OpenVPNの欠点は何ですか?


29

IPSecや他の多くの安全なVPN技術と常に闘っている人がたくさんいるのを見てきました。私は、OpenVPNを常にシンプルに使用してきたため、美しくシンプルで多目的な結果が得られました。いくつか例を挙げると、DD-WRTルーター、ビッグサーバー、Androidフォンで使用しました。

誰かが私に欠けているものを説明してもらえますか?OpenVPNに気付いていない欠点はありますか?IPSecと友人は、私が知らなかったすばらしい機能を提供しますか?誰もがOpenVPNを使用していないのはなぜですか?

回答:


20

私見、OpenVPNの最大の欠点は、「有名な」ネットワークベンダーの大部分の製品と相互運用できないことです。シスコとジュニパーのセキュリティ製品とルーター製品はサポートしていません。IPsecと独自のSSL VPNのみをサポートしています。パロアルト、フォーティネット、チェックポイントなどもサポートしていません。そのため、組織/企業がサイト間エクストラネットVPNを別の会社にセットアップする必要があり、OpenVPNアプライアンスしか持っていない場合は、おそらく運が悪いでしょう。

そうは言っても、一部のネットワークハードウェアおよびソフトウェア企業はOpenVPNを採用し始めています。MikroTikもその1つです。RouterOS 3.x以降でサポートされています:

http://wiki.mikrotik.com/wiki/OpenVPN

また、長い間、AppleのiOSでOpenVPNクライアントを実行する唯一の方法は、ジェイルブレイクが必要でした。これはそうではありません、もう:

https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8

全体的に、状況は改善しています。ただし、シスコやジュニパーなどのベンダーが自社の製品に実装していなければ、相互運用性の問題に直面せずに大企業がそれを採用することはありません。


Mikrotik OpenVPNと同様に(そしてしばらくの間は)pfSense pfsense.org(おそらく、CLIを介してサイト間トンネルを作成できるとは思いませんか?
jwbensley

私は彼らがOpenVPN IOSアプリだとは知りませんでした!
zevlag

6

IPSECは標準です。ほとんどすべてのネットワークベンダーがサポートしています。OpenVPNを使用したルーター間で同じレベルの相互運用性を実現することはできません。

Davidが言ったように、クライアントVPNソリューションのOpenVPNには何も問題はありません。サイト間VPNまたはインフラストラクチャソリューションでは、IPSEC VPNを選択します。


5

欠点の1つは、企業環境では一部のマネージャーがオープンソースソフトウェアに依存することを好まないことです。

個人的には、ユーザーVPNソリューションのOpenVPNに問題はありません。

IPSECはハードウェア(またはIPSECの暗号化要素)に実装できるため、VPNを介して大量のデータをプッシュし、エンドユーザーステーションのCPUパワーを犠牲にしたくない場合に役立ちます。


ハードウェアに完全に対応したIPsecソリューションがあります。ただし、a)高価であり、b)ほとんどの場合Windows(サーバー)専用です。(NIC [cavium]とインラインで暗号化するか、nic [intel]に直接組み込みます)
リッキービーム

私はハードウェアで暗号化を行うASAのようなものについてもっと言及していました。
デビッドロテラ

私はそれを行うNICを考えていました。最近、多くのルーター/ファイアウォールハードウェアに暗号チップが搭載されています。(キーステーキは非常に高価な部分であり、「ほとんどのルーターで使用されている貧血プロセッサもトラフィックに必要です」)
リッキービーム

ハードウェアポイントのIPSECは、IPSECにとって大きなプラスになると思います。OpenVPNはかつてシングルスレッドでした(そして、今でもそうだと思いますが、いずれにしても決定的なドキュメントは見つかりません)。OpenVPNの速度が十分ではなかったため、商業用VPN会社の初期調査を支援したが、それは放棄された。いくつかの洞察については、ServerFaultの回答を参照してください(同時接続の詳細)。serverfault.com/questions/439848/…速度はそれほど重要ではないかもしれませんが、100Mbps VPNSの販売を検討していました。
jwbensley

1
  • OpenVPNの実装はより安全です(ユーザースペースとカーネル)。

  • ファイアウォールとNATでよりよく機能し(NAT-Tを確認する必要はありません)、フィルタリングが困難です。

  • IPsecほど複雑ではありません


3
探求はOpenVPNの欠点について尋ねています...
tegbains

ユーザー空間は本質的にカーネル空間よりも安全ではありません。セキュリティはレビューとテストによって最もよく決定されます。理由は標準化されています。
mikebabcock

