Le cryptage VPN expliqué : IPSec vs SSL
De nombreux autres articles comparent et contrastent les VPN IPSec et SSL du point de vue d'un administrateur réseau qui doit les configurer. Cet article examinera cependantcomment les principaux fournisseurs VPN commerciaux utilisent SSL et IPSec dans leurs services grand public, qui sont destinés à fournir un accès au Web et non à un réseau d'entreprise.
Protocoles VPN qui utilisentLe chiffrement IPSec inclut L2TP, IKEv2 et SSTP. OpenVPN est le protocole le plus populaire utilisant le cryptage SSL, en particulier la bibliothèque OpenSSL. SSL est également utilisé dans certains VPN basés sur un navigateur.
Cet article compare et oppose les cryptages IPSec et SSL du point de vue de l'utilisateur final VPN. Si vous souhaitez une explication plus fondamentale des deux protocoles, consultez notre guide détaillé sur types courants de cryptage .
Les bases du cryptage VPN
Le cryptage VPN brouille le contenu de votre trafic Internet de telle manière qu'il ne peut être déchiffré (déchiffré) qu'à l'aide de la clé appropriée. Les données sortantes sont cryptées avant de quitter votre appareil. Il est ensuite envoyé au serveur VPN, qui décrypte les données avec la clé appropriée. De là, vos données sont envoyées vers leur destination, comme un site Web. Le cryptage empêche toute personne interceptant les données entre vous et le serveur VPN (fournisseurs de services Internet, agences gouvernementales, pirates Wi-Fi, etc.) de pouvoir déchiffrer le contenu.
Le trafic entrant suit le même processus en sens inverse. Si les données proviennent d'un site Web, elles sont d'abord transmises au serveur VPN. Le serveur VPN crypte les données, puis les envoie à votre appareil. Votre appareil décrypte ensuite les données afin que vous puissiez consulter le site Web normalement.
Tout cela garantit que les données Internet des utilisateurs VPN restent privées et hors de portée de toute personne non autorisée.
Les différences entre les différents types de cryptage incluent :
- Force de cryptage, ou méthode et degré de cryptage de vos données
- Comment les clés de chiffrement sont gérées et échangées
- Quelles interfaces, protocoles et ports ils utilisent
- Sur quelles couches OSI ils s'exécutent
- Facilité de déploiement
- Performance (lire : vitesse)
Sécurité
En bref:Léger avantage en faveur du SSL.
Les connexions IPSec nécessitent qu'une clé pré-partagée existe à la fois sur le client et sur le serveur afin de chiffrer et de s'envoyer du trafic entre eux. L'échange de cette clé offre à un attaquant l'opportunité de pirater ou de capturer la clé pré-partagée.
Les VPN SSL n'ont pas ce problème car ils utilisent la cryptographie à clé publique pour négocier une poignée de main et échanger en toute sécurité des clés de chiffrement. Mais TLS/SSL a une longue liste de ses propres vulnérabilités comme Heartbleed.
Certains VPN SSL autorisent les certificats auto-signés non fiables et ne vérifient pas les clients. Ceci est particulièrement courant dans les extensions de navigateur VPN SSL « sans client ». Ces VPN qui permettent à n'importe qui de se connecter depuis n'importe quelle machine sont vulnérables aux attaques de l'homme du milieu (MITM). Cependant, ce n’est pas le cas de la plupart des clients OpenVPN natifs.
SSL nécessite généralement des correctifs plus fréquents pour rester à jour, à la fois pour le serveur et le client.
Le manque de code open source pour les protocoles VPN basés sur IPSec peut inquiéter les personnes qui se méfient des espions et des fouineurs du gouvernement. En 2013, Edward Snowden a révélé que le programme Bullrun de la National Security Agency des États-Unis tentait activement « d’insérer des vulnérabilités dans les systèmes de chiffrement commerciaux, les systèmes informatiques, les réseaux et les appareils de communication des points finaux utilisés par les cibles ». La NSA aurait ciblé IPSec pour ajouter des portes dérobées et des canaux secondaires qui pourraient être exploités par des pirates.
En fin de compte, une sécurité renforcée est plus probablement le résultat d’administrateurs réseau compétents et attentifs que le choix du protocole.
Traversée du pare-feu
En bref:Les VPN basés sur SSL sont généralement meilleurs pour contourner les pare-feu.
Des pare-feu NAT existent souvent sur les routeurs wifi et autres matériels réseau. Pour se protéger contre les menaces, ils rejettent tout trafic Internet non reconnu, y compris les paquets de données sans numéro de port. Les paquets IPSec cryptés (paquets ESP) n'ont pas de numéro de port attribué par défaut, ce qui signifie qu'ils peuvent être interceptés par les pare-feu NAT. Cela peut empêcher les VPN IPSec de fonctionner.
Pour contourner ce problème, de nombreux VPN IPSec encapsulent les paquets ESP dans des paquets UDP, de sorte que les données se voient attribuer un numéro de port UDP, généralement UDP 4500. Bien que cela résolve le problème de traversée NAT, votre pare-feu réseau peut ne pas autoriser les paquets sur ce port. Les administrateurs réseau des hôtels, aéroports et autres lieux ne peuvent autoriser le trafic que sur quelques protocoles requis, et UDP 4500 n'en fait peut-être pas partie.
Le trafic SSL peut transiter par le port 443, que la plupart des appareils reconnaissent comme le port utilisé pour le trafic HTTPS sécurisé. Presque tous les réseaux autorisent le trafic HTTPS sur le port 443, nous pouvons donc supposer qu'il est ouvert. OpenVPN utilise le port 1194 par défaut pour le trafic UDP, mais il peut être transféré via les ports UDP ou TCP, y compris le port TCP 443. Cela rendSSL plus utile pour contourner les pare-feu et autres formes de censurequi bloquent le trafic en fonction des ports.
