Quais são as desvantagens do OpenVPN?

29

Eu tenho visto tantas pessoas sempre lutando com IPSec e muitas outras tecnologias VPN seguras. Eu, por exemplo, sempre usei o OpenVPN simplesmente, com resultados bonitos, simples e versáteis. Eu usei em roteadores DD-WRT, grandes servidores e telefones Android, para citar alguns.

Alguém poderia me explicar o que estou perdendo? Existem desvantagens no OpenVPN que eu não conheço? O IPSec e os amigos oferecem algum recurso incrível que eu não conhecia? Por que todo mundo não está usando o OpenVPN?

user1056
fonte

Respostas:

20

IMHO, a maior desvantagem do OpenVPN é que não é interoperável com a grande maioria dos produtos de fornecedores de redes de "grandes nomes" por aí. Os produtos de roteador e segurança da Cisco & Juniper não são compatíveis - eles oferecem suporte apenas a IPsec e VPNs SSL proprietárias. Palo Alto, Fortinet, Check Point, etc. também não o suportam. Portanto, se sua organização / empresa deseja configurar uma VPN de extranet site a site para outra empresa e você só possui um dispositivo OpenVPN, provavelmente estará sem sorte.

Dito isto, algumas empresas de hardware e software de rede estão começando a adotar o OpenVPN. MikroTik é um deles. É suportado desde o RouterOS 3.x:

http://wiki.mikrotik.com/wiki/OpenVPN

Além disso, por muito tempo, a única maneira de executar um cliente OpenVPN no iOS da Apple exigia o jailbreak. Não é mais assim:

https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8

No geral, a situação está melhorando. No entanto, sem fornecedores como Cisco e Juniper implementando-os em seus produtos, não vejo grandes empresas adotando-os sem enfrentar problemas de interoperabilidade.

Mark Kamichoff
fonte
Assim como o Mikrotik OpenVPN está no (e já está há algum tempo) pfSense pfsense.org (Embora eu não acredite que você possa criar túneis site a site com ele, talvez através da CLI?
jwbensley
Eu não sabia que era um aplicativo OpenVPN IOS, sim!
Zevlag
6

IPSEC é padrão. Quase todos os fornecedores de rede suportam. Você não pode alcançar o mesmo nível de interoperabilidade entre roteadores com o OpenVPN.

Como David disse, nada está errado com o OpenVPN para uma solução de VPN cliente. Para soluções de infraestrutura ou VPN site a site, eu escolheria a VPN IPSEC.

sergejv
fonte
5

Uma das desvantagens é que, em um ambiente corporativo, alguns gerentes não gostam de confiar em software de código aberto.

Pessoalmente, não vejo nada errado com o OpenVPN para uma solução de VPN de usuário.

O IPSEC pode ser implementado em hardware (ou melhor, no elemento de criptografia do IPSEC) e, portanto, é útil quando você deseja enviar muitos dados por uma VPN e não deseja sacrificar o poder da CPU nas estações do usuário final.

David Rothera
fonte
Existem soluções IPsec totalmente em hardware. No entanto, eles são a) caros eb) quase sempre proprietários de janelas (servidores). (cripto em-linha com o NIC [Cavium], ou incorporado directamente na nic [Intel])
Ricky feixe
Eu estava me referindo mais aos gostos dos ASA que fazem criptografia em hardware.
David Rothera
Eu estava pensando em uma placa de rede que faz isso. Atualmente, muitos hardwares de roteador / firewall têm chips de criptografia. (steup chave é a parte muito caro, 'tho os processadores anêmicos usados na maioria dos roteadores precisar dele para o tráfego bem)
Ricky feixe
Eu acho que o IPSEC no ponto de hardware é uma grande vantagem para o IPSEC. O OpenVPN costumava ser (e acredito que ainda é, mas não consigo encontrar nenhuma documentação definitiva) de thread único. Ao ajudar na investigação inicial de uma empresa comercial de VPN iniciando, ela foi abandonada porque o OpenVPN não seria rápido o suficiente. Veja esta resposta ServerFault para obter algumas dicas (é mais sobre conexões simultâneas); serverfault.com/questions/439848/… A velocidade pode não ser tão importante para você, estávamos pensando em vender 100Mbps VPNS.
Jwbensley # 28/13
1
  • O OpenVPN possui uma implementação mais segura (Espaço de Usuário x Kernel).

  • Funciona melhor com Firewalls e NAT (não é necessário garantir o NAT-T) e é difícil de filtrar.