2
実はそうです。ユーザー空間にVPNを実装することは、カーネルよりもシステムの観点からより安全です。詳細については、SSLベースのVPNS
sans.org/reading_room/whitepapers/vpns/…– hyussuf

この回答が最初に投稿されてから、状況はいくぶん進化しています。特に、2014年のHeartbleedの脆弱性は、残念ながらOpenSSLの深刻な脆弱性がOpenVPN全体にどのように影響するかを思い出させてくれました。また、VPNソフトウェアが非常に機密性の高いコンテンツに接触する可能性が非常に高く、多くの場合、VPNのマシンおよび/または他のマシンでルート権限を取得するためにパスをトレースすることを考えると、周り。最後に、ほとんどの企業のファイアウォールソリューションは、ディープパケットインスペクションによってOpenVPNをブロックしています...
jwatkins

1

OpenVPNには、FIPS 140-2サポートなどの特定の規制認証がありません。


1
実際には、OpenVPNでFIPS 140-2のサポートが可能です...認定された方法で使用するために、認定されたopensslのビルドとOpenVPNのパッチがありました...実際、まさにそれを行っています。
ジェフマクアダムス

1

OpenVPNの唯一の技術的な欠点は、競合他社と比較して、システムがVPNリンクに多くの遅延を導入することです。更新:これはOpenVPNの一般的な障害ではなく、テストのみの障害であることがわかりました。OpenVPNをTCPプロトコルで実行すると、TCPオーバーヘッドによりOpenVPNが少し遅くなります。L2TPは相互運用性のために固定ポートとプロトコルを使用するため、TCPで実行する機能はありません。UDP上のOpenvpnは、他の多くのユーザーにとっては高速のようです。

PPTP / L2TP / Ipsecを使用する際のその他の唯一の利点は、追加のクライアント側ソフトウェアをインストールせずにWindowsマシンまたはiPhoneでセットアップする方が簡単だということです。YMMV。

このページを読むことをお勧めします


1
私が働いている場所では、OpenVPNを非常に多く使用しており、それによる追加の遅延の懸念を認識していません。その性質について詳しく説明していただけますか?
ジェフマクアダムス

リモートワークステーションでソフトフォンを使用しながらVoIPサーバーへの接続を暗号化しようとしたときに、OpenVPN、L2TP、PPTPをテストしました。OpenVPNが最も遅延が大きく、PPTPが最も速いことがわかりました。最終的に私はL2TPに行きました。遅延の問題は、少数の劣悪な3Gネットワ​​ークでのみ発生しましたが、同じネットワーク上でもL2TPは正常に機能しているように見えました。
Surajram Kumaravel

ivpn.net/pptp-vs-l2tp-vs-openvpnを読むと、これはセットアップの特定の問題であり、一般的な問題ではないと考えられます。ジェフ!
スラジュラムクマラヴェル

1

私はIPSecに精通しており、常に機能するので、私はほとんど毎回IPSecを好みます。標準に基づいており、電話やタブレットからWindowsやLinuxマシンまで、ほぼすべてでサポートされており、NATサポートやデッドピア検出などの便利な機能を備えています。

参考までに、私は主にLinuxでOpenswanを使用しています。

IPSecを好む主なセキュリティ上の理由の1つは、セッションキーのローテーションです。OpenVPNがこれを実装した可能性があります(ただし、表示されません)。これは、長期的にデータを受動的にキャプチャする攻撃者が通信ログ全体を一度にブルートフォースすることはできませんが、個々のセッションキーの価値があることを意味します。


比較として、OpenVPNはNATでも動作し、PC、電話、およびテーブル(Windows、Mac OS X、Linux、BSD、Android、iOSなど)でサポートされています。
jwbensley

私は@javanoおそらくない、明らかに、組み込みサポート意味
mikebabcock

OpenVPNを使用したことがないことを前提としています。OpenVPNとIPsecを使用したことがある人は、IPsecを選択することはありません。これは、IPsecが「常に機能する」からです。OpenVPNの最大の利点の1つは、複雑さが大幅に軽減され、トラブルシューティングが容易であることです。私はこれを数年前に(顧客サイトに住んでいる)数百のリモートLinuxアプライアンスをIPsecからOpenVPNに変換した人と見ていました。IPsecは、IPsecのみをサポートする管理/制御していないものに接続する必要がある場合に適しています。OpenVPNは、他のほとんどすべての場合に適しています。
クリストファーキャシェル

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.