Når du leder efter virtuelle private netværk (VPN'er), støder du måske på udtrykket tunneling-protokol. Hvad betyder udtrykket og hvad betyder det for dig? Denne artikel forklarer det grundlæggende i VPN-protokoller.
Hvad er en VPN?
En VPN, eller et virtuelt privat netværk, er et internationalt netværk af servere, der er designet til at skjule din fysiske placering og kryptere dine data, når du bruger internettet. En VPN-protokol skaber sikre tunneler, der gør det ekstremt svært at spore dine online-aktiviteter udefra.
Vi forklarer udførligt hvordan VPN'er virker i denne artikel.
Hvad er VPN-protokoller?
En VPN-protokol er et sæt instruktioner om, hvordan man sender data mellem netværk.
VPN-protokoller etablerer sikre passager mellem dine enheder og fjernservere ved at blande transmissionsprotokoller og krypteringsalgoritmer. De bruger autentificeringsteknikker til at sikre en legitim VPN-server i den anden ende af tunnelen.
Som følge heraf maskerer VPN-servere din rigtige IP-adresse (Internet Protokol) og hjælper med at omgå geografiske begrænsninger. Men ikke alle tunnelprotokoller er lige gode. Især fordi de alle har unikke egenskaber, er det umuligt at finde én løsning, der fungerer til torrenting, streaming, spil eller browsing.
Før du vælger en bestemt VPN-tunnelprotokol, er det vigtigt at kende eventuelle kompromiser for at sætte dine forventninger derefter.
Typer af VPN-protokoller
Der findes mange forskellige VPN-protokoller, men du kan inddele dem i to kategorier: de almindelige protokoller og de proprietære. Lad os tage et kig på de forskellige muligheder.
Almindelige VPN protokoller
Her følger de generiske protokoller, som de fleste førende VPN-leverandører har brugt/bruger.
OpenVPN
OpenVPN er uden tvivl den bedste protokol til VPN. Den anvender de kryptografiske protokoller Transport Layer Security (TLS) med Secure Sockets Layers (SSL)/TLS til udveksling af private nøgler. Den udnytter et indeks af kryptoalgoritmer kaldet OpenSSL for at øge sikkerheden i tunneler.
OpenVPN-protokollen kan bryde igennem firewalls, for den bruger Transmission Control Protocol (TCP) port 443. Dette er standardporten for sikker Hypertext Transfer Protocol (HTTP).
En anden ønskværdig egenskab ved OpenVPN er, at den er nem at tilpasse. Det er ikke ualmindeligt at se to forskellige OpenVPN-protokoller: User Datagram Protocol (UDP) og TCP.
OpenVPN UDP er kendt for sin hastighed, men den udfører ikke ekstra datakontrol for at levere hurtigere forbindelser. OpenVPN TCP lover bedre sikkerhed, men forvent, at udvekslingen af oplysninger er langsommere.
Point to Point Tunneling Protocol (PPTP)
PPTP-protokollen er blandt de ældste, og derfor er den kompatibel med alle platforme. Desværre betragtes den som usikker efter nutidens standarder.
Når den bruges på en moderne enhed, er PPTP-sikkerheden tvivlsom. Den har ingen mulighed for at kontrollere, hvor legitim datakilden er. Og den udfører kryptering i transit, hvilket betyder, at hackere kan udnytte den til at opsnappe og ændre sendte datapakker.
Selv om du måske stadig ser PPTP-protokollen som en mulighed, der næppe vil sænke din gennemsnitlige internethastighed, så tænk dig om to gange, før du bruger den til tunneling af VPN-servere og dine enheder.
IPsec (Internet Protocol Security)
IPSec-protokollen er mere kompliceret at implementere end OpenSSL-baserede protokoller, men den er langt mere sikker.
