Was sind die Nachteile von OpenVPN?

29

Ich habe so viele Leute gesehen, die immer mit IPSec und vielen anderen sicheren VPN-Technologien gerungen haben. Ich habe OpenVPN immer einfach verwendet, mit schönen, einfachen und vielseitigen Ergebnissen. Ich habe es auf DD-WRT-Routern, großen Servern und Android-Handys verwendet, um nur einige zu nennen.

Könnte mir bitte jemand erklären, was mir entgeht? Gibt es Nachteile von OpenVPN, die mir nicht bekannt sind? Bietet IPSec und seine Freunde eine großartige Funktion, von der ich nichts wusste? Warum nutzt nicht jeder OpenVPN?

vpn ipsec user1056
quelle

Antworten:

20

Meiner Meinung nach ist der größte Nachteil von OpenVPN, dass es nicht mit der überwiegenden Mehrheit der Produkte von "großen Namen" -Netzwerkanbietern kompatibel ist. Die Sicherheits- und Routerprodukte von Cisco & Juniper unterstützen dies nicht - sie unterstützen nur IPsec- und proprietäre SSL-VPNs. Palo Alto, Fortinet, Check Point usw. unterstützen dies ebenfalls nicht. Wenn Ihre Organisation / Ihr Unternehmen ein Standort-zu-Standort-Extranet-VPN für ein anderes Unternehmen einrichten möchte und Sie nur eine OpenVPN-Appliance haben, haben Sie wahrscheinlich Pech.

Allerdings beginnen einige Unternehmen der Netzwerkhardware und -software, OpenVPN zu nutzen. MikroTik ist einer von ihnen. Es wird seit RouterOS 3.x unterstützt:

http://wiki.mikrotik.com/wiki/OpenVPN

Außerdem war für die längste Zeit, in der ein OpenVPN-Client auf Apples iOS ausgeführt werden konnte, ein Jailbreak erforderlich. Dies ist nicht mehr so:

https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8

Insgesamt verbessert sich die Situation. Ohne Anbieter wie Cisco & Juniper, die es in ihren Produkten implementieren, sehe ich jedoch keine großen Unternehmen, die es ohne Interoperabilitätsprobleme einsetzen.

Mark Kamichoff
quelle
Ebenso wie Mikrotik ist OpenVPN in pfSense pfsense.org (obwohl ich nicht glaube, dass Sie damit Site-to-Site-Tunnel erstellen können, vielleicht über die CLI?
jwbensley
Ich wusste nicht, dass es sich um eine OpenVPN IOS-App handelt.
zevlag
6

IPSEC ist Standard. Fast jeder Netzwerkanbieter unterstützt dies. Mit OpenVPN können Sie nicht den gleichen Grad an Interoperabilität zwischen Routern erreichen.

Wie David sagte, ist bei OpenVPN für eine Client-VPN-Lösung nichts falsch. Für Standort-zu-Standort-VPNs oder Infrastrukturlösungen würde ich IPSEC VPN auswählen.

sergejv
quelle
5

Einer der Nachteile ist, dass sich manche Manager in einem Unternehmensumfeld nicht gerne auf Open-Source-Software verlassen.

Ich persönlich sehe bei OpenVPN für eine Benutzer-VPN-Lösung nichts Falsches.

IPSEC kann in Hardware (oder vielmehr das Verschlüsselungselement von IPSEC) implementiert werden. Dies ist nützlich, wenn Sie viele Daten über ein VPN übertragen und die CPU-Leistung der Endbenutzerstationen nicht beeinträchtigen möchten.

