bleib-Virenfrei

Die wichtigsten VPN-Protokolle

| Von Felix Bauer

Ein VPN-Protokoll ist eine Sprache, die festlegt, wie Daten zwischen Computern und Netzwerken über eine VPN-Verbindung (Virtual Private Network) übertragen werden. Diese Protokolle gewährleisten die sichere Übertragung von Daten durch Verschlüsselung und andere Sicherheitsmechanismen.

Verschiedene VPN-Protokolle bieten unterschiedliche Vorteile in Bezug auf Geschwindigkeit, Sicherheit und Kompatibilität.

Das Wichtigste in Kürze

Hier eine Zusammenfassung der wichtigsten Punkte:
  • OpenVPN ↓: Robust, flexibel und plattformunabhängig, aber aufwändig zu konfigurieren.
  • WireGuard ↓: Modern, einfach und schnell, aber noch wenig verbreitet.
  • IKEv2 ↓: Schnell und stabil, kann aber durch Firewalls blockiert werden.
  • PPTP ↓: Veraltet und nicht sicher.
  • L2TP/IPsec ↓: Langsam aber sicher.
  • SSTP ↓: Gut, um Firewalls zu umgehen.

OpenVPN

OpenVPN ist ein robustes und vielseitiges VPN-Protokoll (Virtual Private Network), das häufig für seine starken Sicherheitsfunktionen und seine breite Kompatibilität gelobt wird. OpenVPN ist ein Open-Source-Protokoll, was bedeutet, dass seine Codebasis öffentlich zugänglich ist und von der Gemeinschaft geprüft und verbessert werden kann.

OpenVPN verwendet sämtliche Verschlüsselungs-, Authentifizierungs- und Zertifizierungsfeatures der OpenSSL-Bibliothek. Es kann eine Vielzahl von Verschlüsselungsalgorithmen verwenden, einschließlich AES (Advanced Encryption Standard), das als besonders sicher gilt. OpenVPN kann sowohl UDP (User Datagram Protocol) als auch TCP (Transmission Control Protocol) verwenden. UDP wird oft für Streaming und andere Echtzeitanwendungen bevorzugt. TCP ist etwas zuverlässiger, da es eine Überprüfung der Datenübertragung beinhaltet.

OpenVPN ist in hohem Maße konfigurierbar und kann an eine Vielzahl von Netzwerk- und Sicherheitsanforderungen angepasst werden. Diese Flexibilität kann jedoch auch die Konfiguration und Einrichtung erschweren, insbesondere im Vergleich zu einfacheren, weniger konfigurierbaren Protokollen.

Wir können dieses VPN-Protokoll jedem empfehlen.

Vor- und Nachteile von OpenVPN

  • Hohe Sicherheit durch starke Verschlüsselung
  • Flexibilität durch Anpassungsfähigkeit
  • Plattformübergreifende Verfügbarkeit
  • Open Source
  • Komplexe Konfiguration
  • Erfordert die Installation spezifischer Client-Software
  • Inkompatibilität mit einigen Geräten wie bestimmten Smart TVs oder Spielekonsolen

WireGuard

WireGuard ist ein relativ neues und modernes VPN-Protokoll, das sich auf Einfachheit, Geschwindigkeit und Effizienz konzentriert.

WireGuard besteht aus deutlich weniger Codezeilen als viele andere VPN-Protokolle, nur etwas über 4.000 Codezeilen. Zum Vergleich: OpenVPN hat 600.000 Codezeilen. Das macht es nicht nur einfacher zu testen und zu auditieren, sondern führt auch zu weniger Sicherheitslücken.

WireGuard verwendet moderne und sichere Verschlüsselungsalgorithmen wie ChaCha20 für die symmetrische Verschlüsselung, Curve25519 für den Schlüsselaustausch, BLAKE2 für Hash-Funktionen und Poly1305 für die Nachrichtenauthentifizierung.

WireGuard ist für seine hohe Geschwindigkeit und Effizienz bekannt. Es verwendet ein Konzept namens „Roaming“, das es Benutzern ermöglicht, zwischen verschiedenen Netzwerken zu wechseln, ohne die VPN-Verbindung zu unterbrechen, ähnlich wie bei IKEv2. WireGuard arbeitet auf Netzwerkebene (Layer 3) und kann sowohl mit IPv4 als auch mit IPv6 umgehen.

Trotz der vielen Vorteile ist WireGuard nicht frei von Nachteilen. Zum Beispiel ist die Tatsache, dass WireGuard keine dynamische Adressvergabe unterstützt, ein Nachteil für größere Netzwerke. Stattdessen muss jedem Client eine feste IP-Adresse zugewiesen werden, was in großen Netzwerken mühsam sein kann. Ein weiterer Punkt ist, dass WireGuard bis zur Version 1.0 keine vollständige „Forward Secrecy“ bot. „Forward Secrecy“ ist eine Funktion, die sicherstellt, dass, wenn ein Verschlüsselungsschlüssel kompromittiert wird, nur die mit diesem Schlüssel verschlüsselten Daten kompromittiert werden und nicht alle Daten, die über die Verbindung gesendet werden. In neueren Versionen von WireGuard sollte dieses Problem behoben sein.