L2TP (Layer 2 Tunneling Protocol)
L2TP-protokollen er en krydsning mellem Layer 2 Forwarding Protocol og PPTP. Sammen med IPSec kan L2TP levere 256-bit AES-kryptering af militær kvalitet.
Mens stabiliteten af L2TP/IPSec-kombinationen er ubestridelig, er der tvivl om dens fortrolighed. Amerikanske NSA hjalp med at udvikle den, og derfor har nogle eksperter mistanke om, at trafikken, der passerer gennem dens tunneler, kan lække til den amerikanske regering.
Secure Socket Tunneling Protocol (SSTP)
SSTP har eksisteret i et stykke tid, men er stadig en af de mest sikre tunnel-VPN protokoller i dag. Til kryptering bruger SSTP 256-bit SSL-chiffren. Til autentificering er den afhængig af 2048-bit certifikater.
Eksperter ser den som en væsentlig forbedring i forhold til L2TP- og PPTP-protokollerne, da den understøtter krypteringsforanstaltninger og dataintegritetskontrol.
Ligesom OpenVPN-protokollen udnytter SSTP TCP-port 443 til at fjerne blokering af Netflix-serier og andet lokalt “blokeret” indhold. Du kan også bruge den til at omgå de begrænsninger, som din netværksadministrator har fastsat.
Ligesom L2TP/IPSec lider SSTP's relevans under, at Microsoft har udviklet den. Da teknologigiganten lejlighedsvis beskyldes for at spionere på sine brugere, er privatlivets fred noget tvivlsomt. Værd at nævne, naturligvis, er at der dog ikke har været deciderede beviser for bagdøre til SSTP-trafik.
Internet Key Exchange v2 (IKEv2)
IKEv2 er en forholdsvis ny VPN-protokol og fungerer godt på smartphones og tablets.
IKEv2 er berømt for sin utrolige hastighed og stabilitet og genopretter problemfrit forbindelsen til VPN-tjenesten, hvis forbindelsen afbrydes. Derfor kan du trygt skifte mellem mobildata og WiFi.
Denne protokol understøtter Triple-DES- og AES-krypteringsalgoritmer. Da den bruger UDP-port 500, kan IKEv2 hjælpe dig med at besejre de fleste firewalls.
Konfigurerbarhed er den største ulempe ved IKEv2, da den ikke har indbygget understøttelse af Linux. Det er heller ikke let at kontrollere denne VPN-tunnelprotokol. Vi anbefaler, at du finder en VPN-udbyder, der accepterer implementeringen af den åbne kildekode for at du kan vide dig sikker på dens integritet og dermed din egen sikkerhed.
IKEv2 er bygget op omkring IPsec-protokollen og man henviser derfor næsten altid til “IKEv2/IPsec” når man taler om IKEv2. Vil du vide mere om protokollen, så læs vores artikel om IKEv2/IPsec her.
WireGuard
En af de nyeste store VPN-protokoller er WireGuard, og den tilbyder en imponerende blanding af hurtig hastighed, stabil forbindelse og sofistikeret kryptering. WireGuard er open source og bruger som standard UDP 51820-porten. WireGuard er bygget til at løse manglerne ved IPSec- og OpenVPN-protokollerne og er let og nem at implementere.
WireGuard er en usleben diamant. Den løser svaghederne ved andre almindelige VPN-tunnelprotokoller, men den kan stadig være fejlbehæftet. Den største ulempe ved WireGuard er dens tendens til at tildele den samme IP-adresse til alle tilsluttede brugere.
Shadowsocks
Selv om det teknisk set ikke er en VPN-protokol, optræder Shadowsocks på listen over protokolmuligheder hos nogle af de leverandører, vi har gennemgået, herunder f.eks. Surfshark og Private Internet Access tilbyder også denne proxy.