David Rothera
quelle
Es gibt vollständig in der Hardware integrierte IPSec-Lösungen. Sie sind jedoch a) teuer und b) fast immer Windows (Server) -eigen. (Krypto in Übereinstimmung mit der NIC [Cavium] oder direkt in die NIC [Intel] eingebaut)
Ricky Beam
Ich bezog mich eher auf ASAs, die Kryptografie in Hardware betreiben.
David Rothera
Ich habe mir eine Netzwerkkarte überlegt, die das macht. Viele Router / Firewall-Hardware verfügen heutzutage über Krypto-Chips. (Key Steup ist der sehr teure Teil, obwohl die in den meisten Routern verwendeten anämischen Prozessoren ihn auch für den Datenverkehr benötigen)
Ricky Beam
Ich denke, die IPSEC in Hardware Punkt ist ein riesiges Plus für IPSEC. OpenVPN war früher (und ich glaube es ist noch immer so, aber ich kann keine definitive Dokumentation finden) Single-Threaded. Da OpenVPN nicht schnell genug sein würde, wurde es bei der ersten Untersuchung eines kommerziellen VPN-Unternehmens, das gestartet wurde, aufgegeben. In dieser ServerFault-Antwort finden Sie einige Informationen (mehr zu gleichzeitigen Verbindungen). serverfault.com/questions/439848/… Geschwindigkeit ist für Sie möglicherweise nicht so wichtig. Wir haben versucht, VPNS mit 100 Mbit / s zu verkaufen.
Jwbensley
1

  • OpenVPN ist sicherer implementiert (Userspace vs Kernel).

  • Es funktioniert besser mit Firewalls und NAT (NAT-T muss nicht sichergestellt werden) und ist schwer zu filtern.

  • Es ist viel weniger kompliziert als IPsec

hyussuf
quelle
3
Die Suche fragt nach den Nachteilen von OpenVPN ...
Tegbains
Der Benutzerraum ist von Natur aus nicht sicherer als der Kernelraum, und die Sicherheit wird am besten durch Überprüfen und Testen entschieden - einer ist aus einem bestimmten Grund standardisiert.
Mikebabcock
2
Eigentlich ist es so. Das Implementieren von VPN im User-Space ist aus Systemsicht sicherer als im Kernel. Weitere Informationen finden Sie in diesem SANS-Artikel über SSL-basiertes VPNS sans.org/reading_room/whitepapers/vpns/…
hyussuf
Die Dinge haben sich etwas weiterentwickelt, seit diese Antwort ursprünglich veröffentlicht wurde. Insbesondere die Heartbleed-Sicherheitslücke im Jahr 2014 hat uns leider alle daran erinnert, wie tiefgreifend Sicherheitslücken in OpenSSL das gesamte OpenVPN betreffen können. Es wurde auch gezeigt, dass das Ausführen im Benutzerbereich Angriffe nicht weniger kritisch macht, da VPN-Software mit sehr hoher Wahrscheinlichkeit mit hochsensiblen Inhalten in Kontakt steht und häufig den Pfad verfolgt, um Root-Rechte auf dem VPN-Computer und / oder anderen Computern zu erlangen um. Schließlich blockieren die meisten Firewall-Lösungen von Unternehmen OpenVPN durch Deep Packet Inspection…
jwatkins
1

OpenVPN verfügt nicht über bestimmte behördliche Zertifizierungen, z. B. die Unterstützung von FIPS 140-2.

awh
quelle
1
Mit OpenVPN ist tatsächlich FIPS 140-2-Unterstützung möglich. Es gab einen zertifizierten Build von OpenVPN mit OpenSL und Patches, um es auf zertifizierte Weise zu verwenden. Genau das tun wir.
Jeff McAdams
1

Der einzige technische Nachteil von OpenVPN ist, dass das System im Vergleich zu seinen Konkurrenten eine hohe Latenz in die VPN-Verbindungen einführt . Update: Ich habe festgestellt, dass dies nicht generell ein Fehler bei OpenVPN ist, sondern nur bei meinen Tests. Wenn OpenVPN mit dem TCP-Protokoll ausgeführt wird, wird OpenVPN durch den TCP-Overhead etwas langsamer. L2TP verwendet feste Ports und Protokolle für die Interoperabilität. Daher gibt es keine Funktion, um es unter TCP auszuführen. Openvpn auf UDP scheint für viele andere Benutzer schneller zu sein.