  • É muito menos complicado que o IPsec

hyussuf
fonte
3
O questionador está perguntando sobre as desvantagens de OpenVPN ...
tegbains
O espaço do usuário não é inerentemente mais seguro que o espaço do kernel, e a segurança é melhor decidida por revisão e teste - um é padronizado por um motivo.
Mikebabcock
2
Na verdade é. implementar a VPN no espaço do usuário é mais seguro do ponto de vista dos sistemas do que no kernel. para mais detalhes ter um olhar para este papel SANS sobre SSL com base VPNS sans.org/reading_room/whitepapers/vpns/...
hyussuf
As coisas evoluíram um pouco desde que esta resposta foi publicada originalmente; em particular, a vulnerabilidade Heartbleed em 2014 infelizmente nos lembrou como vulnerabilidades profundas no OpenSSL podem afetar todo o OpenVPN. Também demonstrou que a execução no espaço do usuário não torna os ataques menos críticos, uma vez que os softwares da VPN têm uma probabilidade muito alta de estar em contato com conteúdo altamente sensível, muitas vezes traçando o caminho para adquirir privilégios de root na máquina da VPN e / ou em outras máquinas por aí. Finalmente, a maioria das soluções de firewall corporativo agora bloqueiam OpenVPN através Deep Packet Inspection ...
jwatkins
1

O OpenVPN não possui certas certificações regulatórias, como o suporte ao FIPS 140-2.

awh
fonte
1
Na verdade, existe o suporte ao FIPS 140-2 possível com o OpenVPN ... houve uma compilação certificada de openssl e patches para o OpenVPN para usá-lo de maneira certificada ... estamos fazendo exatamente isso, de fato.
22613 Jeff McAdams
1

A única desvantagem técnica do OpenVPN que vejo é que, em comparação com seus concorrentes, o sistema introduz muita latência nos links VPN . Atualização: Eu descobri que isso era uma falha não no OpenVPN em geral, mas apenas nos meus testes. Quando o OpenVPN é executado no protocolo TCP, as despesas gerais do TCP tornam o OpenVPN um pouco mais lento. O L2TP usa portas e protocolos fixos para interoperabilidade e, portanto, não há recurso para executá-lo no TCP. Openvpn no UDP parece ser mais rápido para muitos outros usuários.

A única outra vantagem ao usar PPTP / L2TP / Ipsec é que achei mais fácil configurar em uma máquina Windows ou iPhone sem instalar nenhum software adicional do lado do cliente. YMMV.

Você pode querer ler esta página

Surajram Kumaravel
fonte
1
Onde trabalho, usamos bastante o OpenVPN e não temos conhecimento de preocupações adicionais de latência por causa disso. Você pode elaborar sobre a natureza disso?
22613 Jeff McAdams
Testei OpenVPN, L2TP e PPTP ao tentar criptografar uma conexão com meu servidor VoIP enquanto usava softphones em estações de trabalho remotas. Eu descobri que o OpenVPN introduziu a maior latência e o PPTP foi o mais rápido. Eventualmente eu fui com L2TP. Os problemas de latência apareciam apenas em algumas redes 3G ruins, mas mesmo nas mesmas redes o L2TP parecia funcionar bem.
Surajram Kumaravel
A leitura de ivpn.net/pptp-vs-l2tp-vs-openvpn me faz pensar que esse era um problema específico da minha instalação e não um problema geral. Obrigado por me ajudar a perceber que Jeff!
Surajram Kumaravel
1

Eu prefiro o IPSec quase sempre, porque estou familiarizado com ele e sempre funciona. Sendo baseado em padrões, é suportado por quase tudo, desde telefones e tablets a máquinas Windows e Linux, e possui recursos úteis, como suporte a NAT e detecção de ponto morto.

Para sua informação, uso principalmente o Openswan no Linux.

Um dos principais motivos de segurança dos quais preferimos o IPSec é a rotação das chaves da sessão. O OpenVPN pode ter implementado isso (mas não o vejo). Isso significa que um invasor que captura passivamente dados a longo prazo não pode forçar brutalmente todo o log de comunicação de uma só vez, mas apenas o valor de cada chave de sessão individual.

mikebabcock
fonte
Apenas como comparação, o OpenVPN também funciona através do NAT e é suportado em PC, telefones e tabelas (Windows, Mac OS X, Linux, BSD, Android, iOS e assim por diante).
Jwbensley # 28/13
Eu quis dizer suporte embutido, talvez não, obviamente, @javano
mikebabcock
Eu vou assumir que você nunca usou o OpenVPN. Ninguém que tenha usado o OpenVPN e o IPsec escolherá o IPsec porque "sempre funciona". Entre as maiores vantagens do OpenVPN, está a complexidade drasticamente reduzida e a facilidade de solução de problemas. Eu vi isso como alguém que converteu centenas de dispositivos Linux remotos (que moram em sites de clientes) de IPsec para OpenVPN alguns anos atrás. O IPsec é bom se você precisar se conectar a algo que você não gerencia / controla e que suporta apenas IPsec. O OpenVPN é uma escolha melhor em quase todos os outros casos.
Christopher Cashell 27/16
0

O OpenVPN possui um layout spoke, portanto toda a comunicação precisaria rotear através do servidor principal. O Tinc-VPN pode fazer roteamento entre sites diferentes. Você pode ler este blog: http://www.allsundry.com/2011/04/10/tinc-better-than-openvpn/

Expressão impassível
fonte