SSTP לעומת PPTP מול L2TP: מה ההבדל?

אם אתה רוצה להישאר בטוח באינטרנט, רשת פרטית וירטואלית יכולה להיות פתרון אידיאלי. ה- VPNs הטובים ביותר בשוק יוצרים חיבור מוצפן בין המכשיר שלך ("הלקוח") לבין שרת VPN .

לא כל ה-VPNs מציעים את אותה רמת פרטיות, במיוחד עם VPNs בחינם . אתה יכול לעזור ליידע את בחירתך על ידי בדיקה באילו פרוטוקולי VPN משתמש ספק השירות שלך. אלה קובעים כיצד תוכנת לקוח ה-VPN שלך מתקשרת עם השירות ואיזו רמת אבטחה היא מציעה.

במדריך זה תלמדו על שלושה מפרוטוקולי VPN מרכזיים . 

PPTP: פרוטוקול מנהור עמית לעמית 

Peer to Peer Tunneling Protocol (PPTP) היה אחד מפרוטוקולי ה-VPN הראשונים. הוא הופיע במכונות Windows באמצע שנות ה-90, אך עד מהרה התפשט לפלטפורמות אחרות. כיום, תמיכת PPTP מובנית כמעט בכל מערכת הפעלה

PPTP משתמש ב-TCP לעומת UDP – מקבילה מודרנית יותר ל- TCP שלרוב עובד מהר יותר ב-VPN על ידי עטיפה של נתוני רשת והקמת מנהרה להעברת מנות נתונים של פרוטוקול נקודה לנקודה (PPP).

יתרון אחד של PPTP הוא שהוא צריך רק את מיקום השרת, שם המשתמש והסיסמה כדי לעשות זאת. זה גם מהיר מאוד מכיוון שהוא משתמש ברמות מינימליות של אימות והצפנה.

זה עשוי להיות שימושי במצבים שבהם לא אכפת לך אם מישהו יכול לבדוק את התעבורה העוברת על פני ה-VPN שלך, כמו בעת גישה לשירותי הזרמת וידאו ב- Netflix VPN . 

עם זאת, PPTP נחשב בדרך כלל לא בטוח עבור כל דבר אחר. גרסת ה-PPTP הנשלחת עם Microsoft Windows יכולה להשתמש ב-MS-CHAP v1 או v2 כדי לאמת משתמשים, אבל זה כבר מזמן הוכח כפגיע לחילוץ סיסמאות והתקפות מילונים. ב-2012 האקרים ב-Defcon 20 הדגימו כיצד ניתן לפצח סיסמאות כאלה תוך פחות מ-24 שעות.

PPTP משתמש גם בצופן RC4 Stream עם MPPE (הצפנת נקודה לנקודה של מיקרוסופט), אשר יכול בקלות להיות נתון למתקפת "היפוך מעט" כדי לשנות את הנתונים שלו. במילים אחרות, על ידי כפייתו להשתמש בסיסמה חלשה יותר. הסיבה לכך היא ש-PPTP אינו מכיל שיטה לאימות הודעות כגון חתימות דיגיטליות . 

L2TP: פרוטוקול מנהור שכבה 2 

Layer 2 Tunneling Protocol (L2TP) שוחרר במקור בשנת 1999, כיצירה משותפת של עבודה שנעשתה על ידי מיקרוסופט וסיסקו כאחד. כמו PPTP, ניתן להשתמש בו כדי ליצור חיבורי VPN. כמו PPTP, הוא אינו מאמת או מצפין נתונים בעצמו, אך יכול לעבוד עם IPsec כדי להצפין נתונים בין לקוח VPN לשרת.

L2TP נוצר כעדכון ל-PPTP. זה מטפל בחלק מהחולשות שלו כמו הצפנה חלשה. זה עובד גם על UDP ולא TCP, עבור מהירויות חיבור מהירות יותר באמצעות VPN.

בשימוש עם IPsec, L2TP לא רק יקלוט את הנתונים שלך כדי לשלוח דרך מנהרה מאובטחת, הוא גם מקודד אותם עם הצפנת AES. זהו שיפור עצום ביחס ל-PPTP. יש אפילו התנגדות למניפולציה של נתונים במהלך שידור, כפי שקורה עם הפגיעות של "Bit Flipping" של PPTP.