Eine Implementierung des WireGuard-Protokolls bietet NordVPN mit NordLynx an. NordLynx kombiniert die Vorteile von WireGuard mit spezifischen Anpassungen von NordVPN, um Datenschutz und Performance zu optimieren. Um den Datenschutz zu gewährleisten, hat NordVPN unter anderem ein doppeltes Network Address Translation (NAT) System implementiert. Diese Methode ermöglicht es NordLynx, eine sichere VPN-Verbindung aufzubauen, ohne persönliche IP-Adressen auf dem Server speichern zu müssen.

Vor- und Nachteile von WireGuard

  • Einfachheit: Leicht zu konfigurieren und zu verwalten
  • Hohe Geschwindigkeit: Oft schneller als andere VPN-Protokolle
  • Geringe Latenz: Ideal für Echtzeitanwendungen
  • Modernes und sicheres Verschlüsselungsprotokoll
  • Geringer Ressourcenverbrauch
  • Noch relativ neu und nicht so weit verbreitet wie andere Protokolle
  • Manche ältere Geräte und Betriebssysteme unterstützen es möglicherweise nicht
  • Bietet keine dynamische Adressvergabe, es erfordert manuelle Konfiguration

IKEv2

IKEv2, oder Internet Key Exchange Version 2 wurde in Zusammenarbeit von Microsoft und Cisco entwickelt und wird oft in Kombination mit IPsec (Internet Protocol Security) verwendet. IKEv2/IPsec ist für seine hohe Sicherheit und Stabilität bekannt. IKEv2 unterstützt mehrere Methoden zur Authentifizierung von Benutzern und Servern, darunter Zertifikate und Pre-Shared Keys.

Eine der bemerkenswertesten Eigenschaften von IKEv2 ist die Unterstützung von „Mobility and Multihoming“ (MOBIKE). Dies bedeutet, dass es sich gut für mobile Benutzer eignet, da es in der Lage ist, die Verbindung aufrechtzuerhalten, wenn ein Gerät von einem Netzwerk in ein anderes wechselt (z. B. von einem WLAN in ein mobiles Datennetzwerk).

IKEv2 ist effizient bei der Nutzung von Netzwerkressourcen, was zu schnellen und stabilen Verbindungen führen kann. Ein potenzieller Nachteil von IKEv2 ist, dass es leichter von Firewalls blockiert werden kann, da es auf bestimmten Netzwerkports (UDP 500 und 4500) arbeitet.

Obwohl IKEv2 selbst ein offener Standard ist, verwenden einige Implementierungen von IKEv2 proprietäre Erweiterungen, die nicht offen verfügbar sind. Dies kann zu Kompatibilitätsproblemen führen, wenn verschiedene IKEv2-Implementierungen verwendet werden.

Vor- und Nachteile von IKEv2

  • Schnell und effizient
  • Hohe Stabilität: Unterstützt „Always-On“ und kann schnell wieder eine Verbindung herstellen
  • Sicher: Bietet starke Verschlüsselungsoptionen
  • Gute Unterstützung: Unterstützt von den meisten modernen Plattformen
  • Firewall-Probleme: Kann in bestimmten Netzwerken blockiert werden
  • Komplexität: Kann kompliziert zu konfigurieren sein
  • Weniger flexibel: Weniger Anpassungsmöglichkeiten als bei einigen anderen Protokollen

PPTP

Das Point-to-Point Tunneling Protocol (PPTP) ist eines der ältesten VPN-Protokolle und wurde in den 1990er Jahren von Microsoft entwickelt. Es ist relativ einfach zu konfigurieren und zu warten. Es ist auf vielen Betriebssystemen, einschließlich Windows, macOS, Linux, iOS und Android, vorinstalliert, was die Konfiguration für den Benutzer vereinfacht.

Leider weist PPTP mehrere bekannte Sicherheitslücken auf. Das bekannteste Problem ist die Schwachstelle im Verschlüsselungsalgorithmus MS-CHAP v2, die theoretisch mit ausreichender Rechenleistung geknackt werden kann. Aufgrund dieser Sicherheitsbedenken empfehlen wir, PPTP nur zu verwenden, wenn es absolut notwendig ist und andere sicherere Optionen wie OpenVPN, IKEv2 oder WireGuard nicht zur Verfügung stehen.

Vor- und Nachteile von PPTP

  • Einfache Einrichtung: Sehr leicht zu konfigurieren und zu verwenden
  • Weite Verbreitung: Unterstützt von fast allen Betriebssystemen und Geräten
  • Schnell
  • Sicherheitsprobleme: Bekannt für seine Sicherheitslücken
  • Veraltet: Wurde durch sicherere und effizientere Protokolle ersetzt
  • Schwache Verschlüsselung: Bietet nur begrenzte Verschlüsselungsoptionen

L2TP und L2TP/IPsec

Das Layer 2 Tunneling Protocol (L2TP) ist ein VPN-Protokoll, das Ende der 1990er Jahre als Nachfolger des Point-to-Point Tunneling Protocol (PPTP) und des Layer 2 Forwarding Protocol (L2F) entwickelt wurde. Es wurde gemeinsam von Cisco und Microsoft entwickelt und ist in vielen Betriebssystemen und Netzwerkgeräten integriert.

