Quali sono gli svantaggi di OpenVPN?

29

Ho visto così tante persone alle prese con IPSec e molte altre tecnologie VPN sicure. Io, per esempio, ho sempre usato OpenVPN, con risultati belli, semplici e versatili. L'ho usato su router DD-WRT, grandi server e telefoni Android, per citarne alcuni.

Qualcuno potrebbe spiegarmi cosa mi sto perdendo? Ci sono degli svantaggi di OpenVPN di cui non sono a conoscenza? IPSec e i suoi amici offrono delle fantastiche funzionalità che non conoscevo? Perché non tutti usano OpenVPN?

vpn  ipsec 
user1056
fonte

Risposte:

20

IMHO, il più grande svantaggio di OpenVPN è che non è interoperabile con la stragrande maggioranza dei prodotti dei fornitori di reti "big name". I prodotti di sicurezza e router di Cisco & Juniper non lo supportano: supportano solo IPsec e VPN SSL proprietarie. Anche Palo Alto, Fortinet, Check Point, ecc. Non lo supportano. Quindi, se la tua organizzazione / impresa desidera configurare una VPN extranet da sito a sito a un'altra società e hai solo un'appliance OpenVPN, probabilmente non avrai fortuna.

Detto questo, alcune società di hardware e software di rete stanno iniziando ad abbracciare OpenVPN. MikroTik è uno di questi. È supportato da RouterOS 3.x:

http://wiki.mikrotik.com/wiki/OpenVPN

Inoltre, per il più lungo tempo l'unico modo per eseguire un client OpenVPN sul iOS di Apple ha richiesto il jailbreak. Non è più così:

https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8

Nel complesso, la situazione sta migliorando. Tuttavia, senza fornitori come Cisco e Juniper che lo implementano nei loro prodotti, non riesco a vedere le grandi aziende adottarlo senza affrontare problemi di interoperabilità.

Mark Kamichoff
fonte
Così come Mikrotik OpenVPN è in (ed è stato per un po 'di tempo) pfSense pfsense.org (Anche se non credo che tu possa creare tunnel da sito a sito con esso, forse attraverso la CLI?
jwbensley
Non sapevo che fosse un'app IOS OpenVPN, yay!
zevlag,
6

IPSEC è standard. Quasi ogni fornitore di rete lo supporta. Non è possibile raggiungere lo stesso livello di interoperabilità tra router con OpenVPN.

Come ha detto David, non c'è nulla di sbagliato in OpenVPN per una soluzione VPN client. Per VPN da sito a sito o soluzioni di infrastruttura sceglierei VPN IPSEC.

sergejv
fonte
5

Uno degli svantaggi è che in un ambiente aziendale ad alcuni manager non piace fare affidamento su software open source.

Personalmente non vedo nulla di sbagliato in OpenVPN per una soluzione VPN utente.

IPSEC può essere implementato nell'hardware (o piuttosto nell'elemento di crittografia di IPSEC) e quindi è utile quando si desidera trasferire molti dati su una VPN e non si vuole sacrificare la potenza della CPU sulle stazioni degli utenti finali.

David Rothera
fonte
Esistono soluzioni IPsec completamente hardware. Tuttavia sono a) costosi eb) quasi sempre Windows (server) proprietario. (cripto in linea con la NIC [cavium], o integrato direttamente nella nic [intel])
Ricky Beam,
Mi riferivo di più a artisti del calibro di ASA che eseguono la crittografia nell'hardware.
David Rothera,
Stavo pensando a una scheda di rete che lo fa. Oggigiorno molti hardware router / firewall hanno chip crittografici. (la chiave di volta è la parte molto costosa, "anche se i processori anemici usati nella maggior parte dei router ne hanno bisogno anche per il traffico)
Ricky Beam,
Penso che l'IPSEC in termini di hardware sia un enorme vantaggio per IPSEC. OpenVPN era (e credo lo sia ancora, ma non riesco a trovare alcuna documentazione definitiva in ogni caso) a thread singolo. Assistendo alle indagini iniziali sull'avvio di una società VPN commerciale, è stato abbandonato perché OpenVPN non sarebbe stato abbastanza veloce. Vedi questa risposta ServerFault per alcune informazioni (è più sulle connessioni simultanee); serverfault.com/questions/439848/… La velocità potrebbe non essere così importante per te, stavamo cercando di vendere VPN da 100 Mbps.
jwbensley,
1

  • OpenVPN ha un'implementazione più sicura (Userspace vs Kernel).

  • Funziona meglio con Firewall e NAT (non è necessario garantire NAT-T) ed è difficile da filtrare.

