Apa kelemahan OpenVPN?

29

Saya telah melihat begitu banyak orang yang selalu bergulat dengan IPSec, dan banyak teknologi VPN aman lainnya. Saya, untuk satu, selalu hanya menggunakan OpenVPN, dengan hasil yang indah dan sederhana dan serbaguna. Saya sudah menggunakannya pada router DD-WRT, server besar dan ponsel android, untuk beberapa nama.

Bisakah seseorang tolong jelaskan kepada saya apa yang saya lewatkan? Apakah ada kelemahan pada OpenVPN yang tidak saya sadari? Apakah IPSec dan teman-teman menawarkan beberapa fitur luar biasa yang tidak saya ketahui? Mengapa tidak semua orang menggunakan OpenVPN?

vpn ipsec pengguna1056
sumber

Jawaban:

20

IMHO, kerugian terbesar bagi OpenVPN adalah tidak dapat dioperasikan dengan sebagian besar produk dari vendor jaringan "nama besar" di luar sana. Keamanan dan produk router Cisco & Juniper tidak mendukungnya - mereka hanya mendukung IPsec dan SSL VPN. Palo Alto, Fortinet, Check Point, dll. Tidak mendukungnya. Jadi, jika organisasi / perusahaan Anda ingin mengatur VPN ekstranet situs-ke-situs ke perusahaan lain dan Anda hanya punya alat OpenVPN, Anda mungkin akan kurang beruntung.

Yang sedang berkata, beberapa perusahaan perangkat keras & lunak jaringan mulai merangkul OpenVPN. MikroTik adalah salah satunya. Sudah didukung sejak RouterOS 3.x:

http://wiki.mikrotik.com/wiki/OpenVPN

Juga, untuk waktu yang paling lama satu-satunya cara untuk menjalankan klien OpenVPN di iOS Apple diperlukan jailbreaking. Ini tidak lagi, lagi:

https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8

Secara keseluruhan, situasinya membaik. Namun, tanpa vendor seperti Cisco & Juniper menerapkannya dalam produk mereka, saya tidak bisa melihat perusahaan besar mengadopsinya tanpa menghadapi masalah interoperabilitas.

Mark Kamichoff
sumber
Serta Mikrotik OpenVPN berada di (dan telah ada untuk sementara waktu sekarang) pfSense pfsense.org (Meskipun saya tidak percaya Anda dapat membuat terowongan situs-ke-situs dengan itu, mungkin melalui CLI?
jwbensley
Saya tidak tahu mereka adalah aplikasi OpenVPN IOS, yay!
zevlag
6

IPSEC adalah standar. Hampir setiap vendor jaringan mendukungnya. Anda tidak dapat mencapai tingkat interoperabilitas yang sama antara router dengan OpenVPN.

Seperti yang dikatakan David, tidak ada yang salah dengan OpenVPN untuk solusi VPN klien. Untuk solusi VPN ke situs atau infrastruktur, saya akan memilih IPSEC VPN.

sergejv
sumber
5

Salah satu kelemahannya adalah bahwa dalam lingkungan perusahaan beberapa manajer tidak suka bergantung pada perangkat lunak open source.

Saya pribadi tidak melihat ada yang salah dengan OpenVPN untuk solusi VPN pengguna.

IPSEC dapat diimplementasikan dalam perangkat keras (atau lebih tepatnya elemen enkripsi IPSEC) dan sangat berguna ketika Anda ingin mendorong banyak data melalui VPN dan tidak ingin mengorbankan daya CPU pada stasiun pengguna akhir.

David Rothera
sumber
Ada solusi IPsec sepenuhnya dalam perangkat keras. Namun mereka a) mahal, dan b) hampir selalu milik windows (server). (Crypto sejalan dengan NIC [kavium], atau dibangun langsung ke nic [intel])
Ricky Beam
Saya merujuk lebih ke orang-orang seperti ASA yang melakukan crypto di perangkat keras.
David Rothera
Saya sedang memikirkan NIC yang melakukannya. Banyak router / perangkat keras firewall memiliki chip crypto hari ini. (pencurian kunci menjadi bagian yang sangat mahal, 'tho prosesor anemia yang digunakan di sebagian besar router memerlukannya untuk lalu lintas juga)
Ricky Beam
Saya pikir IPSEC di titik perangkat keras adalah nilai tambah besar untuk IPSEC. OpenVPN dulu (dan saya percaya masih demikian, tetapi saya tidak dapat menemukan dokumentasi definitif dengan cara apa pun) single threaded. Membantu dalam penyelidikan awal dari perusahaan VPN komersial yang memulai, itu ditinggalkan karena OpenVPN tidak akan cukup cepat. Lihat jawaban ServerFault ini untuk beberapa wawasan (lebih lanjut tentang koneksi konkuren); serverfault.com/questions/439848/… Kecepatan mungkin tidak terlalu penting bagi Anda, kami melihat penjualan 100Mbps VPNS.
jwbensley
1

  • OpenVPN memiliki implementasi yang lebih aman (Userspace vs Kernel).

  • Ini bekerja lebih baik dengan Firewall dan NAT (tidak perlu memastikan NAT-T) dan sulit untuk disaring.