L2TP selbst bietet keine Verschlüsselung. Daher wird es häufig in Kombination mit IPsec (Internet Protocol Security) verwendet, das eine robuste Verschlüsselung und Authentifizierung bietet. Die Kombination dieser beiden Protokolle wird häufig als L2TP/IPsec bezeichnet.

Aufgrund der doppelten Datenkapselung kann L2TP/IPsec langsamer sein und mehr Bandbreite verbrauchen als andere VPN-Protokolle. Zudem verwendet L2TP/IPsec den UDP-Port 500, der von einigen Firewalls und Netzwerken blockiert wird. Dies kann den Aufbau einer L2TP/IPsec-Verbindung in einigen Netzwerken erschweren.

Vor- und Nachteile von L2TP/IPsec

  • Weite Verbreitung: Unterstützt von den meisten Betriebssystemen und Geräten
  • Starke Verschlüsselung: Nutzt das IPsec-Protokoll für eine hohe Sicherheit
  • Einfache Konfiguration: Keine zusätzliche Software erforderlich auf den meisten Plattformen
  • Geschwindigkeitsprobleme: Aufgrund der starken Verschlüsselung oft langsamer als andere Protokolle
  • Port-Blocking: Kann von einigen Firewalls und Netzwerken blockiert werden

SSTP

Secure Socket Tunneling Protocol (SSTP) ist ein von Microsoft entwickeltes VPN-Protokoll. Es ist tief in Windows-Systeme integriert und wird von allen modernen Windows-Versionen nativ unterstützt. Es wird auch von einigen Versionen von Linux und MacOS unterstützt, wenn auch nicht so umfassend wie unter Windows.

SSTP verwendet SSL/TLS (dasselbe Protokoll, das für sichere HTTPS-Webverbindungen verwendet wird), um den Datenverkehr zu verschlüsseln. Das bedeutet, dass es sehr sichere Verbindungen mit bis zu 256-Bit-Verschlüsselung bietet.

SSTP läuft auf demselben Port wie HTTPS-Verkehr (Port 443) und kann daher häufig Firewalls passieren, die bestimmte Arten von Internetverkehr blockieren. Dies macht SSTP zu einer guten Wahl für den Einsatz in Netzwerken mit strengen Firewall-Regeln.

Vor- und Nachteile von SSTP

  • Starke Verschlüsselung: Nutzt 256-Bit-SSL/TLS-Verschlüsselung
  • Bypass-Features: Kann Firewalls und Netzwerkbeschränkungen umgehen
  • Nativ in Windows integriert: Keine zusätzliche Software benötigt auf Windows-Plattformen
  • Eingeschränkte Plattform-Unterstützung: Ursprünglich für Windows entwickelt, weniger Unterstützung für andere Plattformen

Wahl des richtigen Protokolls

Wenn Sie die Möglichkeit haben, OpenVPN einzusetzen, empfehlen wir dies. Es bietet eine gute Mischung aus Geschwindigkeit und Sicherheit und ist für seine hohe Anpassungsfähigkeit bekannt.

Wireguard ist ein neues, sehr schnelles und sicheres VPN-Protokoll. Es ist einfacher und schlanker als OpenVPN und bietet dennoch ein hohes Maß an Sicherheit. Es hat sich schnell zur bevorzugten Wahl für viele VPN-Dienste entwickelt. Unterstützt Ihr VPN-Dienst Wireguard, können Sie die Geschwindigkeitsvorteile selbst ausprobieren.

Felix Bauer
Felix Bauer ist IT-Security Consultant (IT-Sicherheitsberater) mit 20 Jahren Erfahrung in der IT-Sicherheitsbranche. Felix Bauer begann im Alter von 14 Jahren mit der Analyse von Malwaresamples.

Zusätzlich zur Tätigkeit als Sicherheitsberater schreibt Felix Bauer häufig Fachbeiträge zu den Themen IT-Sicherheit und Internet-Technik. Seine Themenschwerpunkte: Antivirus, Sicherheitslücken und Malware. Unter anderem schrieb Felix Bauer bereits Fachbeiträge für die IT-Fachzeitschriften Computerwelt, Heise und IT-Administrator. Felix Bauer wurde in zahlreichen Fach- und News-Beiträgen erwähnt (u. a. in der Wiener Zeitung und in der Computerworld). Einige Referenzen finden Sie auf Felix Bauers Internetseite.

Felix Bauer besitzt den Abschluss Master of Science in Security and Forensic Computing.

Felix Bauer ist Mitbegründer der Initiative bleib-Virenfrei.
Weitere Artikel zum Thema VPN
Mehr Artikel