Wat u moet weten over VPN-protocollen? OpenVPN, WireGuard & Co.

VPN protocol Artikelen
Auteur Gewijzigd door

Ben je geïnteresseerd in VPN-oplossingen, maar weet je niet veel over termen als IPSec, OpenVPN, en WireGuard? VPNheroes legt uit wat er achter zit!

Veel commerciële aanbieders van VPN-diensten ondersteunen meestal verschillende VPN-protocollen om de communicatie tussen thuiscomputer en internetserver te beveiligen. VPN-protocollen vormen de kern van een virtueel privé-netwerk (VPN) en maken veilige en anonieme internetverbindingen mogelijk.

De veelheid aan gebruikte protocollen en standaarden maakt het niet eenvoudig om overzicht te houden. VPNheroes helpt en presenteert de meest populaire VPN-protocollen.

Inhoud

Beste VPN Diensten

NordVPN

ExpressVPN

Surfshark

VPN-waardering: 4,5

VPN-waardering: 4,5

VPN-waardering: 4,5

  • $3.99 / maand

  • Premium beveiliging

  • Snelheid 6730+ Mbps

  • VPN-servers 5400+

  •  WireGuard

  • Apparaten tellen: 6

  • Korting: 51%

  • $6.76 / maand

  • Premium beveiliging

  • Snelheid 2220+ Mbps

  • VPN-servers 3000+

  • OpenVPN

  • Apparaten tellen: 5

  • Korting: 49%

  • $2.49 / maand

  • Hoge veiligheid

  • Snelheid 58.46 Mbps

  • VPN-servers 3200+

  • WireGuard

  • Apparaten tellen: Onbeperkt

  • Korting: 82%

Bezoek site

Bezoek site

Bezoek site

Wat is een VPN-protocol?

Voor communicatie tussen twee computers of tussen client en server is het nodig een gemeenschappelijke taal overeen te komen. Commando’s en processen vormen verschillende reeksen regels, die worden samengevoegd in een protocol. Het protocol vormt zo de basis voor een ordelijke conversatie tussen uw thuis-pc en bijvoorbeeld een internetserver.

Het bijzondere van VPN-protocollen in vergelijking met andere regelsets is dat de “VPN-taal” extra hulpmiddelen biedt om gegevens te versleutelen met cryptografische methoden. Net als in een tunnel maakt dit de onderlinge communicatie van de deelnemers onzichtbaar voor buitenstaanders.

OpenVPN: de industriestandaard

OpenVPN is gratis software die door de meeste VPN-aanbieders wordt gebruikt en is een van de meest populaire VPN-protocollen. Het heeft zich gevestigd als de de facto standaard en is geschikt voor de meeste gebruikssituaties.

Als open source-project profiteert het ook van de expertise van een grote en vooral vrije ontwikkelaarsgemeenschap, die de zeer uitgebreide programmacode voortdurend controleert op lacunes en de prestaties verbetert. Bovendien is het proces transparant en kunnen de coderegels door derden worden gecontroleerd.

OpenVPN op iOS

OpenVPN ios

OpenVPN op Windows

OpenVPN Windows

Om een virtueel privénetwerk op te bouwen, maakt OpenVPN gebruik van de OpenSSL bibliotheek, maar ondersteunt ook verbindingen met TLS. OpenVPN werkt met verschillende encryptie-algoritmen, waaronder 3DES, AES, RC5 en Blowfish.

Goed geïmplementeerd biedt OpenVPN een zeer hoog niveau van veiligheid en stabiliteit in verschillende netwerken, zoals (W)LAN en cellulair. Voor datatransport maakt OpenVPN gebruik van TCP of UDP, wat flexibele datatransmissie garandeert. Bovendien werkt het VPN-protocol zeer goed met firewalls.

Als authenticatiemethode worden wachtwoorden of certificaten gebruikt. Bovendien is OpenVPN beschikbaar op vele platformen en wordt het ondersteund door alle gangbare besturingssystemen, waaronder Windows, macOS, Linux, Unix, Android en iOS. Maar voordat het op een systeem kan worden gebruikt, zijn meestal aanvullende software en verdere configuraties vereist.

