近几个月来,许多流行的在线安全和VPN供应商都受到了攻击,原因是他们的产品中存在漏洞,以至于让用户面临着严重的威胁。
2月初,卡内基梅隆大学软件工程研究所发布了一项警告,声称Pulse Connect VPN图形用户界面在连接网站时未能验证SSL证书。这使得企业级客户端可能受到中间人(和其他)攻击。虽然Pulse 5.3R4.2和Pulse 5.2R9的SSL验证问题已得到解决,但卡内基梅隆大学的研究人员仍然警告不要在不可信网络上使用它。
在经历了类似的漏洞之后,思科自适应安全设备解决了SSL的验证问题,但没有讨论是否应该在不受信任的网络上使用它。这些信息的披露让许多组织怀疑他们是否可以继续信任这些行业巨头接触自己的敏感信息,或者他们是否应该完全放弃VPN。
幸运的是,有许多企业一级的开源VPN解决方案可以满足公司的需求,无论大小。
一、OpenVPN的优势
OpenVPN是网络隐私世界的重要玩家之一。它是一种开源VPN技术,支持256-AES-CBC以及Windows下的2048位Diffie-Hellman密钥。对于Linux、iOS和MacOS用户,OpenVPN通过IKEv2/IPsec协议以AES-256-CGM和3072位 DH密钥加密信息。
在我的经验中,Diffie-Hellman密钥比RSA(Rivest、Shamir和Adelman)更稳健,因为它能够实现完美的前向保密,这确保了即使在长期密钥受到损害的情况下,过去的通信和传送也不能在将来被解密。
这意味着OpenVPN是最安全的开源VPN软件选项之一。
此外,OpenVPN的开发者社区也是网络安全领域最活跃和最有声望的社区之一。会员们不断完善和更新软件,以确保跟上日新月异的互联网安全格局。
考虑到其令人印象深刻的安全规范以及该软件背后充满激情的团队,我鼓励公司随时随地使用基于OpenVPN的安全解决方案,包括此列表中的部分选项。
二、7个最好的开源VPN替代品
以下是七种最适合您企业的开源VPN解决方案。
1.Openswan| Linux
Openswan是Linux的IPsec实现,支持大多数与IPsec相关的扩展(包括IKEv2)。从2005年初开始,它就被广泛地认为是Linux用户的首选VPN软件。根据您正在运行的Linux版本的不同,Openswan可能已经在您的发行版中,您也可以直接从它的站点下载源代码
2.Tcpcrypt| Windows和MacOS
Tcpcrypt协议是一种独特的VPN解决方案,它不需要配置或对应用程序进行更改,也不需要在网络连接中进行过多的设置。Tcpcrypt使用一种称为“机会式加密”的操作方式。这意味着如果连接的另一端支持与Tcpcrypt通信,通信将被加密,否则,它可以被视为明文。
虽然这不够完美,但该协议已经经历了许多强大的更新,使其更好地抵御被动和主动攻击。尽管我不建议将Tpcrypt作为全公司范围的解决方案,但对于处理不那么敏感信息的员工和分支机构来说,它可以作为一个极好的、易于实现的解决方案。
3.Tinc| Linux,MacOS和Windows
Tinc是使用GNU通用公共许可证授权的自由软件。Tinc与列表中的其他VPNs(包括OpenVPN协议)的区别在于它包含了各种独特特性,包括加密、可选压缩、自动网格路由和易于扩展。这些特性使得Tinc成为了那些想要在众多相隔甚远的小型网络中创建VPN的企业的理想解决方案。
4.SoftEther VPN| Linux,Windows,MacOS等
SoftEther(软件以太网的缩写)VPN是迄今为止市场上最强大和用户友好的多协议VPN软件之一。作为OpenVPN的理想替代品,SoftEther VPN为OpenVPN服务器提供了克隆功能,允许您无缝地从OpenVPN迁移到SoftEther VPN。 SoftEther令人印象深刻的安全标准和功能被认为可以与NordVPN等市场领先企业相媲美,使其成为开源巨头之一。
SoftEther还兼容L2TP和IPsec协议,支持用户定制。此外,SoftEther VPN还被证明比OpenVPN更快,拥有更好的浏览体验。SoftEther的主要缺点是它在兼容性方面落后于其他方案。然而,这个问题的主要原因是SoftEther协议的相对新颖性,并且随着时间的推移,您可能会看到越来越多的平台支持SoftEther。
5.OpenConnect| Linux
考虑到OpenConnect是为支持思科AnyConnect SSL VPN而创建的VPN客户端,您可能会惊讶于在列表中看到此软件(毕竟这是一篇详细介绍Cisco和Pulse替代品的文章)。但是,需要注意的是,OpenConnect与Cisco或Pulse Secure并没有正式的关联。它只是与他们的设备兼容。
事实上,在对思科客户进行测试之后,OpenConnect被发现存在大量安全漏洞,OpenConnect正着手整顿。如今,OpenConnect已经解决了所有的思科客户端缺陷,使它成为任何Linux用户的思科替代品之一。
6.Libreswan| Linux,FreeBSD和MacOS
经过15年的积极开发,Libreswan成为了现代市场上最好的开源VPN替代品之一。Libreswan目前支持最常见的VPN协议,IPsec、IKEv1和IKEv2。与Tcpcrypt一样,Libreswan基于机会加密进行操作,这使其容易受到主动攻击。然而,大量的安全功能和活跃的开发人员社区使Libreswan成为低中级加密要求的理想选择。
7.StrongSwan| Linux,Android和路由器
由通信安全教授、瑞士应用科学大学互联网技术与应用研究所所长Andreas Steffen负责维护的StrongSwan在VPN社区中独树一帜,它提供了卓越的加密标准和简单的配置,以及支持大型复杂VPN网络的IPsec策略。
三、结论
尽管最近在Cisco和Pulse安全网络中暴露的漏洞令人不安(至少可以说),但是依然有许多企业级的开源替代方案。虽然实现这些解决方案将需要大量的技术知识和高度的公司级的合作,但是您可以在晚上睡得更香,因为您知道您公司的敏感信息正在由最好的安全协议保护着。
相关阅读:
Centos7部署strongswan IKEv1 VPN 和Cisco路由器点对点连接 https://www.amd5.cn/atang_4342.html
移动和铁通宽带链接vpn为什么如此困难 https://www.amd5.cn/atang_2729.html
非固定公网IP怎么部署VPN实现局域网访问 https://www.amd5.cn/atang_4797.html