Rapidité et fiabilité
En bref:Les deux sont raisonnablement rapides, mais IKEv2/IPSec négocie les connexions le plus rapidement.
La plupart des protocoles VPN basés sur IPSec mettent plus de temps à négocier une connexion que les protocoles basés sur SSL, mais ce n'est pas le cas avec IKEv2/IPSec.
IKEv2 est un protocole VPN basé sur IPSec qui existe depuis plus d'une décennie, mais il est désormais en vogue parmi les fournisseurs VPN. Le moteur de son déploiement réside dans sa capacité à se reconnecter rapidement et de manière fiable chaque fois que la connexion VPN est interrompue. Cela le rend particulièrement utile pour les clients mobiles iOS et Android qui ne disposent pas de connexions fiables ou ceux qui basculent fréquemment entre les données mobiles et le wifi.
Quant au débit réel, c’est un véritable casse-tête. Nous avons vu des arguments des deux côtés. Dans un article de blog, NordVPN déclare que IKEv2/IPSec peut offrir un débit plus rapide que des concurrents comme OpenVPN. Les deux protocoles utilisent généralement le chiffrement AES 128 bits ou 256 bits.
La couche UDP supplémentaire que de nombreux fournisseurs mettent sur le trafic IPSec pour l'aider à traverser les pare-feu ajoute une surcharge supplémentaire, ce qui signifie que son traitement nécessite plus de ressources. Mais la plupart des gens ne remarqueront aucune différence.
Sur la plupart des VPN grand public, le débit est largement déterminé par la congestion du serveur et du réseau plutôt que par le protocole VPN.
Voir également: Les VPN les plus rapides
Facilité d'utilisation
En bref:IPSec est plus universel, mais la plupart des utilisateurs qui utilisent les applications des fournisseurs VPN ne remarqueront pas une énorme différence.
IKEv2, SSTP et L2TP sont des protocoles VPN basés sur IPSec intégrés à la plupart des principaux systèmes d'exploitation, ce qui signifie qu'ils ne nécessitent pas nécessairement une application supplémentaire pour être opérationnel. Cependant, la plupart des utilisateurs de VPN grand public utiliseront toujours l’application du fournisseur pour se connecter.
SSL fonctionne par défaut dans la plupart des navigateurs Web, mais une application tierce est généralement nécessaire pour utiliser OpenVPN. Encore une fois, cela est généralement pris en charge par l’application du fournisseur VPN.
D'après notre expérience, IKEv2 a tendance à offrir une expérience plus transparente qu'OpenVPN du point de vue de l'utilisateur final. Cela est dû en grande partie au fait que IKEv2 se connecte et gère rapidement les interruptions. Cela étant dit, OpenVPN a tendance à être plus polyvalent et peut être mieux adapté aux utilisateurs qui ne peuvent pas accomplir ce qu’ils veulent avec IKEv2.
En ce qui concerne les VPN d'entreprise qui donnent accès à un réseau d'entreprise plutôt qu'à Internet, le consensus général est que IPSec est préférable pour les VPN de site à site et SSL est meilleur pour l'accès à distance. La raison en est qu'IPSec fonctionne au niveau de la couche réseau du modèle OSI, ce qui donne à l'utilisateur un accès complet au réseau d'entreprise, quelle que soit l'application. Il est plus difficile de restreindre l'accès à des ressources spécifiques. Les VPN SSL, quant à eux, permettent aux entreprises de contrôler l'accès à distance à un niveau granulaire à des applications spécifiques.
Les administrateurs réseau qui exploitent des VPN ont tendance à trouver la gestion des clients beaucoup plus facile et moins longue avec SSL qu'avec IPSec.
VPN IPSec vs SSL : conclusion
Dans l’ensemble, pour les utilisateurs VPN qui disposent des deux options, nous recommandons d’opter d’abord pour IKEv2/IPSec, puis de se tourner vers OpenVPN en cas de problème. La vitesse à laquelle IKEv2 est capable de négocier et d'établir des connexions offrira une amélioration plus tangible de la qualité de vie de l'utilisateur VPN moyen quotidien tout en offrant une sécurité et une vitesse comparables, mais cela peut ne pas fonctionner dans toutes les circonstances.
OpenVPN/SSL était jusqu'à tout récemment considéré comme la meilleure combinaison VPN pour la plupart des utilisateurs de VPN grand public. OpenVPN, qui utilise la bibliothèque OpenSSL pour le cryptage et l'authentification, est raisonnablement rapide, très sécurisé, open source et peut traverser les pare-feu NAT. Il peut prendre en charge le protocole UDP ou TCP.
IKEv2/IPSec présente un nouveau challenger pour OpenVPN, améliorant L2TP et d'autres protocoles basés sur IPSec avec des connexions plus rapides, plus de stabilité et une prise en charge intégrée sur la plupart des appareils grand public les plus récents.
SSL et IPSec disposent tous deux de solides standards de sécurité, avec une vitesse de débit, une sécurité et une facilité d'utilisation comparables pour la plupart des clients de services VPN commerciaux.
' IPsec dans la couche réseau » de Soufiane Hamdaoui sous licence CC BY-SA 3.0
FAQ sur les VPN IPSec et SSL
Les VPN SSL cachent-ils les adresses IP ?
Les VPN SSL peuvent assurer l'anonymat en masquant les adresses IP, mais ils peuvent également être configurés pour révéler les adresses IP. Tout dépend de la configuration du VPN SSL. Si vous souhaitez un anonymat complet, vous devrez vous assurer que le VPN SSL est correctement configuré pour éviter que les activités ne fuient vers votre FAI.