【51CTO.com快譯】近幾個(gè)月來(lái)，許多流行的在線安全和VPN供應(yīng)商都受到了攻擊，原因是他們的產(chǎn)品中存在漏洞,以至于讓用戶面臨著嚴(yán)重的威脅。

2月初，卡內(nèi)基梅隆大學(xué)軟件工程研究所發(fā)布了一項(xiàng)警告，聲稱(chēng)Pulse Connect VPN圖形用戶界面在連接網(wǎng)站時(shí)未能驗(yàn)證SSL證書(shū)。這使得企業(yè)級(jí)客戶端可能受到中間人(和其他)攻擊。雖然Pulse 5.3R4.2和Pulse 5.2R9的SSL驗(yàn)證問(wèn)題已得到解決，但卡內(nèi)基梅隆大學(xué)的研究人員仍然警告不要在不可信網(wǎng)絡(luò)上使用它。

[[232644]]

在經(jīng)歷了類(lèi)似的漏洞之后，思科自適應(yīng)安全設(shè)備解決了SSL的驗(yàn)證問(wèn)題，但沒(méi)有討論是否應(yīng)該在不受信任的網(wǎng)絡(luò)上使用它。這些信息的披露讓許多組織懷疑他們是否可以繼續(xù)信任這些行業(yè)巨頭接觸自己的敏感信息，或者他們是否應(yīng)該完全放棄VPN。

幸運(yùn)的是，有許多企業(yè)一級(jí)的開(kāi)源VPN解決方案可以滿足公司的需求，無(wú)論大小。

一、OpenVPN的優(yōu)勢(shì)

OpenVPN是網(wǎng)絡(luò)隱私世界的重要玩家之一。它是一種開(kāi)源VPN技術(shù)，支持256-AES-CBC以及Windows下的2048位Diffie-Hellman密鑰。對(duì)于Linux、iOS和MacOS用戶，OpenVPN通過(guò)IKEv2/IPsec協(xié)議以AES-256-CGM和3072位 DH密鑰加密信息。

在我的經(jīng)驗(yàn)中，Diffie-Hellman密鑰比RSA(Rivest、Shamir和Adelman)更穩(wěn)健，因?yàn)樗軌驅(qū)崿F(xiàn)完美的前向保密，這確保了即使在長(zhǎng)期密鑰受到損害的情況下，過(guò)去的通信和傳送也不能在將來(lái)被解密。

這意味著OpenVPN是最安全的開(kāi)源VPN軟件選項(xiàng)之一。

此外，OpenVPN的開(kāi)發(fā)者社區(qū)也是網(wǎng)絡(luò)安全領(lǐng)域最活躍和最有聲望的社區(qū)之一。會(huì)員們不斷完善和更新軟件，以確保跟上日新月異的互聯(lián)網(wǎng)安全格局。

考慮到其令人印象深刻的安全規(guī)范以及該軟件背后充滿激情的團(tuán)隊(duì)，我鼓勵(lì)公司隨時(shí)隨地使用基于OpenVPN的安全解決方案，包括此列表中的部分選項(xiàng)。

二、7個(gè)最好的開(kāi)源VPN替代品

以下是七種最適合您企業(yè)的開(kāi)源VPN解決方案。

1. Openswan | Linux

Openswan是Linux的IPsec實(shí)現(xiàn)，支持大多數(shù)與IPsec相關(guān)的擴(kuò)展(包括IKEv2)。從2005年初開(kāi)始，它就被廣泛地認(rèn)為是Linux用戶的首選VPN軟件。根據(jù)您正在運(yùn)行的Linux版本的不同，Openswan可能已經(jīng)在您的發(fā)行版中，您也可以直接從它的站點(diǎn)下載源代碼

2. Tcpcrypt | Windows和MacOS

Tcpcrypt協(xié)議是一種獨(dú)特的VPN解決方案，它不需要配置或?qū)?yīng)用程序進(jìn)行更改，也不需要在網(wǎng)絡(luò)連接中進(jìn)行過(guò)多的設(shè)置。Tcpcrypt使用一種稱(chēng)為“機(jī)會(huì)式加密”的操作方式。這意味著如果連接的另一端支持與Tcpcrypt通信，通信將被加密，否則，它可以被視為明文。

雖然這不夠完美，但該協(xié)議已經(jīng)經(jīng)歷了許多強(qiáng)大的更新，使其更好地抵御被動(dòng)和主動(dòng)攻擊。盡管我不建議將Tpcrypt作為全公司范圍的解決方案，但對(duì)于處理不那么敏感信息的員工和分支機(jī)構(gòu)來(lái)說(shuō)，它可以作為一個(gè)極好的、易于實(shí)現(xiàn)的解決方案。

