Quels sont les inconvénients d'OpenVPN?

29

J'ai vu tellement de gens aux prises avec IPSec et de nombreuses autres technologies VPN sécurisées. Pour ma part, j'ai toujours simplement utilisé OpenVPN, avec des résultats magnifiques, simples et polyvalents. Je l'ai utilisé sur les routeurs DD-WRT, les gros serveurs et les téléphones Android, pour n'en nommer que quelques-uns.

Quelqu'un pourrait-il m'expliquer ce que je manque? Y a-t-il des inconvénients à OpenVPN que je ne connais pas? IPSec et ses amis offrent-ils des fonctionnalités impressionnantes que je ne connaissais pas? Pourquoi tout le monde n'utilise-t-il pas OpenVPN?

user1056
la source

Réponses:

20

À mon humble avis, le plus grand inconvénient d'OpenVPN est qu'il n'est pas interopérable avec la grande majorité des produits des fournisseurs de réseaux de «grands noms». Les produits de sécurité et de routeur de Cisco et Juniper ne le prennent pas en charge - ils ne prennent en charge que IPsec et les VPN SSL propriétaires. Palo Alto, Fortinet, Check Point, etc. ne le supportent pas non plus. Donc, si votre organisation / entreprise souhaite configurer un VPN extranet de site à site pour une autre entreprise et que vous ne disposez que d'une appliance OpenVPN, vous n'aurez probablement pas de chance.

Cela étant dit, certaines sociétés de matériel et de logiciels de réseau commencent à adopter OpenVPN. MikroTik est l'un d'entre eux. Il est pris en charge depuis RouterOS 3.x:

http://wiki.mikrotik.com/wiki/OpenVPN

En outre, pendant la plus longue période, le seul moyen d'exécuter un client OpenVPN sur iOS d'Apple a nécessité le jailbreak. Ce n'est plus le cas:

https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8

Dans l'ensemble, la situation s'améliore. Cependant, sans que des fournisseurs comme Cisco et Juniper ne l'implémentent dans leurs produits, je ne vois pas de grandes entreprises l'adopter sans faire face à des problèmes d'interopérabilité.

Mark Kamichoff
la source
Ainsi que Mikrotik OpenVPN est dans (et est depuis un certain temps maintenant) pfSense pfsense.org (bien que je ne pense pas que vous puissiez créer des tunnels de site à site avec lui, peut-être via la CLI?
jwbensley
Je ne savais pas que c'était une application OpenVPN IOS, yay!
zevlag
6

IPSEC est standard. Presque tous les fournisseurs de réseaux la prennent en charge. Vous ne pouvez pas atteindre le même niveau d'interopérabilité entre les routeurs avec OpenVPN.

Comme David l'a dit, rien ne cloche avec OpenVPN pour une solution VPN cliente. Pour les VPN de site à site ou les solutions d'infrastructure, je choisirais le VPN IPSEC.

sergejv
la source
5

L'un des inconvénients est que dans un environnement d'entreprise, certains gestionnaires n'aiment pas s'appuyer sur des logiciels open source.

Personnellement, je ne vois rien de mal avec OpenVPN pour une solution VPN utilisateur.

L'IPSEC peut être implémenté dans le matériel (ou plutôt l'élément de chiffrement d'IPSEC) et est donc utile lorsque vous souhaitez envoyer beaucoup de données sur un VPN et que vous ne voulez pas sacrifier la puissance du processeur sur les stations d'utilisateur final.

David Rothera
la source
Il existe des solutions IPsec entièrement matérielles. Cependant, ils sont a) coûteux et b) presque toujours propriétaires de Windows (serveur). (crypto en ligne avec le NIC [cavium], ou intégré directement dans le nic [intel])
Ricky Beam
Je faisais plus référence aux goûts des ASA qui font de la cryptographie dans le matériel.
David Rothera
Je pensais à une carte réseau qui le fait. Beaucoup de matériel de routeur / pare-feu ont des puces cryptographiques de nos jours. (la clé étant la partie très chère, `` les processeurs anémiques utilisés dans la plupart des routeurs en ont également besoin pour le trafic)
Ricky Beam
Je pense que l'IPSEC dans le point matériel est un énorme avantage pour IPSEC. OpenVPN était (et je pense que c'est toujours le cas, mais je ne trouve aucune documentation définitive de toute façon) à un seul thread. Aider à l'enquête initiale sur le démarrage d'une entreprise de VPN commercial, il a été abandonné car OpenVPN n'allait pas être assez rapide. Voir cette réponse ServerFault pour un aperçu (son plus sur les connexions simultanées); serverfault.com/questions/439848/… La vitesse n'est peut-être pas si importante pour vous, nous cherchions à vendre des VPN à 100 Mbps.
jwbensley
1
  • OpenVPN a une implémentation plus sécurisée (Userspace vs Kernel).

  • Il fonctionne mieux avec les pare-feu et NAT (pas besoin d'assurer NAT-T) et est difficile à filtrer.