  • È molto meno complicato di IPsec

hyussuf
fonte
3
La ricerca chiede degli svantaggi di OpenVPN ...
tegbains
Lo spazio utente non è intrinsecamente più sicuro dello spazio del kernel, e la sicurezza è meglio decisa da revisioni e test - uno è standardizzato per un motivo.
mikebabcock,
2
In realtà lo è. l'implementazione della VPN nello spazio utente è più sicura dal punto di vista dei sistemi rispetto al kernel. per maggiori dettagli dai un'occhiata a questo documento SANS su VPN basata su SSL sans.org/reading_room/whitepapers/vpns/…
hyussuf
Le cose si sono leggermente evolute da quando questa risposta è stata originariamente pubblicata; in particolare, la vulnerabilità Heartbleed nel 2014 ci ha purtroppo ricordato a tutti quanto le vulnerabilità profonde su OpenSSL possano influenzare l'intero OpenVPN. Ha anche dimostrato che l'esecuzione nello spazio utente non rende gli attacchi meno critici, dato che i software VPN hanno un'alta probabilità di essere in contatto con contenuti altamente sensibili, spesso tracciando il percorso per acquisire i privilegi di root sul computer della VPN e / o su altri computer in giro. Infine, la maggior parte delle soluzioni firewall aziendali ora blocca OpenVPN tramite Deep Packet Inspection ...
jwatkins,
1

OpenVPN non ha determinate certificazioni normative, come il supporto FIPS 140-2.

AWH
fonte
1
In realtà esiste il supporto FIPS 140-2 possibile con OpenVPN ... c'era una build certificata di openssl e patch per OpenVPN per usarlo in modo certificato ... stiamo facendo esattamente questo, in effetti.
Jeff McAdams,
1

L'unico aspetto negativo tecnico di OpenVPN che vedo è che rispetto ai suoi concorrenti il ​​sistema introduce molta latenza nei collegamenti VPN . Aggiornamento: ho scoperto che si trattava di un errore non con OpenVPN in generale, ma solo con i miei test. Quando OpenVPN viene eseguito sul protocollo TCP, le spese generali TCP rendono OpenVPN leggermente più lento. L2TP utilizza porte e protocolli fissi per l'interoperabilità e quindi non è disponibile alcuna funzionalità per eseguirlo su TCP. Openvpn su UDP sembra essere più veloce per molti altri utenti.

L'unico altro vantaggio durante l'utilizzo di PPTP / L2TP / Ipsec è che ho trovato più facile da configurare su un computer Windows o un iPhone senza installare alcun software lato client aggiuntivo. YMMV.

Potresti voler leggere questa pagina

Surajram Kumaravel
fonte
1
Dove lavoro, usiamo abbastanza OpenVPN e non siamo a conoscenza di ulteriori problemi di latenza a causa di ciò. Puoi approfondire la natura di quello?
Jeff McAdams,
Ho provato OpenVPN, L2TP e PPTP quando provavo a crittografare una connessione al mio server VoIP mentre usavo i softphone su workstation remote. Ho scoperto che OpenVPN ha introdotto la maggior latenza e PPTP è stato il più veloce. Alla fine sono andato con L2TP. I problemi di latenza sono emersi solo su poche reti 3G povere, ma anche sulle stesse reti L2TP sembrava funzionare bene.
Surajram Kumaravel,
Leggere ivpn.net/pptp-vs-l2tp-vs-openvpn mi fa pensare che si sia trattato di un problema specifico della mia installazione e non di un problema generale. Grazie per avermi aiutato a capire che Jeff!
Surajram Kumaravel,
1

Preferisco IPSec quasi ogni volta perché ne ho familiarità e funziona sempre. Essendo basato su standard, è supportato da quasi tutto, dai telefoni e tablet alle macchine Windows e Linux e ha funzionalità utili come il supporto NAT e il rilevamento di peer dead.

Cordiali saluti, utilizzo principalmente Openswan su Linux.

Uno dei principali motivi di sicurezza che preferiamo all'IPSec è la rotazione delle chiavi di sessione. OpenVPN potrebbe averlo implementato (ma non lo vedo). Ciò significa che un utente malintenzionato che acquisisce passivamente dati a lungo termine non può forzare bruscamente l'intero registro di comunicazione in una sola volta, ma vale solo la chiave di ogni singola sessione.

mikebabcock
fonte
Proprio come un confronto, OpenVPN funziona anche tramite NAT ed è supportato su PC, telefoni e tabelle (Windows, Mac OS X, Linux, BSD, Android, iOS e così via).
jwbensley,
Intendevo supporto integrato, forse non ovviamente @javano
mikebabcock,
Presumo che tu non abbia mai usato OpenVPN. Nessuno che abbia usato OpenVPN e IPsec sceglierà IPsec perché "funziona sempre". Tra i maggiori vantaggi di OpenVPN vi è la complessità drasticamente ridotta e la facile risoluzione dei problemi. Ho visto questo come qualcuno che ha convertito centinaia di appliance Linux remote (residenti nei siti dei clienti) da IPsec a OpenVPN alcuni anni fa. IPsec è utile se devi connetterti a qualcosa che non gestisci / controlli che supporta solo IPsec. OpenVPN è una scelta migliore in quasi tutti gli altri casi.
Christopher Cashell,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.