3. Tinc | Linux，MacOS和Windows

Tinc是使用GNU通用公共許可證授權(quán)的自由軟件。Tinc與列表中的其他VPNs(包括OpenVPN協(xié)議)的區(qū)別在于它包含了各種獨(dú)特特性，包括加密、可選壓縮、自動(dòng)網(wǎng)格路由和易于擴(kuò)展。這些特性使得Tinc成為了那些想要在眾多相隔甚遠(yuǎn)的小型網(wǎng)絡(luò)中創(chuàng)建VPN的企業(yè)的理想解決方案。

4. SoftEther VPN | Linux，Windows，MacOS等

SoftEther(軟件以太網(wǎng)的縮寫(xiě))VPN是迄今為止市場(chǎng)上最強(qiáng)大和用戶友好的多協(xié)議VPN軟件之一。作為OpenVPN的理想替代品，SoftEther VPN為OpenVPN服務(wù)器提供了克隆功能，允許您無(wú)縫地從OpenVPN遷移到SoftEther VPN。 SoftEther令人印象深刻的安全標(biāo)準(zhǔn)和功能被認(rèn)為可以與NordVPN等市場(chǎng)領(lǐng)先企業(yè)相媲美，使其成為開(kāi)源巨頭之一。

SoftEther還兼容L2TP和IPsec協(xié)議，支持用戶定制。此外，SoftEther VPN還被證明比OpenVPN更快，擁有更好的瀏覽體驗(yàn)。SoftEther的主要缺點(diǎn)是它在兼容性方面落后于其他方案。然而，這個(gè)問(wèn)題的主要原因是SoftEther協(xié)議的相對(duì)新穎性，并且隨著時(shí)間的推移，您可能會(huì)看到越來(lái)越多的平臺(tái)支持SoftEther。

5. OpenConnect | Linux

考慮到OpenConnect是為支持思科AnyConnect SSL VPN而創(chuàng)建的VPN客戶端，您可能會(huì)驚訝于在列表中看到此軟件(畢竟這是一篇詳細(xì)介紹Cisco和Pulse替代品的文章)。但是，需要注意的是，OpenConnect與Cisco或Pulse Secure并沒(méi)有正式的關(guān)聯(lián)。它只是與他們的設(shè)備兼容。

事實(shí)上，在對(duì)思科客戶進(jìn)行測(cè)試之后，OpenConnect被發(fā)現(xiàn)存在大量安全漏洞，OpenConnect正著手整頓。如今，OpenConnect已經(jīng)解決了所有的思科客戶端缺陷，使它成為任何Linux用戶的思科替代品之一。

6. Libreswan | Linux，F(xiàn)reeBSD和MacOS

經(jīng)過(guò)15年的積極開(kāi)發(fā)，Libreswan成為了現(xiàn)代市場(chǎng)上最好的開(kāi)源VPN替代品之一。Libreswan目前支持最常見(jiàn)的VPN協(xié)議，IPsec、IKEv1和IKEv2。與Tcpcrypt一樣，Libreswan基于機(jī)會(huì)加密進(jìn)行操作，這使其容易受到主動(dòng)攻擊。然而，大量的安全功能和活躍的開(kāi)發(fā)人員社區(qū)使Libreswan成為低中級(jí)加密要求的理想選擇。

7. StrongSwan | Linux，Android和路由器

由通信安全教授、瑞士應(yīng)用科學(xué)大學(xué)互聯(lián)網(wǎng)技術(shù)與應(yīng)用研究所所長(zhǎng)Andreas Steffen負(fù)責(zé)維護(hù)的StrongSwan在VPN社區(qū)中獨(dú)樹(shù)一幟，它提供了卓越的加密標(biāo)準(zhǔn)和簡(jiǎn)單的配置，以及支持大型復(fù)雜VPN網(wǎng)絡(luò)的IPsec策略。

三、結(jié)論

盡管最近在Cisco和Pulse安全網(wǎng)絡(luò)中暴露的漏洞令人不安(至少可以說(shuō))，但是依然有許多企業(yè)級(jí)的開(kāi)源替代方案。雖然實(shí)現(xiàn)這些解決方案將需要大量的技術(shù)知識(shí)和高度的公司級(jí)的合作，但是您可以在晚上睡得更香，因?yàn)槟滥镜拿舾行畔⒄谟勺詈玫陌踩珔f(xié)議保護(hù)著。

原文標(biāo)題：7 open source VPN tools for businesses，作者： Sam Bocetta

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】