Der einzige weitere Vorteil bei der Verwendung von PPTP / L2TP / Ipsec ist, dass ich es einfacher gefunden habe, es auf einem Windows-Computer oder einem iPhone einzurichten, ohne zusätzliche clientseitige Software zu installieren. YMMV.

Vielleicht möchten Sie diese Seite lesen

Surajram Kumaravel
quelle
1
Wo ich arbeite, verwenden wir OpenVPN ziemlich oft und sind uns der zusätzlichen Bedenken hinsichtlich der Latenz nicht bewusst. Können Sie das näher erläutern?
Jeff McAdams
Ich habe OpenVPN, L2TP und PPTP getestet, als ich versuchte, eine Verbindung zu meinem VoIP-Server zu verschlüsseln, während ich Softphones auf Remote-Workstations verwendete. Ich fand, dass OpenVPN die höchste Latenz einführte und PPTP die schnellste. Irgendwann bin ich mit L2TP gefahren. Die Latenzprobleme traten nur in wenigen schlechten 3G-Netzen auf, aber selbst in denselben Netzen schien L2TP einwandfrei zu funktionieren.
Surajram Kumaravel
Lesen ivpn.net/pptp-vs-l2tp-vs-openvpn macht ich denke , das ist ein spezifisches Problem mit meinem Setup war und keine generelles Problem. Danke, dass du mir geholfen hast, diesen Jeff zu erkennen!
Surajram Kumaravel
1

Ich bevorzuge IPSec fast immer, weil ich damit vertraut bin und es einfach immer funktioniert. Da es auf Standards basiert, wird es von nahezu allen Geräten unterstützt, von Telefonen und Tablets bis hin zu Windows- und Linux-Computern, und es verfügt über nützliche Funktionen wie NAT-Unterstützung und Dead Peer Detection.

Zu meiner Information benutze ich hauptsächlich Openswan unter Linux.

Einer der wichtigsten Sicherheitsgründe, die wir für IPSec bevorzugen, ist das Drehen von Sitzungsschlüsseln. OpenVPN hat dies möglicherweise implementiert (aber ich sehe es nicht). Dies bedeutet, dass ein Angreifer, der Daten langfristig passiv erfasst, nicht das gesamte Kommunikationsprotokoll auf einmal brachial erzwingen kann, sondern nur den Wert jedes einzelnen Sitzungsschlüssels.

Mikebabcock
quelle
Zum Vergleich: OpenVPN funktioniert auch über NAT und wird auf PCs, Telefonen und Tabellen (Windows, Mac OS X, Linux, BSD, Android, iOS usw.) unterstützt.
Jwbensley
Ich meinte eingebaute Unterstützung, vielleicht nicht offensichtlich @javano
mikebabcock
Ich gehe davon aus, dass Sie noch nie OpenVPN verwendet haben. Niemand, der OpenVPN und IPsec verwendet hat, wird IPsec wählen, weil es "einfach immer funktioniert". Zu den größten Vorteilen von OpenVPN gehören die drastisch reduzierte Komplexität und die einfache Fehlerbehebung. Ich habe dies als jemanden gesehen, der vor einigen Jahren Hunderte von Remote-Linux-Appliances (die bei Kunden ansässig sind) von IPsec auf OpenVPN umgestellt hat. IPsec ist gut, wenn Sie eine Verbindung zu etwas herstellen müssen, das Sie nicht verwalten / steuern und das nur IPsec unterstützt. In fast allen anderen Fällen ist OpenVPN die bessere Wahl.
Christopher Cashell
0

OpenVPN verfügt über ein Spoke-Layout, sodass die gesamte Kommunikation über den Hauptserver geleitet werden muss. Tinc-VPN kann zwischen verschiedenen Standorten routen. Sie können diesen Blog lesen: http://www.allsundry.com/2011/04/10/tinc-better-than-openvpn/

Pokerface
quelle