  • Jauh lebih rumit daripada IPsec

hyussuf
sumber
3
Pertanyaannya adalah menanyakan kelemahan OpenVPN ...
Tegbains
Ruang pengguna secara inheren tidak lebih aman daripada ruang kernel, dan keamanan paling baik ditentukan dengan meninjau dan menguji - ruang standar karena suatu alasan.
mikebabcock
2
Sebenarnya itu. mengimplementasikan VPN di ruang pengguna lebih aman dari perspektif sistem daripada di kernel. untuk lebih jelasnya lihat makalah SANS ini tentang VPN berbasis SSL sans.org/reading_room/whitepapers/vpns/…
hyussuf
Beberapa hal telah berkembang sejak jawaban ini awalnya diposting; khususnya, kerentanan Heartbleed pada tahun 2014 sayangnya mengingatkan kita semua seberapa dalam kerentanan pada OpenSSL dapat mempengaruhi keseluruhan OpenVPN. Ini juga menunjukkan bahwa menjalankan di userspace tidak membuat serangan kurang penting, mengingat bahwa perangkat lunak VPN memiliki kemungkinan yang sangat tinggi untuk melakukan kontak dalam konten yang sangat sensitif, sering menelusuri jalur untuk memperoleh hak akses root pada mesin VPN dan / atau mesin lain. sekitar. Akhirnya, sebagian besar solusi firewall perusahaan sekarang memblokir OpenVPN melalui Deep Packet Inspection…
jwatkins
1

OpenVPN tidak memiliki sertifikasi peraturan tertentu, seperti dukungan FIPS 140-2.

awh
sumber
1
Sebenarnya ada dukungan FIPS 140-2 yang dimungkinkan dengan OpenVPN ... ada build tersertifikasi dari openssl dan patch ke OpenVPN untuk menggunakannya dengan cara yang tersertifikasi ... sebenarnya kami melakukan hal itu.
Jeff McAdams
1

Satu-satunya kelemahan teknis untuk OpenVPN yang saya lihat adalah bahwa dibandingkan dengan kompetitornya, sistem ini memperkenalkan banyak latensi pada tautan VPN . Pembaruan: Saya telah menemukan bahwa ini adalah kesalahan bukan dengan OpenVPN secara umum, tetapi dengan pengujian saya saja. Ketika OpenVPN dijalankan pada protokol TCP, overhead TCP membuat OpenVPN sedikit lebih lambat. L2TP menggunakan port dan protokol tetap untuk interoperabilitas dan karenanya tidak ada fitur untuk menjalankannya pada TCP. Openvpn pada UDP tampaknya lebih cepat untuk banyak pengguna lain.

Satu-satunya keuntungan lain saat menggunakan PPTP / L2TP / Ipsec adalah saya merasa lebih mudah untuk diatur pada mesin Windows atau iPhone tanpa menginstal perangkat lunak sisi klien tambahan. YMMV.

Anda mungkin ingin membaca halaman ini

Surajram Kumaravel
sumber
1
Di tempat saya bekerja, kami menggunakan OpenVPN cukup banyak dan tidak menyadari masalah latensi tambahan karenanya. Bisakah Anda menguraikan sifat itu?
Jeff McAdams
Saya menguji OpenVPN, L2TP dan PPTP ketika mencoba mengenkripsi koneksi ke server VoIP saya saat menggunakan softphones pada workstation jarak jauh. Saya menemukan OpenVPN memperkenalkan latensi terbanyak dan PPTP adalah yang tercepat. Akhirnya saya menggunakan L2TP. Masalah latensi muncul hanya pada beberapa jaringan 3G yang buruk, tetapi bahkan pada jaringan yang sama L2TP tampaknya berfungsi dengan baik.
Surajram Kumaravel
Membaca ivpn.net/pptp-vs-l2tp-vs-openvpn membuat saya berpikir ini adalah masalah khusus dengan pengaturan saya dan bukan masalah umum. Terima kasih telah membantu saya menyadari bahwa Jeff!
Surajram Kumaravel
1

Saya lebih suka IPSec hampir setiap waktu karena saya terbiasa dan itu selalu berhasil. Menjadi berbasis standar, didukung oleh hampir semua hal, dari ponsel dan tablet hingga mesin Windows dan Linux dan memiliki fitur yang berguna seperti dukungan NAT dan deteksi rekan mati.

FYI Saya terutama menggunakan Openswan di Linux.

Salah satu alasan keamanan utama kami lebih suka IPSec adalah memutar kunci sesi. OpenVPN mungkin telah menerapkan ini (tapi saya tidak melihatnya). Ini berarti bahwa penyerang yang secara pasif menangkap data jangka panjang tidak dapat memaksa seluruh log komunikasi sekaligus, tetapi hanya nilai setiap kunci sesi individu.

mikebabcock
sumber
Sama seperti perbandingan, OpenVPN juga berfungsi melalui NAT, dan didukung pada PC, ponsel, dan tabel (Windows, Mac OS X, Linux, BSD, Android, iOS, dan sebagainya).
jwbensley
Maksud saya dukungan bawaan, mungkin tidak jelas @javano
mikebabcock
Saya akan menganggap Anda belum pernah menggunakan OpenVPN. Tidak seorang pun yang telah menggunakan OpenVPN dan IPsec akan memilih IPsec karena "hanya selalu berfungsi". Di antara kelebihan terbesar OpenVPN adalah berkurangnya kompleksitas secara drastis dan mudah untuk mengatasi masalah. Saya melihat ini sebagai seseorang yang mengonversi ratusan perangkat Linux jarak jauh (yang tinggal di lokasi pelanggan) dari IPsec ke OpenVPN beberapa tahun yang lalu. IPsec baik jika Anda harus terhubung ke sesuatu yang tidak Anda kelola / kontrol yang hanya mendukung IPsec. OpenVPN adalah pilihan yang lebih baik di hampir setiap kasus lainnya.
Christopher Cashell