שימוש ב-L2TP עם IPsec כרוך למעשה בהקפסול של הנתונים שלך פעמיים, מה שיכול להאט את עיבוד הנתונים ואת מהירויות השידור ביחס לפרוטוקולים מודרניים יותר. 

L2TP פועל על יציאות מוגדרות מראש, מה שמקשה על ההפעלה דרך חומת אש, במיוחד אם מנהל הרשת שלך נחוש לחסום אותה. 

יש גם חששות ש-L2TP נפגע על ידי ה-NSA – אבל אין דרך להיות בטוח. שיטות אימות שנפגעו בשימוש על ידי IPsec נלחשות, במיוחד על ידי אותם אנשים המשתמשים בסיסמאות חלשות, אבל שום דבר לא ברור. 

SSTP: Secure Socket Tunneling Protocol 

Secure Socket Tunneling Protocol (SSTP) הוא גם סוג של מנהרת VPN המאפשרת לכופף ולהעביר נתונים. שלא כמו PPTP/L2TP, זה נעשה דרך ערוץ SSL /TLS. 

יתרון אחד של העברת נתונים דרך יציאת TCP 443 הוא שקל יותר להסוות את תעבורת VPN לנתוני HTTPS רגילים, מה שמקשה הרבה יותר על זיהוי וחסימה. זה יכול להיות שימושי עבור אנשים החיים במדינות שבהן השימוש ב-VPN מנוטר ו/או אסור.

SSTP שוחרר במקור עם Windows Vista Service Pack 1 בשנת 2008 כעדכון נוסף של פרוטוקול PPTP המיושן. הוא נתמך כעת גם ב-macOS, Linux ורוב צורות ה-BSD. 

מכיוון ש-SSTP הוא תקן קנייני, אפשר לטעון שהוא אינו מאובטח כמו פרוטוקול תוכנה בקוד פתוח לחלוטין שניתן לבחון ולשפר באופן קבוע על ידי הקהילה בכללותה. 

דאגות אבטחה אחרות מקיפות את העובדה שכל אחד עם שם המשתמש והסיסמה הנכונים יכול להיכנס לשרת VPN באמצעות SSTP. אין בדיקות מובנות כדי לוודא שמישהו משתמש במכשיר מורשה. עם זאת, SSTP עושה שימוש בספריית SSL/TLS כדי לאמת שרתים שאליהם הוא מתחבר. 

SSTP משתמש ב-SSL 3.0 כדי לאמת ולהצפין חיבורים. וזה הופך אותו לפגיע למתקפת POODLE, מה שעלול לאפשר לתוקפים לפענח את הנתונים שלך. פגיעות זו אינה קיימת בפרוטוקולי VPN מודרניים יותר כמו OpenVPN , המשתמשים רק ב-TLS . 

חשיבות פרוטוקולי VPN 

PPTP, L2TP ו-SSTP הם כולם פרוטוקולי VPN ישנים יותר. לכן, למרות שהן נתמכות באופן נרחב על פני פלטפורמות שונות, הן אינן מציעות הרבה באבטחה או פרטיות. כמינימום, שירות ה-VPN שלך אמור להיות מסוגל לאמת באופן אמין את הלקוח והשרת שלך על ידי ביצוע "לחיצת יד" אמינה, להצפין את כל הנתונים במעבר בבטחה ולבדוק מפני שיבוש או "איש באמצע התקפות".

אם ספק ה-VPN שלך מציע לך תוכנה המשתמשת בפרוטוקולים האלה, שקול לבקש מהם לשדרג לתקן מודרני יותר כגון OpenVPN או Wireguard . אלה משתמשים בפרוטוקולי אבטחה מודרניים. והכי חשוב, התקנים הם קוד פתוח לחלוטין – ניתן לזהות פגמי אבטחה במהירות ולתקן אותם. אם ספק ה-VPN שלך אינו מציע את השיטות הללו להקמת ערוץ, ייתכן שהגיע הזמן לחפש מקום אחר.