PPTP vs. IPSec vs. OpenVPN – Was sind die Unterschiede?

Die am meisten genutzen VPN Protokolle sind PPTP, IPSec und OpenVPN. Wir werden fast täglich nach den Unterschieden zwischen diesen Protokollen gefragt. Dieser Artikel soll helfen, etwas Licht ins Dunkel zu bringen und die VPN Protokolle zu vergleichen ohne dabei zu technisch zu werden. Los gehts!

PPTP

PPTP ist der „Dino“ unter den VPN Protokollen. Es ist seit über 20 Jahren in nahezu jedem Betriebssytem von Haus aus eingebaut und sehr einfach einzurichten. Alles was man zum Verbinden braucht, ist die Adresse des PPTP Servers, einen Benutzername und ein Passwort.
Das hohe Alter ist jedoch nicht spurlos an PPTP vorbeigegangen: mittlerweile wurden Schwachstellen entdeckt, die die Verschlüsselung von PPTP aushebeln und die gesendeten Daten somit für Hacker lesbar machen. Für einen solchen Angriff wird zwar einiges an Rechenleistung benötigt, mit Hilfe der „Cloud“ ist das aber heutzutage kein großes Hindernis mehr für die Angreifer.
Für mächtige Geheimdienste wie die NSA oder GCHQ dürfte das Entschlüsseln von PPTP Daten ein Klacks sein. Durch die fehlende Möglichkeit, die Gegenstelle eindeutig zu authentifizieren, sind außerdem sog. Man-in-the-Middle-Angriffe (MitM) recht einfach realisierbar, bei denen der gesamte Datenverkehr abgehört werden kann.

Ein weiterer Nachteil von PPTP ist, dass es heutzutage oftmals von Routern und Firewalls standardmäßig blockiert wird, meist geschieht dies gar nicht absichtlich. Nutzer mit sog. dual stack lite (ds-lite) Internetanschlüssen, können PPTP überhaupt nicht nutzen.

PRO

  • Sehr einfache Einrichtung
  • Auf fast jedem Betriebssystem von Haus aus unterstützt
  • Keine zusätzliche Software notwendig

CONTRA

  • Unsichere Verschlüsselung!
  • Kein Schutz vor MitM Angriffen!
  • Schlechte Kompatibiltät mit Firewalls und Routern
  • Sehr leicht vom Netzbetreiber blockierbar

adays.

IPSec

IPSec bezeichnet eine ganze Familie von Verbindungsprotokollen. Meist wird IPSec mit einer Schlüsselverwaltung über ikev1 (auch als Cisco IPSec bekannt) oder ikev2 genutzt, etwas weniger verbreitet ist heutzutage L2TP/IPSec. IPSec ist ähnlich wie PPTP bei den meisten modernen Betriebssytemen bereits integriert. IPSec versucht, die bekannten Schwachstellen von PPTP auszubessern, was in der Regel auch gut funktioniert. Es gibt hier allerdings sehr viel mehr Konfigurationsmöglichkeiten, was die Einrichtung für Laien ziemlich kompliziert macht. Schnell hat man eine IPSec Verbindung eingerichtet, die sich am Ende als gar nicht so sicher wie gedacht erweist!
Bei IPSec Verbindungen gilt es zu beachten:

  • Pre-Shared-Key (PSK) Authentifizierung sind nur so lange sicher, wie der PSK geheim bleibt. Bei kommerziellen VPN Anbietern ist das in der Regel nicht gegeben, jeder Teilnehmer kennt den PSK, der für alle Nutzer gleich ist. Dadurch werden MitM Angriffe möglich! Zertifikatbasierte Authentifizierung bietet eine wesentlich höhere Sicherheit, ist aber komplizierter einzurichten. Die meisten kommerziellen VPN Anbieter weichen daher auf PSK Authentifizierung aus, was die Verbindungssicherheit stark reduziert!
  • IPSec unterstützt eine Vielzahl von Verschlüsselungsalgorithmen mit verschiedenen Schlüssellängen. Nicht alle davon gelten heutzutage noch als sicher!