  • C'est beaucoup moins compliqué qu'IPsec

hyussuf
la source
3
La quête pose des questions sur les inconvénients d'OpenVPN ...
tegbains
L'espace utilisateur n'est pas intrinsèquement plus sûr que l'espace du noyau, et la sécurité est mieux décidée par examen et test - l'un est normalisé pour une raison.
mikebabcock
2
En fait, c'est le cas. l'implémentation de VPN dans l'espace utilisateur est plus sécurisée du point de vue des systèmes que dans le noyau. pour plus de détails, consultez cet article SANS sur les VPN basés sur SSL sans.org/reading_room/whitepapers/vpns/…
hyussuf
Les choses ont quelque peu évolué depuis la publication initiale de cette réponse; en particulier, la vulnérabilité Heartbleed en 2014 nous a malheureusement rappelé à quel point les vulnérabilités profondes sur OpenSSL peuvent affecter l'ensemble d'OpenVPN. Il a également démontré que l'exécution dans l'espace utilisateur ne rend pas les attaques moins critiques, étant donné que les logiciels VPN ont une très forte probabilité d'être en contact dans un contenu très sensible, traçant souvent le chemin pour acquérir le privilège root sur la machine VPN et / ou d'autres machines environ. Enfin, la plupart des solutions de pare-feu d'entreprise bloquent désormais OpenVPN via une inspection approfondie des paquets…
jwatkins
1

OpenVPN n'a pas certaines certifications réglementaires, comme le support FIPS 140-2.

awh
la source
1
Il y a en fait un support FIPS 140-2 possible avec OpenVPN ... il y avait une version certifiée d'OpenSL et des correctifs pour OpenVPN pour l'utiliser de manière certifiée ... nous faisons exactement cela, en fait.
Jeff McAdams
1

Le seul inconvénient technique d'OpenVPN que je vois est qu'en comparaison avec ses concurrents, le système introduit beaucoup de latence dans les liaisons VPN . Mise à jour: j'ai constaté que ce n'était pas un problème avec OpenVPN en général, mais uniquement avec mes tests. Lorsque OpenVPN est exécuté sur le protocole TCP, les frais généraux TCP rendent OpenVPN légèrement plus lent. L2TP utilise des ports et des protocoles fixes pour l'interopérabilité et il n'y a donc aucune fonctionnalité pour l'exécuter sur TCP. Openvpn sur UDP semble être plus rapide pour de nombreux autres utilisateurs.

Le seul autre avantage lors de l'utilisation de PPTP / L2TP / Ipsec est que j'ai trouvé plus facile à installer sur une machine Windows ou un iPhone sans installer de logiciel côté client supplémentaire. YMMV.

Vous voudrez peut-être lire cette page

Surajram Kumaravel
la source
1
Là où je travaille, nous utilisons beaucoup OpenVPN et nous ne sommes pas conscients de problèmes de latence supplémentaires à cause de cela. Pouvez-vous nous en dire plus sur la nature de cela?
Jeff McAdams
J'ai testé OpenVPN, L2TP et PPTP lorsque j'essaie de crypter une connexion à mon serveur VoIP tout en utilisant des softphones sur des postes de travail distants. J'ai trouvé OpenVPN introduit le plus de latence et PPTP était le plus rapide. Finalement, je suis allé avec L2TP. Les problèmes de latence ne sont apparus que sur quelques réseaux 3G pauvres, mais même sur les mêmes réseaux, L2TP semblait bien fonctionner.
Surajram Kumaravel
La lecture d' ivpn.net/pptp-vs-l2tp-vs-openvpn me fait penser que c'était un problème spécifique avec ma configuration et pas un problème général. Merci de m'avoir aidé à réaliser que Jeff!
Surajram Kumaravel
1

Je préfère IPSec presque à chaque fois car je le connais et ça fonctionne toujours. Étant basé sur des normes, il est pris en charge par presque tout, des téléphones et tablettes aux machines Windows et Linux et il possède des fonctionnalités utiles telles que la prise en charge NAT et la détection des pairs morts.

Pour info, j'utilise principalement Openswan sous Linux.

L'une des principales raisons de sécurité que nous préférons IPSec est la rotation des clés de session. OpenVPN a peut-être implémenté cela (mais je ne le vois pas). Cela signifie qu'un attaquant qui capture passivement des données à long terme ne peut pas forcer brutalement l'intégralité du journal de communication, mais seulement la valeur de chaque clé de session individuelle.

mikebabcock
la source
À titre de comparaison, OpenVPN fonctionne également via NAT et est pris en charge sur PC, téléphones et tables (Windows, Mac OS X, Linux, BSD, Android, iOS, etc.).
jwbensley
Je voulais dire le support intégré, peut-être pas évidemment @javano
mikebabcock
Je vais supposer que vous n'avez jamais utilisé OpenVPN. Personne qui a utilisé OpenVPN et IPsec ne choisira IPsec car cela "fonctionne toujours". Parmi les plus grands avantages d'OpenVPN, citons sa complexité considérablement réduite et sa facilité de dépannage. J'ai vu cela comme quelqu'un qui a converti des centaines d'appareils Linux distants (vivant sur les sites des clients) d'IPsec en OpenVPN il y a quelques années. IPsec est bon si vous devez vous connecter à quelque chose que vous ne gérez pas / contrôlez et qui ne prend en charge que IPsec. OpenVPN est un meilleur choix dans presque tous les autres cas.
Christopher Cashell