Wat is een VPN protocol? Duidelijke uitleg
Een VPN verbinding kan met de hulp van verschillende technieken opgezet worden, dit zijn de verschillende VPN-protocollen. Elk protocol heeft z’n methodes, technieken en beveiliging om een VPN tunnel op te zetten. Op deze pagina zullen we de verschillende veelgebruikte VPN protocollen benoemen en ook direct de nodige eigenschappen erbij zetten.
Met deze informatie heb je een inzicht over de werking van protocollen. Met deze kennis is het gemakkelijk om te kiezen welk protocol je voor welke toepassing gebruiken kunt.
Inhoudsopgave
Wat zijn VPN tunnels?
Een VPN tunnel is een manier om digitale gegevens veilig over internet te versturen en te ontvangen. Alle informatie die je over internet verstuurt, bestaat uit kleine stukjes data. Ook wel ‘packets’ genoemd. Elk pakketje heeft een afzender en een bestemming, en ze worden door het netwerk automatisch naar het einddoel gestuurd. Onderweg zijn ze in principe door anderen te lezen, want de data is niet beschermd. Vergelijk het met een briefkaart sturen zonder envelop. Een VPN tunnel voegt de envelop toe. Elk pakketje data wordt ‘ingepakt’ en ook nog eens versleuteld. Alleen de verzender en de ontvanger kunnen de inhoud lezen.
Dat kan omdat je alle data via de server van de VPN-dienst verstuurt. Die bouwt dus in feite die tunnel voor je, waar alle data veilig doorheen komt. Dit heeft als extra voordeel dat het er ook voor zorgt dat jouw IP-adres (het adres waarmee jouw apparaat en locatie te achterhalen zijn) verborgen blijft. Alle data gaat immers via de tunnel van de VPN-dienst, en dat betekent dat voor buitenstaanders (en zelfs de ontvanger van de data) jouw IP-adres niet zichtbaar is. Die ziet namelijk alleen het IP-adres van de VPN-server.
Wat is VPN split tunneling?
Split tunneling is een optie die veel VPN-diensten aanbieden om je internetverbinding als het ware in tweeën te delen. Een deel van het dataverkeer gaat via de VPN en een ander deel (wat je uiteraard zelf bepaalt) gaat onversleuteld het net op.
Er zijn namelijk scenario’s waarbij je niet al je dataverkeer via een VPN wil laten lopen. Sommige streamingdiensten blokkeren bijvoorbeeld verbindingen die via VPN-diensten lopen. Maar je wil wel natuurlijk al je andere dataverkeer beschermen, zoals je surfgedrag en wellicht downloads die je uitvoert.
Het is natuurlijk mogelijk om steeds je VPN even uit te zetten als je bepaalde diensten wil gebruiken. Dat is niet alleen omslachtig, maar het is ook nog eens een risico: vergeet je je VPN weer aan te zetten, dan blijft je verbinding onveilig.
Wat zijn VPN-protocollen?
Een VPN-protocol is een set afspraken over hoe een versleutelde verbinding precies werkt. In het protocol staat bijvoorbeeld op welke manier de data door elkaar gehusseld wordt, hoe de verbinding tot stand wordt gebracht en op welke manieren gecontroleerd wordt of de verbinding veilig blijft. Je kunt het een beetje vergelijken met een bestandsformaat.
Als je muziek op je computer opslaat kan dat in WAV-formaat of in MP3. WAV neemt meer ruimte in maar bevat alle oorspronkelijke data. MP3 verkleint het bestand en dan verlies je wat van de kwaliteit. Er zijn dus voor- en nadelen aan de set afspraken. En dat geldt ook voor VPN-protocollen. Er zijn er inmiddels verschillende.
OpenVPN
OpenVPN is een open-source technologie. Dit betekent dat eenieder de broncode kan inzien en desgewenst kan veranderen.
Het grote voordeel van OpenVPN is dat het breed inzetbaar is en bovendien samenwerkt met een grote verscheidenheid aan versleutelingen. Zo kun de data die via OpenVPN wordt verstuurd bijvoorbeeld versleutelen met AES, 3DES, Cemalia, Blowfish en nog andere cryptografische versleutelingen.
OpenVPN staat bekend als het meest veilige protocol. Dit heeft mede te maken met de grote verscheidenheid aan versleuteling die mogelijk is. Ook het open-source karakter van OpenVPN en het feit dat het protocol nog niet gehackt is, geeft OpenVPN een grote mate van populariteit.
Het protocol is zowel via UDP als TCP/IP te gebruiken. Van deze 2 is data versturen en ontvangen via de UDP veruit de snellere manier. Dit is omdat er bij UDP geen noodzaak is om de verstuurde pakketjes te verifiëren.
Daarnaast is de snelheid van de VPN verbinding van de versleutelmethode die gekozen wordt. Maar over het algemeen genomen is OpenVPN sneller dan IPSec maar langzamer dan IKEv2 of PPTP. De keerzijde is dat OpenVPN als veiliger wordt beschouwd.
