z OpenVPN.

Jak powiedział David, nie ma nic złego w OpenVPN dla klienta VPN. Jeśli chodzi o rozwiązania VPN typu site-to-site lub infrastrukturalne, wybrałbym IPSEC VPN.

sergejv
źródło
5

Jedną z wad jest to, że w środowisku korporacyjnym niektórzy menedżerowie nie lubią polegać na oprogramowaniu open source.

Osobiście nie widzę nic złego w OpenVPN dla rozwiązania VPN użytkownika.

IPSEC może być zaimplementowany sprzętowo (a raczej element szyfrujący IPSEC), a więc jest przydatny, gdy chcesz przepchnąć dużo danych przez VPN i nie chcesz poświęcać mocy procesora na stacjach końcowych użytkowników.

David Rothera
źródło
Istnieją w pełni sprzętowe rozwiązania IPsec. Jednak są one a) drogie i b) prawie zawsze zastrzeżone dla systemu Windows (serwera). (krypto w linii z NIC [cavium] lub wbudowane bezpośrednio w nic [intel])
Ricky Beam
Odniosłem się bardziej do ASA, które szyfrują sprzętowo.
David Rothera
Myślałem o karcie sieciowej, która to robi. Obecnie wiele urządzeń routera / zapory ma układy kryptograficzne. (kluczowa funkcja stanowi bardzo kosztowną część, „ponieważ procesory anemiczne stosowane w większości routerów również potrzebują jej do ruchu)
Ricky Beam
Myślę, że IPSEC w punkcie sprzętowym to ogromny plus dla IPSEC. OpenVPN był (i sądzę, że nadal tak jest, ale nie mogę znaleźć żadnej ostatecznej dokumentacji w żaden sposób) jednowątkowym. Pomógł w początkowym dochodzeniu komercyjnej firmy VPN rozpoczynającej działalność, został porzucony, ponieważ OpenVPN nie był wystarczająco szybki. Zobacz odpowiedź ServerFault, aby uzyskać wgląd (więcej o współbieżnych połączeniach); serverfault.com/questions/439848/... Szybkość może nie być dla Ciebie tak ważna, szukaliśmy sprzedaży VPN 100 Mb / s.
jwbensley
1

  • OpenVPN ma bezpieczniejszą implementację (Userspace vs Kernel).

  • Działa lepiej z Firewallami i NAT (nie trzeba zapewniać NAT-T) i jest trudny do filtrowania.

  • Jest to o wiele mniej skomplikowane niż IPsec

hyussuf
źródło
3
Wyprawa pyta o wady OpenVPN ...
tegbains
Przestrzeń użytkownika nie jest z natury bezpieczniejsza niż przestrzeń jądra, a o bezpieczeństwie najlepiej decyduje przegląd i testowanie - jeden z nich jest znormalizowany.
mikebabcock
2
Właściwie to jest. implementacja VPN w przestrzeni użytkownika jest bezpieczniejsza z perspektywy systemowej niż w jądrze. Aby uzyskać więcej informacji, zapoznaj się z artykułem
hyussuf
Sytuacja nieco się zmieniła od czasu opublikowania tej odpowiedzi; w szczególności luka Heartbleed w 2014 r. niestety przypomniała nam, jak głębokie luki w zabezpieczeniach OpenSSL mogą wpłynąć na całą OpenVPN. Wykazano również, że działanie w przestrzeni użytkownika nie czyni ataków mniej krytycznymi, biorąc pod uwagę, że oprogramowanie VPN ma bardzo duże prawdopodobieństwo kontaktu z bardzo wrażliwą zawartością, często śledząc ścieżkę do uzyskania uprawnień roota na maszynie VPN i / lub innych maszynach na około. Wreszcie, większość korporacyjnych zapór sieciowych blokuje teraz OpenVPN poprzez Deep Packet Inspection…
jwatkins,
1

OpenVPN nie ma określonych certyfikatów regulacyjnych, takich jak obsługa FIPS 140-2.

