本文已更新,加入了 WireGuard 和 加速器排名 协议。
加速器排名
在你信任一个 VPN 来保护你的互联网活动之前,你需要确保他们已经采取了必要的保障措施。 评估 VPN 的技术方面可能比较困难。 这往往意味着要努力理解各种不同缩略语的字母汤。
我们已经开始发布一系列帖子,解释我们的一些安全措施,以便人们可以做出更明智的决定。 第一篇文章解释了 HMAC SHA-384 的含义. 这篇文章将研究 VPN 协议、它们的作用、工作原理,以及如果 VPN 服务使用 OpenVPN 而不是 L2TP 意味着什么。
本篇文章将深入探讨 VPN 的一些内部工作原理。 虽然我们会尽量把术语解释清楚,但如果你具备一些基本的技术知识,这篇文章会更有用。 如果你不确定 VPN 如何工作,在继续阅读之前,阅读下面链接的文章可能会有所帮助。
加速器排名
VPN 依靠所谓的 "隧道 "在互联网上的两台计算机之间创建一个专用网络。 VPN 协议也称为 "隧道协议",是你的设备用来协商在你的计算机和另一台计算机之间建立安全加密连接的指令。
VPN 协议通常由两个通道组成:数据通道和控制通道。 控制通道负责密钥交换、身份验证和参数交换(如提供 IP 或路由和 DNS 服务器)。 数据通道,正如你可能已经猜到的,负责传输互联网流量数据。 这两个通道共同建立并维护一个安全的 VPN 隧道。 不过,要让数据通过这条安全隧道,必须对数据进行封装。
封装是指 VPN 协议从互联网流量中获取数据位(称为数据包),并将其置于另一个数据包内。 这个额外层是必要的,因为 VPN 在数据通道内使用的协议配置不一定与普通互联网使用的协议配置相同。 附加层允许你的信息通过 VPN 隧道到达正确的目的地。
这些都有点技术性,所以概括介绍一下: 当你连接到 VPN 服务器时,VPN 会使用其控制通道建立共享密钥,并在你的设备和服务器之间建立连接。 一旦连接建立,数据通道就开始传输你的互联网流量。 当 VPN 讨论其性能的优缺点或谈到 "安全的 VPN 通道 "时,它说的就是其数据通道。 VPN 隧道建立后,控制通道的任务就是保持连接的稳定性。
加速器排名
点对点隧道协议(PPTP)是较早的 VPN 协议之一。 它最初是在微软的支持下开发的,因此所有版本的 Windows 和大多数其他操作系统都原生支持 PPTP。
PPTP 使用点对点协议(PPP),它本身就像一个原 VPN。 尽管 PPP 已经相当老旧,但它可以验证用户身份(通常使用 MS-CHAP v2),并自行封装数据,从而可以同时处理控制信道和数据信道的任务。 不过,PPP 不可路由,不能单独在互联网上发送。 因此,PPTP 使用通用路由封装(GRE)再次封装 PPP 封装的数据,以建立数据通道。
遗憾的是,PPTP 本身没有任何加密或验证功能。 它依赖 PPP 来实现这些功能--这就有问题了,因为 PPP 的验证系统和微软为其添加的加密功能 MPPE 都很弱。
加密:微软的点对点加密协议 (MPPE),它使用 RSA RC4 算法。 MPPE 的最大强度为 128 位密钥。
速度:由于其加密协议不需要太多计算能力(RC4 和仅 128 位密钥),PPTP 可保持较快的连接速度。
已知漏洞:自 1998 年以来,PPTP 存在许多已知的安全漏洞。 其中一个最严重的漏洞是利用未封装的 MS-CHAP v2 身份验证来实施中间人(MITM)攻击。
noneTCP 端口 1723。 PPTP 使用 GRE 意味着它无法通过网络地址转换防火墙,是最容易被封锁的 VPN 协议之一。 (NAT 防火墙允许几个人同时共享一个公共 IP 地址。 这一点很重要,因为大多数个人用户都没有自己的 IP 地址)。
