为什么我们不建议您使用 PPTP、L2TP 和 IKEv1

在为您选择正确的 VPN 协议时,这可能是一项棘手的任务。 有很多可供选择,每个人所做的事情都可能有点技术性,特别是对于那些只想让他们的互联网活动尽可能私密的人。 这就是为什么重要的是要知道提供了一些 VPN 协议,但它们并不安全,应尽可能避免使用。 这些协议包括 PPTP、L2TP 和 IKEv1。 在本文中,我们将深入探讨为什么不应该使用这些协议。

目录

PPTP

点对点隧道协议 (PPTP) 是最常用的 VPN 协议之一,主要是由于它在众多设备上的广泛兼容性。 它自 2000 年以来一直存在,从那时起由于存在许多众所周知的安全漏洞而被互联网安全行业完全抹黑。

PPTP 存在的漏洞是由 PPP 认证协议和使用的 MPPE 协议引起的。 这包括 MPPE 和 PPP 都用于会话密钥建立的方式。

用于身份验证的 MS-CHAP-v1 从根本上说是不安全的,有各种可用的工具可以轻松地从捕获的 MS-CHAP-v1 通信中提取 NT 密码哈希。 MS-CHAP-v2 也同样容易受到攻击,但这次是针对挑战-响应数据包的字典攻击。 同样,可以随时使用工具来执行这些攻击。

MPPE 协议使用 RC4 流密码进行加密。 这意味着无法对密文流进行身份验证,这意味着它容易受到比特翻转攻击。 这意味着攻击者可以修改流量而不会被检测到。

如您所见,PPTP 已被完全破坏,应不惜一切代价避免使用。 虽然兼容性很有用,但它不再安全。

L2TP/IPsec

第 2 层隧道协议 (L2TP) 是另一种非常流行的协议,它具有一些固有的安全漏洞。 由于 Android 和 iOS 的原生支持,它经常被移动用户使用。 它的起源来自前面提到的 PPTP,其最新的迭代 L2TPv3 来自 2005 年。

L2TP 实际上并没有指定任何强制加密,而是依赖于 PPP 的 MPPE 加密方法。 这就是为什么它几乎总是与支持 AES-256 的 IPSec 配对的原因。 IPSec 的一个大问题是它使用 UDP 端口 500,这使得它很容易被防火墙阻止。 L2TP/IPSec 相当安全,但 Edward Snowden 和 John Gilmore(EFF 的创始成员)等人传言该协议已被 NSA 削弱,这意味着它不一定是最佳选择到安全。 最近的研究证明,L2TP/IPsec 与常规 IKEv1 IPSec 存在相同的漏洞,因此不应再使用。 您可以在此处找到有关该主题的更多信息。

总的来说,L2TP/IPSec 表面上看起来是一个很棒的协议,但现在应该避免使用。 毫无疑问,它对 iOS 和 Android 之类的支持很有用,但以牺牲安全性为代价并不值得。

IKEv1

Internet 密钥交换 (IKE) 协议的第一个版本为 IKEv2 成为当前可用的最安全和最快的 VPN 协议之一奠定了基础。 第一个版本虽然具有无法避免的固有安全漏洞。

Der Spiegel 发布的泄露的 NSA 演示文稿表明,IKE 正在以一种目前未知的方式被利用来解密 IPSec 流量。 研究人员还发现了可能破坏 1024 位 Diffie-Hellman 加密的 Logjam 攻击。 这是一个巨大的发现,因为这意味着 66% 的 VPN 服务器、18% 的顶级 HTTPS 和 26% 的 SSH 服务器易受攻击。 尽管这一发现在互联网安全行业颇受争议,但在选择 VPN 协议时值得考虑。

如上所述,最近在 IKEv1 上发现的密钥重用漏洞使得该协议非常不安全。 由于我们的 IKEv1 部署设计(我们不使用易受攻击的基于 RSA 的身份验证机制),因此无法利用 Hide.me 服务器上的密钥重用漏洞。 由于这个事实,我们的 IKEv2 实施也是安全的。

当 IKEv2 存在时,它比第一个版本有了不可估量的改进,没有理由不使用它。 IKEv2 带来了拒绝服务攻击弹性、SCTP 支持和 NAT 穿越等功能。

此时应避免使用 IKEv1,我们强烈建议使用 IKEv2 作为您的主要 VPN 协议。

更好的协议使用

我们提供了许多不同的 VPN 协议,它们的安全性比此处列出的协议更高。 我们高度评价 IKEv2,它是我们为广大用户推荐的 VPN 协议。 但 OpenVPN 是另一个不错的选择。 手动设置可能有点繁琐,而且绝对不适合新手用户。 但它可以在多种设备上使用并且已知安全。

SoftEther 是另一个不错的选择,但只有通过专用程序才能真正使用。 它提供了良好的安全性和速度,但不要期望在您的所有设备上都使用它。 最后,SSTP 是一个不错的选择。 值得记住的是,这是微软的专有协议,但规范足够清晰,应该没有问题。 . 对于 Windows 用户来说,这是一个不错的选择,因为它是原生支持的,而且设置起来很容易。

hide.me VPN 应用

在您的设备上设置 VPN 连接的最简单方法是使用 Hide.me VPN 应用程序。 它适用于 Windows、macOS、iOS、Android 和 Windows Phone。 在我们的应用程序上,您可以在我们提供的所有 VPN 协议之间进行选择,甚至包括 SoftEther。 因此,您只需连接到您选择的服务器,而不必担心保持安全。 您甚至可以设置回退协议,以防您选择的协议出现故障。

免费试用

这甚至没有提到我们的应用程序可用的其他功能,例如终止开关、拆分隧道、防火墙和阻止 DNS 泄漏的能力。 我们甚至有 Chrome 和 Firefox 可用的扩展。