¿Cuáles son las desventajas de OpenVPN?

29

He estado viendo tanta gente luchando con IPSec y muchas otras tecnologías VPN seguras. Yo, por ejemplo, siempre he usado OpenVPN, con resultados hermosos, simples y versátiles. Lo he usado en enrutadores DD-WRT, grandes servidores y teléfonos Android, por nombrar algunos.

¿Podría alguien explicarme lo que me estoy perdiendo? ¿Hay alguna desventaja en OpenVPN que desconozco? ¿IPSec y sus amigos ofrecen alguna característica increíble que no conocía? ¿Por qué no todos usan OpenVPN?

usuario1056
fuente

Respuestas:

20

En mi humilde opinión, la mayor desventaja de OpenVPN es que no es interoperable con la gran mayoría de los productos de los proveedores de redes de "grandes nombres". Los productos de seguridad y enrutador de Cisco y Juniper no lo admiten: solo admiten IPsec y VPN SSL patentadas. Palo Alto, Fortinet, Check Point, etc., tampoco lo admiten. Entonces, si su organización / empresa quiere configurar una VPN extranet de sitio a sitio para otra compañía y solo tiene un dispositivo OpenVPN, probablemente no tendrá suerte.

Dicho esto, algunas compañías de hardware y software de red están comenzando a adoptar OpenVPN. MikroTik es uno de ellos. Ha sido compatible desde RouterOS 3.x:

http://wiki.mikrotik.com/wiki/OpenVPN

Además, durante mucho tiempo, la única forma de ejecutar un cliente OpenVPN en iOS de Apple requirió jailbreak. Esto ya no es así:

https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8

En general, la situación está mejorando. Sin embargo, sin que proveedores como Cisco y Juniper lo implementen en sus productos, no puedo ver que las grandes empresas lo adopten sin enfrentar problemas de interoperabilidad.

Mark Kamichoff
fuente
Además de que Mikrotik OpenVPN está en (y ha estado dentro por un tiempo) pfSense pfsense.org (aunque no creo que pueda crear túneles de sitio a sitio con él, ¿quizás a través de la CLI?
jwbensley
No sabía que era una aplicación OpenVPN IOS, ¡sí!
zevlag
6

IPSEC es estándar. Casi todos los proveedores de redes lo admiten. No puede lograr el mismo nivel de interoperabilidad entre enrutadores con OpenVPN.

Como dijo David, no hay nada malo con OpenVPN para una solución VPN de cliente. Para las soluciones de infraestructura o VPN de sitio a sitio, elegiría IPSEC VPN.

sergejv
fuente
5

Una de las desventajas es que en un entorno corporativo a algunos gerentes no les gusta confiar en software de código abierto.

Personalmente, no veo nada malo con OpenVPN para una solución VPN de usuario.

IPSEC se puede implementar en hardware (o más bien en el elemento de cifrado de IPSEC) y, por lo tanto, es útil cuando desea transferir una gran cantidad de datos a través de una VPN y no quiere sacrificar la potencia de la CPU en las estaciones de usuario final.

David Rothera
fuente
Hay soluciones IPsec completamente en hardware. Sin embargo, son a) caros yb) casi siempre propiedad de Windows (servidor). (cripto en línea con el NIC [cavium], o integrado directamente en el nic [intel])
Ricky Beam
Me refería más a los gustos de los ASA que hacen criptografía en hardware.
David Rothera
Estaba pensando en una NIC que lo hace. Muchos hardware de enrutadores / firewall tienen chips criptográficos en estos días. (el steup clave es la parte más costosa, aunque los procesadores anémicos utilizados en la mayoría de los enrutadores también lo necesitan para el tráfico)
Ricky Beam
Creo que el IPSEC en hardware es una gran ventaja para IPSEC. OpenVPN solía ser (y creo que todavía lo es, pero no puedo encontrar ninguna documentación definitiva de ninguna manera) de un solo hilo. Al ayudar en la investigación inicial de una empresa VPN comercial que se estaba iniciando, se abandonó porque OpenVPN no iba a ser lo suficientemente rápido. Consulte esta respuesta de ServerFault para obtener información (es más acerca de las conexiones concurrentes); serverfault.com/questions/439848/… La velocidad puede no ser tan importante para usted, estábamos buscando vender VPNS a 100 Mbps.
jwbensley
1
  • OpenVPN tiene una implementación más segura (espacio de usuario frente a kernel).

  • Funciona mejor con firewalls y NAT (no es necesario garantizar NAT-T) y es difícil de filtrar.