Pluspunten

  • Zeer veilig
  • Open bron
  • Beschikbaar op vele platforms en besturingssystemen
  • Stabiele verbindingen
  • Compatibel met firewall

Nadelen

  • Veel moeite voor probleemoplossing
  • Niet bruikbaar “out of the box

IKEv2/IPSec: Stabiel onderweg

De eerste versie van Internet Key Exchange (IKEv1) werd mede-ontwikkeld door telecommunicatiebedrijf Cisco Systems, terwijl versie 2 (IKEv2) tot stand kwam in samenwerking met Microsoft. Interessant detail: IKEv1 is gedeeltelijk gebaseerd op het Internet Security Association and Key Management Protocol (ISAKMP), dat het Amerikaanse National Security Agency (NSA) ook heeft helpen ontwikkelen.

IKEv2 maakt deel uit van de IPSec-protocolverzameling en zorgt voor de veilige uitwisseling van sleutels die voor IPSec worden gebruikt. IPSec (Internet Protocol Security) ondersteunt een aantal verschillende versleutelingsalgoritmen, waaronder 3DES, AES, Blowfish en Camellia.

De systeemconfiguratie van IKEv2/IPSec is complex aan de serverzijde en gebruikt een vaste UDP-poort voor de communicatie, hetgeen nogal eens tot conflicten met firewalls leidt. IPSec maakt deel uit van het IPv4- en IPv6-internetprotocol en wordt algemeen beschouwd als een veilig en zeer snel VPN-protocol.

In het verleden zijn er echter beschuldigingen geweest dat de NSA het onderliggende encryptie-algoritme zou hebben gekraakt als onderdeel van het zogenaamde Bullrun-programma.

Dit is echter nooit bevestigd door deskundigen, en de onderliggende kwetsbaarheid is sindsdien verholpen. IKEv2 is zeer geschikt voor mobiele verbindingen, omdat het automatisch opnieuw verbinding maakt als u tijdelijk uw internetverbinding verliest, bijvoorbeeld wanneer u een lift instapt of door een tunnel reist.

Pluspunten

  • Zeer snel
  • Beschikbaar op vele platforms
  • Beveiligd
  • Stabiele verbindingen, sterk in mobiel gebruik

Nadelen

  • Complexe configuratie aan serverzijde
  • Vaste UDP poort leidt tot firewall conflicten

WireGuard: Het baken van hoop

Van de huidige VPN-protocollen is WireGuard de jongste en tevens de meest veelbelovende vertegenwoordiger in de ronde, maar bevindt zich volgens de ontwikkelaar nog in een pril stadium. Het open source-project beweert een bijzonder eenvoudig, veilig en vooral snel VPN-protocol te bieden.

Het bijzondere van WireGuard is dat het protocol deel uitmaakt van de Linux-kernel en een zeer kleine code-omvang heeft. De ontwikkelaars verwachten dat dit aanzienlijke voordelen biedt op het gebied van onderhoud en probleemoplossing van de programmacode, evenals aanzienlijk hogere verwerkingssnelheden. Bovendien zou de Linux-integratie de rekeninspanning en dus de energiebehoefte merkbaar verminderen, wat bijzonder interessant is voor mobiele apparaten.

WireGuard gebruikt een algoritme met de naam ChaCha20 voor de versleuteling van gegevens. Hoewel het VPN-protocol oorspronkelijk is ontwikkeld voor Linux, is het ook beschikbaar voor andere platforms, waaronder Windows, macOS, Android en iOS. Ondanks zijn ontwikkelingsstatus wordt WireGuard al gebruikt door enkele commerciële VPN-aanbieders, waaronder Hide.me, Mullvad VPN, NordVPN, en Surfshark.

NordVPN omzeilt het probleem van statische IP-adressen in zijn WireGuard-oplossing met een extra NAT-server die dynamische IP-adressen verdeelt.

Op dit moment is WireGuard nog een bouwwerf waar ijverig aan gewerkt wordt. Toch kan men zich al een goed idee vormen van hoe het crypto-vehikel er uiteindelijk zal uitzien.

Een probleem op dit moment is de relatief slechtere anonimiteit, omdat WireGuard werkt met vaste IP-adressen. De toekomst zal uitwijzen in welke richting de nieuwkomer zich zal ontwikkelen en hoe hij in de praktijk zal presteren – en of de loftuitingen vooraf uiteindelijk terecht zijn.