Voordelen OpenVPN
- Wordt als erg veilig beschouwd
- Zeer flexibel te configureren en dus breed inzetbaar
- Beschikbaar op een grote verscheidenheid van besturings-systemen
- Open-source en dus gemakkelijk door iedereen te controleren op fouten of veiligheidsrisico’s
Nadelen OpenVPN
- Niet standaard ondersteund door veel besturingssystemen
- Er is software van derden nodig
- Geen perfecte ondersteuning voor Android en iOS
WireGuard
Een relatief nieuw protocol is WireGuard. Het knappe ervan zit in de eenvoud van de broncode. WireGuard is zeer efficiënt en veilig, maar vooral ook heel snel. Dat komt omdat de software heel compact is ontwikkeld, en daardoor ook heel makkelijk is bij te houden en
eventuele fouten te verhelpen.
WireGuard is specifiek ontworpen om ook zo klein, compact en overzichtelijk te blijven, met toch een zeer hoge versleuteling. Steeds meer aanbieder ondersteunen WireGuard. NordVPN heeft een eigen variant van WireGuard geïmplementeerd, onder de naam NordLynx.
Voordelen WireGuard
- Zeer snel en efficiënt protocol
- Snelle verbinding
- Bijna geen impact op de snelheid van de machine waar het op draait
Nadelen WireGuard
- Relatief jong dus heeft zich minder bewezen als OpenVPN
- Niet alle VPN-aanbieders ondersteunen het
IKEv2
IKE (Internet Key Exchange) is gebaseerd op het bewezen IPSEC protocol. IKEv2 is weer een verdere ontwikkeling op IKE. Het is ontwikkeld door Cisco in samenwerking met Microsoft. Op het Windows besturingssysteem is IKEv2 dan ook standaard ondersteund. Ook is er software te vinden waarmee er ondersteuning voor Blackberry, Linux en andere besturingssystemen beschikbaar komt.
IKEv2 komt het beste uit de verf op mobiele apparaten. Dit komt omdat het IKEv2 protocol een functie heeft ingebouwd die het opnieuw maken van een VPN verbinding snel mogelijk maakt. Omdat mobiele apparaten vaak wisselen van netwerk is het snel opnieuw verbinding maken met de VPN server een zeer welkome functie.
Voordelen IKEv2
- Onderteund een grote verscheidenheid aan cryptografische versleutelmethodes
- Erg geschikt voor mobiele apparatuur door het snel kunnen wisselen van netwerk
- Relatief snel
Nadelen IKEv2
- Niet open-source dus moeilijk te controleren of er backdoors zijn
- Beschikbaar op een beperkt aantal besturingssystemen
- IKEv2 gebruikt poort 500 bij UDP, hetgeen makkelijk te blokkeren is door partijen die dat graag zouden willen.
PPTP
PPTP staat voor “point to point tunneling en 1 van de oude standaarden van de VPN verbindingen. Wanneer je een VPN verbinding wilt gebruiken om je online anonimiteit te waarborgen raden we je sterk aan een ander protocol te kiezen, bijvoorbeeld OpenVPN.
PPTP raden we eigenlijk altijd af, het is beter een ander veiliger alternatief te gebruiken als je een VPN verbinding wilt gebruiken. Wanneer je toch een PPTP verbinding wilt gebruiken, stuur dan geen gevoelige data over de VPN verbinding.
Voordelen PPTP
- Snel
- Breed ondersteund
- Gemakkelijk in gebruik
Nadelen PPTP
- Onveilig, gemakkelijk te hacken
- Er is bewezen dat de NSA het protocol al heeft kunnen kraken
L2TP & L2TP/IPSec
L2TP staat voor “Layer 2 Tunnel Protocol” en heeft van zichzelf de eigenschap de data die door de tunnel, de VPN verbinding, gaat niet versleuteld is. Dit is bij de andere VPN protocollen wel standaard het geval.
Gelukkig wordt L2TP eigenlijk altijd ingezet in combinatie met IPSec. IPSec zorgt in deze samenwerking voor de versleuteling van het VPN verkeer.
Een nadeel van L2TP is dat het protocol UDP poort 500 gebruikt. Hierdoor wordt het eenvoudig voor netwerkbeheerders en/of providers om al het VPN verkeer te blokkeren. Dit kan onwenselijk zijn als je juist censuur wilt omzeilen.
Voordelen L2TP & L2TP/IPSec
- Ondersteuning voor erg veel apparaten en besturinggsystemen
- Gemakkelijk op te zetten
Nadelen L2TP & L2TP/IPSec
- Er is een vermoeden dat de NSA het LT2P protocol sterk heeft verzwakt
- Het is langzamer dan het veiligere OpenVPN
- Gemakkelijk te blokkeren door overheden, netwerkbeheerders of internet providers
SSTP
SSTP staat voor Secure Socket Tunneling Protocol. Een VPN protocol dat geïntroduceerd is in Windows door Microsoft. Het zet een veilige tunnel op met de bekende SSL techniek.