  • Es mucho menos complicado que IPsec

hyussuf
fuente
3
La búsqueda es preguntar sobre las desventajas de OpenVPN ...
tegbains
El espacio del usuario no es intrínsecamente más seguro que el espacio del kernel, y la seguridad se decide mejor mediante revisión y prueba: uno está estandarizado por una razón.
mikebabcock
2
En realidad lo es. implementar VPN en el espacio de usuario es más seguro desde la perspectiva de los sistemas que en el núcleo. Para más detalles, eche un vistazo a este documento de SANS sobre VPNS basado en SSL sans.org/reading_room/whitepapers/vpns/…
hyussuf
Las cosas han evolucionado un poco desde que esta respuesta se publicó originalmente; En particular, la vulnerabilidad Heartbleed en 2014 desafortunadamente nos ha recordado a todos cómo las vulnerabilidades profundas en OpenSSL pueden afectar a todo OpenVPN. También demostró que ejecutar en el espacio de usuario no hace que los ataques sean menos críticos, dado que los softwares de VPN tienen una probabilidad muy alta de estar en contacto en contenido altamente sensible, a menudo rastreando la ruta para adquirir privilegios de root en la máquina de VPN y / u otras máquinas alrededor. Finalmente, la mayoría de las soluciones de firewall corporativas ahora bloquean OpenVPN a través de la inspección profunda de paquetes ...
jwatkins
1

OpenVPN no tiene ciertas certificaciones regulatorias, como el soporte FIPS 140-2.

awh
fuente
1
En realidad, es posible el soporte FIPS 140-2 con OpenVPN ... hubo una compilación certificada de openssl y parches para OpenVPN para usarlo de manera certificada ... de hecho, estamos haciendo exactamente eso.
Jeff McAdams
1

El único inconveniente técnico de OpenVPN que veo es que, en comparación con sus competidores, el sistema introduce una gran latencia en los enlaces VPN . Actualización: He descubierto que esto fue un error no con OpenVPN en general, sino solo con mis pruebas. Cuando OpenVPN se ejecuta en el protocolo TCP, los gastos generales de TCP hacen que OpenVPN sea un poco más lento. L2TP utiliza puertos y protocolos fijos para la interoperabilidad y, por lo tanto, no hay ninguna característica para ejecutarlo en TCP. Openvpn en UDP parece ser más rápido para muchos otros usuarios.

La única otra ventaja al usar PPTP / L2TP / Ipsec es que me ha resultado más fácil configurarlo en una máquina Windows o un iPhone sin instalar ningún software adicional del lado del cliente. YMMV.

Es posible que desee leer esta página

Surajram Kumaravel
fuente
1
Donde trabajo, utilizamos bastante OpenVPN y no somos conscientes de problemas de latencia adicionales debido a eso. ¿Puedes dar más detalles sobre la naturaleza de eso?
Jeff McAdams
Probé OpenVPN, L2TP y PPTP al intentar cifrar una conexión a mi servidor VoIP mientras usaba softphones en estaciones de trabajo remotas. Encontré que OpenVPN introdujo la mayor latencia y PPTP fue el más rápido. Finalmente fui con L2TP. Los problemas de latencia aparecieron solo en algunas redes 3G pobres, pero incluso en las mismas redes L2TP parecía funcionar bien.
Surajram Kumaravel
Leer ivpn.net/pptp-vs-l2tp-vs-openvpn me hace pensar que este fue un problema específico con mi configuración y no un problema general. Gracias por ayudarme a darme cuenta de que Jeff!
Surajram Kumaravel
1

Prefiero IPSec casi siempre porque estoy familiarizado con él y siempre funciona. Al estar basado en estándares, es compatible con casi todo, desde teléfonos y tabletas hasta máquinas con Windows y Linux, y tiene características útiles como soporte NAT y detección de pares muertos.

Para su información, uso principalmente Openswan en Linux.

Una de las principales razones de seguridad que preferimos IPSec es la rotación de las claves de sesión. OpenVPN puede haber implementado esto (pero no lo veo). Esto significa que un atacante que captura datos pasivamente a largo plazo no puede forzar de forma bruta todo el registro de comunicación a la vez, pero solo el valor de cada clave de sesión individual.

mikebabcock
fuente
Solo como comparación, OpenVPN también funciona a través de NAT, y es compatible con PC, teléfonos y mesas (Windows, Mac OS X, Linux, BSD, Android, iOS, etc.).
jwbensley
Quise
decir
Asumiré que nunca has usado OpenVPN. Nadie que haya usado OpenVPN e IPsec elegirá IPsec porque "siempre funciona". Entre las mayores ventajas de OpenVPN se encuentra su complejidad drásticamente reducida y su fácil solución de problemas. Vi esto como alguien que convirtió cientos de dispositivos remotos de Linux (que viven en sitios de clientes) de IPsec a OpenVPN hace algunos años. IPsec es bueno si tiene que conectarse a algo que no administra / controla que solo admite IPsec. OpenVPN es una mejor opción en casi todos los demás casos.
Christopher Cashell