OpenVPN'in olumsuz yönleri nelerdir?

29

Her zaman birçok insanın IPSec ve diğer pek çok güvenli VPN teknolojisi ile güreşdiğini gördüm. Birincisi, her zaman basit ve basit ve çok yönlü sonuçlar veren OpenVPN'i kullandım. DD-WRT yönlendiricilerinde, büyük sunucularda ve android telefonlarda kullandım.

Birisi lütfen neyi kaçırdığımı bana açıklayabilir mi? OpenVPN'in bilmediğim bir dezavantajı var mı? IPSec ve arkadaşları bilmediğim harika bir özellik sunuyor mu? Neden herkes OpenVPN'i kullanmıyor?

vpn  ipsec 
user1056
kaynak

Yanıtlar:

20

OpenVPN'in en büyük dezavantajı IMHO, orada "büyük isim" ağ satıcılarından gelen ürünlerin büyük çoğunluğu ile birlikte çalışmamasıdır. Cisco & Juniper'ın güvenliği ve yönlendirici ürünleri desteklemiyor - yalnızca IPsec ve tescilli SSL VPN'leri destekliyorlar. Palo Alto, Fortinet, Check Point, vb. De desteklemiyor. Bu nedenle, kuruluşunuz / kuruluşunuz başka bir şirkete siteden siteye extranet VPN kurmak istiyorsa ve yalnızca bir OpenVPN cihazınız varsa, muhtemelen şansınız tükenir.

Olduğu söyleniyor, bazı ağ donanım ve yazılım şirketleri OpenVPN'i kullanmaya başladı. MikroTik onlardan biri. RouterOS 3.x'ten beri desteklenmektedir:

http://wiki.mikrotik.com/wiki/OpenVPN

Ayrıca, en uzun süre bir OpenVPN istemcisini Apple'ın iOS'unda çalıştırmanın tek yolu hapse atmaktı. Bu artık öyle değil:

https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8

Genel olarak, durum iyileşiyor. Bununla birlikte, Cisco & Juniper gibi üreticilerin ürünlerinde uyguladıkları sürece, birlikte çalışabilirlik problemleriyle karşılaşmadan büyük işletmelerin onu benimsediklerini göremiyorum.

Mark Kamichoff
kaynak
Mikrotik OpenVPN içindedir (ve şimdi ise bir için olmuştur) pfSense sıra itibariyle pfsense.org (Ben belki CLI yoluyla, onunla sitesi siteye tüneller oluşturabilir inanmıyorum rağmen?
jwbensley
Onların bir OpenVPN IOS uygulaması olduğunu bilmiyordum, yay!
zevlag
6

IPSEC standarttır. Hemen hemen her ağ satıcısı bunu desteklemektedir. OpenVPN'li yönlendiriciler arasında aynı düzeyde birlikte çalışabilirlik seviyesine ulaşamazsınız.

David'in dediği gibi, bir müşteri VPN çözümü için OpenVPN'de hiçbir şey yanlış değildir. Siteden siteye VPN veya altyapı çözümleri için IPSEC VPN'i seçerdim.

sergejv
kaynak
5

Dezavantajlardan biri, şirket ortamında bazı yöneticilerin açık kaynaklı yazılımlara güvenmekten hoşlanmadıklarıdır.

Bir kullanıcı VPN çözümü için OpenVPN'de şahsen yanlış bir şey göremiyorum.

IPSEC, donanıma (veya IPSEC'in şifreleme unsuruna) uygulanabilir ve bu nedenle VPN üzerinden çok fazla veri çekmek istediğinizde ve son kullanıcı istasyonlarında CPU gücünden ödün vermek istemediğiniz zaman kullanışlıdır.

David Rothera
kaynak
Tamamen donanım içinde IPsec çözümleri vardır. Ancak bunlar a) pahalıdır ve b) neredeyse her zaman pencereler (sunucu) tescillidir. (kripto NIC [havyar] ile aynı hizada, ya da doğrudan kulağa [intel] yerleştirilmiş)
Ricky Beam
Donanımda kripto yapan ASA'ların beğenilerini daha çok kastediyordum.
David Rothera
Bunu yapan bir NIC düşünüyordum. Bir çok yönlendirici / güvenlik duvarı donanımı bugünlerde kripto yongalarına sahiptir. (Anahtar yönlendirme çok pahalı bir parçadır, 'çoğu yönlendiricide kullanılan anemik işlemciler de trafik için ihtiyaç duyarlar)
Ricky Beam
Donanım noktasındaki IPSEC'in IPSEC için büyük bir artı olduğunu düşünüyorum. OpenVPN eskiden (ve hala öyle olduğuna inanıyorum, ancak hiçbir şekilde kesin bir dokümantasyon bulamıyorum) tek iş parçacıklı. Ticari bir VPN şirketinin başlangıçta araştırılmasına yardım ederek, OpenVPN yeterince hızlı olamayacağı için terk edildi. Bazı bilgiler için bu ServerFault cevabına bakınız (eşzamanlı bağlantılar hakkında daha fazla bilgi); serverfault.com/questions/439848/… Hız sizin için önemli olmayabilir, 100Mbps VPNS satmaya bakıyorduk.
jwbensley
1

  • OpenVPN daha güvenli bir uygulamaya sahiptir (Userpace vs Kernel).

  • Güvenlik duvarları ve NAT ile daha iyi çalışır (NAT-T'nin sağlanmasına gerek yoktur) ve filtrelenmesi zordur.