Shadowsocks er et populært værktøj til at omgå den kinesiske “Great Firewall”, som den kaldes (ordspil på Den Kinesiske Mur, på engelsk). Den krypterer og camouflerer trafikdata, så den kan gemme sig i det skjulte. En ulempe er, at det kun kan sende noget af din trafik gennem en server. Men det er muligt at vælge, hvilke apps du vil sikre med Shadowsocks.
Proprietære VPN-protokoller
Nogle leverandører går et skridt videre og tilbyder deres egne tunnelingprotokoller. Nogle er bygget helt fra bunden, og andre er modificerede gentagelser af almindelige protokoller for at give bedre ydeevne på visse områder.
Her følger udvalgte eksempler.
Lightway
ExpressVPN har bygget denne VPN-tunnelprotokol for at opnå større effektivitet. Lightway er en “letvægt” i software-terminologi. Udbyderen fra de Britiske Jomfruøer har udviklet den uden unødvendige funktioner for at levere superhurtige og sikre forbindelser.
Lightway bruger wolfSSL for at opfylde FIPS 140-2 standarden. Den autentificerer udvekslingen af data via TLS, kører på UDP-protokollen og understøtter TCP til opstart.
Denne VPN-sikkerhedsprotokol er velegnet til mobile platforme og muliggør problemfri genforbindelse, når der skiftes netværk eller opleves ustabil internetforbindelse.
Lightway ser umiddelbar fantastisk ud, i hvert fald på papiret. Dog skal det siges at fordi protokollen stadig er forholdsvis ny, er det begrænset med historisk data at kunne bedømme dens kvalitet ud fra, på nuværende tidspunkt.
Catapult Hydra
Den TLS-baserede sikkerhed i denne patenterede protokol fra Hotspot Shield er i overensstemmelse med anbefalingerne fra NIST (National Institute of Standards and Technology). Til servergodkendelse er Catapult Hydra afhængig af RSA-certifikater med 2048-bit-nøgler. Den genererer krypteringsnøgler for hver ny session og sletter dem, når den er afsluttet.
Mange tekniske eksperter tilskriver VPN-protokollen skylden for Hotspot Shields hurtige service. Brancheobservatører er dog ikke klar over Catapult Hydra's indre funktioner. Men dens udvikler hævder, at den har gennemgået evaluering af 60% af de største sikkerhedsfirmaer.
SmartTCP og SmartUDP
Selv om vi ikke har haft mulighed for at bruge disse proprietære VPN-protokoller, fortsætter VeePN med at nævne dem. Ifølge de tilgængelige oplysninger er SmartUDP- og SmartTCP-protokollerne baseret på UDP- og TCP OpenVPN-protokollerne og anvender XOR-krypteringsalgoritmen.
NordLynx
Denne proprietære VPN-tunnelprotokol fra NordVPN er en WireGuard-version, der randomiserer IP-adressetildelingen. NordLynx-teknologien bruger dobbelt NAT (Network Address Translation) til at gøre det.
KeepSolid Wise
KeepSolid har udviklet VPN-teknologi for at besejre den aggressive kinesiske onlinecensur og andre statsstøttede internetcensurer.
KeepSolid Wise bruger TCP 443- og UDP 443-porte til at maskere dine data som sikker HTTP-trafik. Da den er bygget op omkring OpenVPN-protokollen, kan den også opleve en TCP-meltdown (fænomen som opstår når du stabler én transmissionsprotokol oven på en anden, så de derfor modarbejder hinanden). Men heldigvis har du andre VPN-tunnelprotokoller at vælge imellem, når du bruger KeepSolid VPN Unlimited.
Konklusion
Det er vigtigt at forstå forskellene mellem tunnelprotokoller, selv hvis du bare er en tilfældig VPN-bruger. Det er dog slet ikke nødvendigt at du forstår præcis hvordan det tekniske hos hver af dem fungerer, for at kunne bruge dem. I de fleste tilfælde vil VPN-udbyderne automatisk bestemmer — eller i hvert fald pege dig i retning af, hvad der er bedst for dig og dit forbrug.