Omdat het een Microsoft product is, is SSFP eigenlijk alleen maar beschikbaar op Windows computers. Iets wat in onze ogen een groot nadeel is.
Een pluspunt van SSFTP is dat het VPN protocol zeer veilig wordt geacht. Daarnaast is het voor netwerkbeheerders en en providers uitermate lastig om iemand die verbinding maakt via een SSTP, iets wat met bijvoorbeeld L2TP relatief gemakkelijk gaat.
Voordelen SSTP
- Standaard ondersteund in Windows
- Wordt als zeer veilig beschouwd
- Lastig te blokkeren door landen die censuur willen voeren
Nadelen SSTP
- Niet open-source dus niet helemaal te controleren op zwakheden
- Alleen beschikbaar op Windows computers en apparaten
Versleuteling van data
De oplettende lezer heeft opgemerkt dat bij de verschillende VPN protocollen verschillende encryptie methodes, ook wel versleutel methodes, passen.
Hoe sterk zo de encryptie is hangt voor een groot deel van de sleutellengte af. Dit gezegd hebbende gebruiken VPN providers over het algemeen een sleutellengte van 128-bit of 256-bit.
In de praktijk betekent dit dat de snelste supercomputer ter wereld op het moment van schrijven 333 miljoen jaar nodig heeft om een 128-bit versleuteling te kraken. Bij 256-bit versleuteling zou dit zelfs het dubbele zijn.
Aangezien computers steeds sneller worden, is het niet ondenkbaar dat deze tijd de komende jaren aanzienlijk omlaag gaat. Maar wij geloven erin dat een 128-bit versleuteling meer dan sterk genoeg is om niet gekraakt te worden.
Ciphers
Ciphers zijn wiskundige algoritmes die gebruikt worden voor het versleutelen van data. Er zijn verschillende ciphers, maar de meest gebruikte cipher door de VPN aanbieders zijn AES en Blowfish.
Deze 2 cipher algoritmes worden als zeer veilig beschouwd. Vooral AES ontvangt veel vertrouwen, mede omdat de Amerikaanse overheid deze cipher gebruikt om haar data te versleutelen.
Conclusie VPN protocollen
Het kiezen van het juiste VPN protocol lijkt iets overdreven, maar voor diegene die hun privacy goed willen beschermen is het een geen sinecure. Zeker wanneer je je in landen begeeft waar internetcensuur aan de orde van de dag is, is het van groot belang het juiste VPN protocol te gebruiken. Als is het alleen maar om een VPN protocol te gebruiken dat niet in zijn geheel wordt geblokkeerd door de overheid.
In de regel kunnen we zeggen dat het kiezen voor OpenVPN met een 128-bit of 256-bit AES of Blowfisch encryptie in de meeste gevallen de beste keus is wanneer je een VPN protocol wilt kiezen. Dit protocol is niet alleen zeer veilig, maar ook nog eens te gebruiken op het gros van de apparaten waarmee je met het internet wilt verbinden.
Een ‘goede tweede’ is WireGuard, die op dit moment op bijna alle fronten OpenVPN voorbijstreeft, behalve op het gebied van universele ondersteuning. Simpel gezegd: niet alle aanbieders bieden WireGuard. Doen ze dat wel, is dat op dit moment je beste keuze. Zo niet dan is OpenVPN een zeer solide en veilig VPN protocol.
Veelgestelde vragen
Als je verbinding maakt met een VPN-dienst, wordt er altijd een VPN-tunnel gebruikt. De ‘tunnel’ is namelijk de naam voor de gehele beveiligde verbinding van jouw apparaat naar de ontvangende server. Hoe die tunnel precies werkt, hangt af van het VPN-protocol dat je gebruikt.
Hoewel er niet één protocol het allerbeste is, adviseren wij om te kiezen voor OpenVPN met een 128-bit of 256-bit AES of Blowfish encryptie. Dit is een zeer veilige verbinding die door bijna alle apparaten wordt ondersteund. Ook het nieuwe WireGuard-protocol is een goede keuze, maar wordt nog niet door iedere VPN-aanbieder op elk apparaat ondersteund.
In principe is elke VPN-verbinding een tunnel. VPN staat voor Virtual Private Network, en de essentie is dat je daarmee een verbinding legt tussen jouw apparaat en de server die zich gedraagt alsof het onderdeel is van je thuisnetwerk. Het is dus ‘privé’ en niet zichtbaar voor anderen.
Split tunneling is de optie om een deel van je dataverkeer via een VPN te laten lopen, en een ander deel rechtstreeks en onbeschermd over het internet. Je gebruikt dit als je bijvoorbeeld bepaalde diensten niet kan gebruiken met een VPN, of als je een extra snelle verbinding nodig hebt zonder de onvermijdelijke vertraging die een VPN protocol oplevert.
Een VPN tunnel legt een rechtstreekse en beveiligde verbinding tussen jouw apparaat en een server. Alle data pakketjes die je verstuurt en ontvangt, worden ingepakt (“encapculated”) en versleuteld. Zo is niet te zien wat je ontvangt en verstuurt, of aan wie.