och
źródło
1
W rzeczywistości możliwe jest wsparcie FIPS 140-2 z OpenVPN ... istniała certyfikowana wersja openssl i łatki do OpenVPN, aby używać go w sposób certyfikowany ... w rzeczywistości to robimy.
Jeff McAdams
1

Jedynym technicznym minusem OpenVPN, jaki widzę, jest to, że w porównaniu ze swoimi konkurentami system wprowadza wiele opóźnień w łączach VPN . Aktualizacja: Odkryłem, że nie była to wina OpenVPN, ale tylko moje testy. Gdy OpenVPN działa na protokole TCP, narzuty TCP powodują, że OpenVPN jest nieco wolniejszy. L2TP wykorzystuje stałe porty i protokoły dla zapewnienia interoperacyjności, a zatem nie ma funkcji, aby uruchomić go na TCP. Openvpn na UDP wydaje się być szybszy dla wielu innych użytkowników.

Jedyną inną zaletą podczas korzystania z PPTP / L2TP / Ipsec jest to, że łatwiej mi było zainstalować na komputerze z systemem Windows lub iPhone'ie bez instalowania dodatkowego oprogramowania po stronie klienta. YMMV.

Możesz przeczytać stronę

Surajram Kumaravel
źródło
1
Tam, gdzie pracuję, używamy OpenVPN dość często i nie jesteśmy świadomi dodatkowych problemów związanych z opóźnieniami z tego powodu. Czy możesz rozwinąć tę naturę?
Jeff McAdams
Testowałem OpenVPN, L2TP i PPTP, próbując zaszyfrować połączenie z moim serwerem VoIP podczas używania softphonów na zdalnych stacjach roboczych. Odkryłem, że OpenVPN wprowadził najwięcej opóźnień, a PPTP był najszybszy. W końcu poszedłem z L2TP. Problemy z opóźnieniami pojawiały się tylko w kilku słabych sieciach 3G, ale nawet w tych samych sieciach L2TP wydawał się działać dobrze.
Surajram Kumaravel
Czytanie ivpn.net/pptp-vs-l2tp-vs-openvpn sprawia, że ​​myślę, że był to konkretny problem z moją konfiguracją, a nie ogólny. Dzięki za pomoc w zrozumieniu, że Jeff!
Surajram Kumaravel
1

Wolę IPSec prawie za każdym razem, ponieważ znam go i po prostu zawsze działa. Opierając się na standardach, jest obsługiwany przez prawie wszystko, od telefonów i tabletów po maszyny z systemem Windows i Linux, a także ma przydatne funkcje, takie jak obsługa NAT i wykrywanie Dead Peer.

Do Twojej wiadomości używam przede wszystkim openswan w systemie Linux.

Jednym z głównych powodów, dla których wolimy IPSec, jest rotacja kluczy sesji. OpenVPN mógł to zaimplementować (ale nie widzę tego). Oznacza to, że osoba atakująca, która biernie przechwytuje dane przez długi czas, nie może brutalnie wymusić całego dziennika komunikacji naraz, ale tylko wartość każdego klucza sesji.

mikebabcock
źródło
Dla porównania, OpenVPN działa również przez NAT i jest obsługiwany na PC, telefonach i stołach (Windows, Mac OS X, Linux, BSD, Android, iOS i tak dalej).
jwbensley
Miałem na myśli wbudowane wsparcie, być może nie oczywiste @javano
mikebabcock
Zakładam, że nigdy nie korzystałeś z OpenVPN. Nikt, kto użył OpenVPN i IPsec, nie wybierze IPsec, ponieważ „po prostu zawsze działa”. Do największych zalet OpenVPN należą drastycznie zmniejszona złożoność i łatwość rozwiązywania problemów. Widziałem to jako osobę, która kilka lat temu przekonwertowała setki zdalnych urządzeń Linux (mieszkających w witrynach klientów) z IPsec na OpenVPN. IPsec jest dobry, jeśli musisz połączyć się z czymś, czym nie zarządzasz / nie kontrolujesz, a który obsługuje tylko IPsec. OpenVPN to lepszy wybór w prawie każdym innym przypadku.
Christopher Cashell