IPSec wird von Firewalls meist nicht standardmäßig blockiert, auch Nutzer mit ds-lite Internetanschlüssen können IPSec verwenden. Sollte der Netzwerkbetreiber oder die Regierung (z.B. in China) die Nutzung verbieten, ist IPSec allerdings sehr einfach zu sperren.

PRO

  • Starke Verschüsselung (bei korrekter Einrichtung!)
  • Guter Schutz gegen MitM Angriffe (bei korrekter Einrichtung!)
  • Auf fast jedem Betriebssystem von Haus aus unterstützt
  • Meist keine zusätzliche Software notwendig

CONTRA

  • Komplizierte Konfiguration
  • Gefahr einer unsicheren Verbindung bei Konfigurationsfehlern
  • Sehr leicht vom Netzbetreiber blockierbar

OpenVPN

OpenVPN ist ein Open Source Projekt und wird daher nur von sehr wenigen Betriebssytemen von Haus aus unterstützt. Daher muss in der Regel zunächst ein Softwareclient oder eine entsprechende App installiert werden. Die Konfiguration dieses Clients ist meist einfach, kommerzielle VPN Anbieter bieten dafür herunterladbare Konfigurationspakete an, die der Client dann importiert um die Verbindung zu konfigurieren. So kann man hier nicht viel falsch machen und hat die Verbindung inklusive zertifikatbasierter Authenfizierung in wenigen Sekunden eingerichtet. Da die Einrichtung von zertifikatbasierter Authentifizierung bei OpenVPN wesentlich simpler als bei IPSec ist, wird diese in der Regel auch von kommerziellen Anbietern genutzt, wodurch die Verbindungssicherheit deutlich steigt.
Vorsicht ist allerdings auch hier geboten: PSK Authentifizierung ist wie bei IPSec nicht sicher, wenn der PSK nicht geheim bleibt, Zertifikate sind deutlich sicherer!
Bei der Einrichtung ist OpenVPN flexibel: Die Verbindung kann so konfiguriert werden, dass der Datenverkehr dem einer gewöhnlichen https Verbindung eines Browsers ähnelt. Somit ist es für Netzwerkbetreiber schwer, OpenVPN Datenverkehr aufzuspüren und zu blockieren. Aufgrund der Einfachheit, Firewallkompatiblität und hohen Sicherheit basieren viele kommerzielle VPN Clients (wie auch Shellfire VPN) auf OpenVPN.

PRO

  • Einfache Einrichtung
  • Starke Verschüsselung
  • Guter Schutz gegen MitM Angriffe
  • Sehr gute Firewallkompatibiltät, schwer zu blockieren

CONTRA

  • Zusätzliche Software notwendig

Fazit

PPTP sollte also nur dann genutzt werden, wenn wirklich keine andere Möglichkeit der Verschlüsselung verfügbar ist. Über PPTP Verbindungen sollten niemals sensible Daten ausgetauscht werden, es sei denn du nutzt dafür eine zusätzliche Verschlüsselung wie z.B. https!
IPSec sollte nur von erfahrenen Nutzern eingerichtet werden. Korrekt eingerichtet bietet IPSec höchstmögliche Sicherheit. Bei Verbindungen zu kommerziellen Anbietern sollte PSK-Authentifizierung unbedingt gemieden werden.
OpenVPN ist für die meisten User das Mittel der Wahl. Die Einrichtung ist einfach und flexibel, die Sicherheit dabei mit IPSec vergleichbar. Viele kommerzielle VPN Clients bieten Zusatzfunktionen wie einen eingebauten Serverwechsel oder automatisches Reconnecten.

Shellfire VPN bietet dir alle drei VPN Protkolle zur Auswahl, du kannst jederzeit zwischen den Protokollen wechseln.