  • IPsec'ten çok daha az karmaşık

hyussuf
kaynak
3
Sorgu
Kullanıcı alanı doğal olarak çekirdek alandan daha güvenli değildir ve güvenlik en iyi şekilde incelenip test edilerek belirlenir - bunlardan biri bir neden için standartlaştırılmıştır.
mikebabcock
2
Aslında öyle. VPN'i kullanıcı alanında uygulamak, sistem açısından, çekirdekten daha güvenlidir. Daha fazla ayrıntı için SSL tabanlı VPNS hakkındaki SANS makalesine bakın sans.org/reading_room/whitepapers/vpns/…
hyussuf
Bu cevap asıl gönderildiği için işler biraz gelişti; Özellikle, 2014'teki Heartbleed güvenlik açığı maalesef OpenSSL'deki tüm güvenlik açığı OpenVPN'in tamamını nasıl etkileyebileceğini bize hatırlattı. Ayrıca, kullanıcı alanında çalışmanın, VPN yazılımlarının son derece hassas içerikle temasta bulunma ihtimalinin çok yüksek olduğu ve genellikle VPN'nin makinesi ve / veya diğer makinelerde kök ayrıcalık edinme yolunu takip ettiği göz önüne alındığında, saldırıları daha az kritik hale getirmediğini gösterdi. etrafında. Sonunda, çoğu kurumsal güvenlik duvarı çözümü şimdi OpenVPN'i Deep Packet Inspection ile
engelliyor
1

OpenVPN, FIPS 140-2 desteği gibi bazı düzenleyici sertifikalara sahip değildir.

AWH
kaynak
1
Aslında OpenVPN'de FIPS 140-2 desteği var ... sertifikalı bir şekilde OpenSPN'e sertifikalı bir openssl yapısı ve yamaları vardı. Bunu tam olarak yapıyoruz.
Jeff McAdams
1

OpenVPN'in tek dezavantajı gördüğüm tek şey rakipleriyle karşılaştırıldığında sistemin VPN bağlantılarında çok fazla gecikme sağlaması . Güncelleme: Bunun genel olarak OpenVPN'de değil, sadece testlerimde bir hata olduğunu gördüm. OpenVPN, TCP protokolünde çalıştırıldığında, genel giderler OpenVPN'i biraz daha yavaşlatır. L2TP, birlikte çalışabilirlik için sabit bağlantı noktaları ve protokoller kullanır ve bu nedenle TCP'de çalıştırma özelliği yoktur. UDP'deki Openvpn, diğer birçok kullanıcı için daha hızlı görünüyor.

PPTP / L2TP / Ipsec'i kullanırken tek avantaj, ek bir istemci tarafı yazılımı yüklemeden bir Windows makinesinde veya iPhone'da kurulum yapmayı daha kolay bulduğumdur. YMMV.

Bu sayfayı okumak isteyebilirsin

Surajram Kumaravel
kaynak
1
Çalıştığım yerde OpenVPN'i çok kullanıyoruz ve bu nedenle ek gecikme endişelerinin farkında değiliz. Bunun doğasını açıklayabilir misiniz?
Jeff McAdams
Uzak iş istasyonlarında yazılım telefonu kullanırken VoIP sunucumla olan bağlantıyı şifrelemeye çalışırken OpenVPN, L2TP ve PPTP'yi test ettim. OpenVPN'in en fazla gecikme süresini tanıdığını ve en hızlı PPTP olduğunu gördüm. Sonunda L2TP ile gittim. Gecikme sorunları yalnızca birkaç zayıf 3G ağında ortaya çıktı, ancak aynı ağlarda bile L2TP iyi çalışıyor gibi görünüyordu.
Surajram Kumaravel
Okuma ivpn.net/pptp-vs-l2tp-vs-openvpn beni bu benim kurulum ile, belirli bir sorun değil, genel bir sorun olduğunu düşündürüyor. Bunu fark etmeme yardım ettiğin için teşekkürler Jeff!
Surajram Kumaravel
1

Hemen hemen her seferinde IPSec'i tercih ederim çünkü buna aşinayım ve sadece işe yarıyor. Standartlara dayalı olan telefonlar ve tabletlerden Windows ve Linux makinelere kadar hemen hemen her şey tarafından desteklenir ve NAT desteği ve ölü eş tespiti gibi faydalı özelliklere sahiptir.

Bilginize Linux üzerinde öncelikle Openswan kullanıyorum.

IPSec'i tercih etmemizin ana güvenlik nedenlerinden biri oturum anahtarlarını döndürmektir. OpenVPN bunu uygulamış olabilir (ama göremiyorum). Bu, uzun süre veriyi pasif olarak yakalayan bir saldırganın tüm iletişim günlüğünü kaba bir şekilde zorlayamayacağı, ancak her bir oturum anahtarının değerinde olduğu anlamına gelir.

mikebabcock
kaynak
Aynı şekilde OpenVPN de NAT üzerinden çalışıyor ve PC, telefon ve masalarda destekleniyor (Windows, Mac OS X, Linux, BSD, Android, iOS vb.).
jwbensley
Dahili destek demek istedim, belki de açıkça belli değil javano
mikebabcock
OpenVPN'i hiç kullanmadığınızı varsayacağım. OpenVPN ve IPsec'i kullanan hiç kimse IPsec'i seçmeyecektir çünkü "her zaman işe yarar". OpenVPN'in en büyük avantajları arasında, büyük ölçüde azaltılmış karmaşıklık ve sorun giderme kolaylığı bulunuyor. Bunu birkaç yıl önce yüzlerce uzak Linux cihazını (müşteri sitelerinde yaşayan) IPsec'ten OpenVPN'e dönüştüren biri olarak gördüm. IPsec, yalnızca IPsec'i destekleyen yönetme / kontrol etmediğiniz bir şeye bağlanmak zorunda olduğunuzda iyidir. OpenVPN hemen hemen her durumda daha iyi bir seçimdir.
Christopher Cashell
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.