Pluspunten

  • Zeer stabiel, zelfs bij het veranderen van netwerk
  • Uiterst snel
  • Open bron
  • Onderdeel van de Linux-kernel
  • Beschikbaar voor vele platformen

Nadelen

  • Vroeg stadium van ontwikkeling
  • Anonimiteit alleen gegarandeerd met aanvullende oplossingen

SoftEther VPN: masterthesis uit Japan

SoftEther werd ontwikkeld aan de Japanse universiteit van Tsukuba als onderdeel van een masterscriptie door student Daiyuu Nobori en is sinds 2013 gratis te downloaden. Het VPN-protocol omzeilt firewalls en wordt geacht immuun te zijn voor zogeheten deep packet inspection (DPI), een techniek die ook door autoritaire regimes wordt gebruikt om individueel dataverkeer te screenen.

Datapakketten die door een VPN-tunnel gaan, dragen meestal in grote letters het VPN-stempel. Hoewel de gegevens in het pakketje beschermd blijven, kunnen overheidsinstanties en internetproviders deze VPN-pakketjes er gemakkelijk uit vissen en blokkeren. Dit is bijvoorbeeld gebruikelijk in China, Iran en Rusland, waar de datastroom van VPN-diensten grotendeels wordt geblokkeerd.

Het protocol maakt deel uit van de SoftEther VPN-software en is, net als OpenVPN en WireGuard, gepubliceerd onder een open source licentie. Het softwarepakket kan overweg met verschillende VPN-protocollen en draait op verschillende platforms zoals Windows, macOS, Linux, FreeBSD en Solaris.

Het wordt geïnstalleerd als afzonderlijke client- en serversoftware en is ook geschikt voor gebruikers die hun eigen VPN willen exploiteren. De Japanse oplossing is een van de minder bekende vertegenwoordigers onder de VPN protocollen. Momenteel is Hide.me de enige commerciële VPN aanbieder die SoftEther gebruikt.

Pluspunten

  • Open bron
  • Omzeilt firewalls
  • Beschikbaar voor vele platforms en veelzijdig

Nadelen

  • Niet erg wijdverspreid

Catapult Hydra en Chameleon: De thuisbrouwers

Catapult Hydra, de naam klinkt onstuimig en mysterieus tegelijk en doet een beetje denken aan de geheime organisatie uit de Marvel-strips. Het VPN-protocol is een eigen ontwikkeling van het Amerikaanse softwarebedrijf AnchorFree (nu: Aura) en wordt onder andere gebruikt in Hotspot Shield, de VPN-dienst van de fabrikant.

Catapult Hydra is gebaseerd op het veelgebruikte encryptieprotocol Transport Layer Security (TLS). De fabrikant belooft een aanzienlijk hogere snelheid in vergelijking met conventionele VPN-oplossingen op basis van TLS. De fabrikant is echter opvallend terughoudend met details over Catapult Hydra.

Een transparant auditproces, zoals gebruikelijk bij open source projecten als OpenVPN en WireGuard, vindt niet plaats bij de patentbeschermde Catapult Hydra. Het VPN-protocol blijft dus gesloten voor buitenstaanders voor auditdoeleinden. Niettemin gebruiken andere VPN-aanbieders zoals Kaspersky en Bitdefender ook Catapult Hydra in hun producten.

Net als Catapult Hydra behoort Chameleon tot de propriëtaire VPN-protocollen en wordt het momenteel slechts door één fabrikant gebruikt. De ontwikkelaars bij Golden Frog beloven voor hun VPN-dienst VyprVPN dat VPN-gegevens die via Deep Packet Inspection (DPI) zijn geïdentificeerd, niet langer kunnen worden geblokkeerd.

Het Chameleon-protocol, dat is gebaseerd op OpenVPN, probeert op dit punt van gedaante te veranderen en zich aan te passen aan zijn omgeving door zo onopvallend mogelijk te verschijnen als de onversleutelde pakketten in de grote datastroom van het internet. Deze verduisteringsfuncties – met alternatieve proxy-gebaseerde technieken – zijn echter ook beschikbaar bij andere VPN-aanbieders, zoals NordVPN, Surfshark en Hide.me.

Pluspunten

  • Optimaal afgestemd op de dienst
  • Hoge snelheden

Nadelen

  • Code kan niet worden gecontroleerd op kwetsbaarheden

L2TP/IPSec, PPTP, SSTP: De oude garde

Het Layer 2 Tunneling Protocol (L2TP) wordt vaak gecombineerd met IPSec voor encryptie, omdat L2TP geen eigen cryptoprocedure voor de datastroom biedt. Daarom kunnen alle uitspraken over de veiligheid van IPSec in principe ook worden toegepast op L2TP.