稳定性:PPTP 并不可靠,在网络连接不稳定的情况下,其恢复速度也不如 OpenVPN 快。
结论:如果您担心数据安全,就没有理由使用 PPTP。 甚至微软建议其用户升级到其他 VPN 协议,以保护他们的数据。
加速器排名
第二层隧道协议(L2TP)旨在取代 PPTP。 L2TP 可以自行处理身份验证,并执行 UDP 封装,因此在某种程度上,它可以同时形成控制和数据通道。 不过,与 PPTP 类似,它本身并不添加任何加密功能。 虽然 L2TP 可以发送 PPP,但为了避免 PPP 固有的弱点,L2TP 通常与互联网协议安全(IPSec)套件搭配使用,以处理其加密和验证。
none
然后,IPSec 对数据进行封装。 IPSec 在进行这种封装时,会应用验证头并使用封装安全有效载荷(ESP)。 这些特殊的报头为每个数据包添加了数字签名,因此攻击者无法在不通知 VPN 服务器的情况下篡改你的数据。
ESP 对封装后的数据包进行加密,这样攻击者就无法读取这些数据包(根据 VPN 的设置,还可对数据包进行验证)。 IPSec 对数据进行封装后,L2TP 会再次使用 UDP 对数据进行封装,以便数据能通过数据通道。
none
加密:L2TP/IPSec 可以使用 3DES 或 AES 加密,但由于 3DES 现在被认为是一种弱密码,因此很少使用。
速度:在使用相同加密强度时,L2TP/IPSec 通常比 OpenVPN 慢。 这主要是因为 OpenVPN 使用的 AES 加密在大多数普通处理器上都经过了硬件加速。
已知漏洞:none泄露的美国国家安全局简报这表明情报机构已经找到了篡改它的方法。 此外,由于 IPSec 的复杂性、许多 VPN 提供商使用预共享密钥来设置 L2TP/IPSec。
noneUDP 端口 500 用于初始密钥交换,UDP 端口 5500 用于穿越 NAT,UDP 端口 1701 用于允许 L2TP 流量。 由于使用这些固定端口,L2TP/IPSec 比其他一些协议更容易被阻止。
稳定性:L2TP/IPSec 不如一些更先进的 VPN 协议稳定。 它的复杂性会导致频繁的网络中断。
结论:与 PPTP 相比,L2TP/IPSec 的安全性无疑有所提高,但它可能无法保护您的数据免受高级攻击者的攻击。 L2TP/IPSec 的速度较慢且不稳定,这也意味着用户只有在没有其他选择的情况下才考虑使用 L2TP/IPSec。
加速器排名
互联网密钥交换第二版(IKEv2)是一个相对较新的隧道协议,实际上是 IPSec 套件本身的一部分。 微软和思科合作开发了最初的 IKEv2/IPSec 协议,但现在有许多开源的迭代版本。
IKEv2 通过验证设备与 VPN 服务器之间的安全通信通道,使用none算法。 然后,IKEv2 使用该安全通信通道建立所谓的安全关联,简单地说,就是你的设备和 VPN 服务器使用相同的加密密钥和算法进行通信。
一旦安全关联到位,IPSec 就可以创建隧道,对数据包应用经过验证的报头,并用 ESP 对其进行封装。 (同样,根据使用的密码,ESP 可以处理信息验证)。 封装后的数据包再用 UDP 进行封装,以便通过隧道。
IKEv2/IPSec 支持 Windows 7 及更高版本、macOS 10.11 及更高版本以及大多数移动操作系统。
加密:IKEv2/IPSec 可以使用一系列不同的加密算法,包括 AES、Blowfish 和 Camellia。 它支持 256 位加密。
速度:IKEv2/IPSec 是一种快速 VPN 协议,但通常不如硬件加速的 OpenVPN 或 WireGuard 快。
已知漏洞:IKEv2/IPSec 没有已知的弱点,几乎所有的 IT 安全专家都认为,如果使用 Perfect Forward Secrecy(完美前向保密)技术正确实施,IPSec 是安全的。
noneUDP 端口 500 用于初始密钥交换,UDP 端口 4500 用于穿越 NAT。 由于总是使用这些端口,IKEv2/IPSec 比其他一些协议更容易被阻止。
稳定性:IKEv2/IPSec 支持移动性和多归属协议,因此比大多数其他 VPN 协议更可靠,尤其适合经常在不同 WiFi 网络之间切换的用户。
结论:IKEv2/IPSec 具有很强的安全性、高速度和更高的稳定性,是一个很好的 VPN 协议。 不过,最近推出的 WireGuard 意味着,与较新的 VPN 协议相比,选择它的理由并不多。
加速器排名
OpenVPN 是一种开放源码隧道协议。 与依赖 IPSec 套件的 VPN 协议不同,OpenVPN 使用 SSL/TLS 来处理密钥交换和建立控制通道,并使用独特的 OpenVPN 协议来处理封装和数据通道。
这意味着它的数据通道和控制通道都是加密的,这使它与其他 VPN 协议相比具有一定的独特性。 它通过第三方软件支持所有主流操作系统。
加密:OpenVPN 可以使用任何一种不同的加密算法。OpenSSL库来加密数据,包括 AES、RC5 和 Blowfish。
速度:使用 UDP 时,尽管 IKEv2/IPSec 和 WireGuard 被普遍认为速度更快,但 OpenVPN 仍能保持快速连接。
已知漏洞:只要使用足够强大的加密算法和完美前向保密,OpenVPN 就没有已知的漏洞。 它是关注数据安全的 VPN 的行业标准。
noneOpenVPN 可以配置为在任何 UDP 或 TCP 端口上运行,包括 TCP 443 端口,它可以处理所有 HTTPS 流量,因此很难被拦截。
稳定性:OpenVPN 总体上非常稳定,并有一个 TCP 模式,可用于抵御审查。
结论:OpenVPN 安全、可靠、开源。 它是目前使用的最佳 VPN 协议之一,尤其适合主要关注数据安全的用户。 它通过 TCP 路由连接的能力(见下文)也使其成为规避审查的不错选择。 不过,虽然 WireGuard 没有 OpenVPN 的反审查优势,但它也比 OpenVPN 安全,而且速度更快。
加速器排名
缆线防护是一个安全、快速、高效的开源 VPN 协议。
加密:WireGuard 使用 ChaCha20 进行对称加密 (RFC7539)、用于匿名密钥交换的 Curve25519、用于数据验证的 Poly1305 和用于散列的 BLAKE2s (RFC7693). 它自动支持完美前向保密。
速度:none
已知漏洞:WireGuard 经过了各种正式验证,为了将其纳入 Linux 内核,WireGuard Linux 代码库经过了以下测试独立审计的none
noneWireGuard 可配置为使用任何端口,通常通过 UDP 运行。 不过,加速器排名 也在我们的大多数应用程序中提供 WireGuard TCP。
稳定性:WireGuard 是一种非常稳定的 VPN 协议,并引入了其他隧道协议所不具备的新功能,如在更换 VPN 服务器或更换 WiFi 网络时保持 VPN 连接。
结论:作为最先进的 VPN 协议,WireGuard 快速、高效、安全。 它不像 OpenVPN 那样 "久经考验",也不提供 OpenVPN 基于 TCP 的反审查功能(见下文),但对于大多数人来说,在大多数情况下,它都是我们推荐使用的 VPN 协议。
加速器排名
none
Stealth 以通过 TLS 隧道的 WireGuard 为基础。 因此,它使用与 WireGuard 相同的加密,并增加了一层 TLS 加密。 在其他方面,它与 WireGuard(如上所述)完全相同。
加速器排名