L2TP/IPSec ondersteunt zeer goede versleutelingsalgoritmen met 3DES en AES, maar is niet noodzakelijk een van de snelste vertegenwoordigers onder de VPN-protocollen. Bovendien botst het vaak met de beveiligingsinstellingen van de firewall, die de door L2TP/IPSec gebruikte UDP-poort blokkeert. Het is beschikbaar op vele platforms, maar wordt ervan verdacht te zijn gecompromitteerd door de Amerikaanse inlichtingendienst NSA.

Het Point-to-Point Tunneling Protocol (PPTP) werd lange tijd door Microsoft gebruikt voor interne VPN’s en was het eerste VPN-protocol dat door Windows werd ondersteund, waardoor het veel werd gebruikt. Vanwege ernstige beveiligingslekken in het protocol en de kwetsbaarheid van de ingebouwde crypto-methoden, wordt het nu algemeen afgeraden om PPTP als VPN-protocol te gebruiken.

Het Secure Socket Tunneling Protocol (SSTP) is eveneens afkomstig van Microsoft en werd speciaal ontwikkeld voor gebruik in zogenaamde end-to-site scenario’s. In dit geval moet de computer van een werknemer van thuis uit toegang krijgen tot het bedrijfsnetwerk, beschermd door een VPN-tunnel.

SSTP maakt voor de versleuteling gebruik van de cryptografische methoden die beschikbaar zijn in TLS, zoals AES en ChaCha20. SSTP wordt als zeer veilig beschouwd en biedt cliënten toegang tot een netwerk achter een firewall. Het heeft daarom geen last van de typische problemen van andere VPN-protocollen zoals IPSec en PPTP. De specialisatie op één gebruiksscenario leidt echter ook tot een vrij gering belang in de concurrentie tussen VPN-protocollen.

VPN-protocollen: ook een kwestie van vertrouwen

Bij VPN-diensten, de gebruikte protocollen en encryptiemethoden gaat het in de eerste plaats om vertrouwen. Je moet erop vertrouwen dat de dienst precies doet wat hij beweert te doen, en je moet erop vertrouwen dat de beschermingsmaatregelen state of the art zijn. Maar welk VPN-protocol is nu geschikt voor u?

Is het protocol dat onderworpen is aan een continu en transparant auditproces, zoals gebruikelijk is bij open source-projecten, betrouwbaarder? Of vertrouwt u op het eigen protocol van één fabrikant, dat precies is afgestemd op de betreffende VPN-dienst, maar tegelijkertijd achter gesloten deuren wordt ontwikkeld, geoptimaliseerd en gecontroleerd? Als u pure betrouwbaarheid neemt, komen op open source gebaseerde oplossingen als beste uit de bus vanwege hun hoge mate van transparantie.

Wat is het beste VPN-protocol?

De vraag naar het beste protocol is niet zo eenvoudig te beantwoorden. In principe is een keuze tussen meerdere protocollen ideaal, omdat dit de gebruiker verschillende opties geeft afhankelijk van het gebruik. OpenVPN biedt het beste compromis tussen stabiliteit, veiligheid en snelheid en is geschikt voor vele toepassingsscenario’s. Het wordt op de voet gevolgd door WireGuard, dat mooie toekomstperspectieven heeft en scoort met zijn gesofisticeerde beveiligingsfuncties en razendsnelle snelheid.

Veel VPN-aanbieders hebben het zwakke punt met statische IP-adressen al overbrugd. Toch moet je in gedachten houden dat WireGuard nog niet volledig volwassen is. IKEv2 is vooral geschikt voor mobiele verbindingen, bijvoorbeeld met een smartphone. Op de lange termijn zou WireGuard echter beter kunnen presteren dan IKEv2, aangezien een van de sterke punten van WireGuard de bescherming is tegen plotselinge netwerkwisselingen, zoals van WLAN naar LTE.

David West
Beoordeel auteur
VPN heroes
© 2023 VPN heroes
NordVPNWe recommend you

Best VPN service
Enjoy fast, secure and confidential internet access thanks to the world's best VPN app.

View

No thanks, I’m not interested!