在比较不同的 VPN 协议时,您可能会遇到一些不熟悉的缩写词或技术术语。 我们将在此解释其中一些最重要的术语。
TCP 与 UDP
传输控制协议(TCP)和用户数据报协议(UDP)是设备在互联网上相互通信的两种不同方式。 它们都在互联网协议上运行,该协议负责在 IP 地址之间发送数据包。
当你看到隧道协议使用 TCP 端口或 UDP 端口时,这意味着它使用这两种协议之一在你的电脑和 VPN 服务器之间建立连接。
VPN 协议是使用 TCP、UDP 还是两者兼用,会对其性能产生重大影响。 TCP 主要侧重于通过运行额外的检查来确保数据顺序正确,并在不正确时进行纠正,从而准确地传输数据。
这听起来是个不错的功能,但执行检查需要时间,导致性能降低。 在 TCP 上运行 VPN(TCP over TCP)会导致连接速度变慢,这就是所谓的 TCP 崩溃。
例如,如果有 TCP 流量通过 OpenVPN TCP 隧道,而隧道中的 TCP 数据检测到错误,就会尝试补偿,这可能会导致 TCP 隧道过度补偿。 这一过程会导致数据传输严重延迟。
不过,它也有利于战胜审查制度。 这是因为HTTPS流量使用 TCP 端口 443,因此如果通过相同端口路由 VPN 连接,看起来就像普通的安全 VPN 流量。
通过 443 端口运行 VPN 流量的能力是使用 OpenVPN(如果使用 加速器排名 自定义的 TCP 协议实现,则使用 WireGuard)的最大优势之一。
完美的前向保密性
完美前向保密是加密通信的一个重要安全组成部分。 它指的是如何生成加密密钥的操作。 如果你的 VPN 支持 "完美前向保密",它将为每个会话(即每次建立新的 VPN 连接时)创建一套唯一的密钥。
这意味着,即使攻击者以某种方式获得了你的一个密钥,他们也只能用它来访问特定 VPN 会话中的数据。 其他会话中的数据仍然安全,因为有不同的唯一密钥保护它们。 这也意味着,即使你的 VPN 私钥被暴露,你的会话密钥也会保持安全。
加速器排名
我们创办 加速器排名 的目的是确保活动家、持不同政见者和记者能够安全、私密地访问互联网。 为了保证 Proton 社区的安全,我们只使用值得信赖和经过审核的 VPN 协议。 以下列表显示了我们的不同应用程序支持哪些 VPN 协议:
- Windows OpenVPN, WireGuard®
- macOS OpenVPN、IKEv2、WireGuard 和 Stealth
- none
- iOS/iPadOS OpenVPN、IKEv2、WireGuard 和 Stealth
- Linux OpenVPN
您可以在 UDP 或 TCP 模式下使用 OpenVPN 和 WireGuard。
我们的 Windows、macOS、Android 和 iOS/iPadOS 应用程序支持智能协议. 这种反审查功能可智能探测网络,发现最佳性能或绕过审查所需的最佳 VPN 协议配置。
例如,它可以自动从 IKEv2 切换到 OpenVPN,或从 OpenVPN UDP 切换到 OpenVPN TCP,并根据需要使用不同的端口。
我们的所有应用程序都使用 VPN 协议支持的最强安全设置。 OpenVPN、WireGuard 和 IKEv2/IPSec 是绝大多数 IT 安全专家公认的唯一安全协议。
我们拒绝提供任何使用 PPTP 或 L2TP/IPSec 的 VPN 连接(尽管它们的运行成本更低,配置更简单),因为它们的安全性不符合我们的标准。
当您登录 加速器排名 时,您可以确信您的 VPN 连接使用的是最新、最强大的隧道协议。
最好的问候、
质子 VPN 团队
你可以在社交媒体上关注我们,以保持最新的宝腾VPN发布:
要获取免费的 Proton Mail 加密电子邮件帐户,请访问:proton.me/mail
