IPsec проти L2TP / IPsec

47

У мене є служба VPN, яка дає мені можливість підключення через PPTP, IPsec або L2TP через IPsec. Я знаю, що PPTP поступається за рівнем безпеки та шифрування, але я не дуже впевнений, у чому різниця між двома параметрами IPsec.

Анекдотично я помітив, що L2TP через IPsec здається набагато повільнішим, ніж звичайний IPsec, але це можуть бути просто сервери, їх конфігурації або навіть пристрій на моєму кінці.

Чи є якась різниця в безпеці? Чи одне "краще", ніж інше, чи вони просто функціонально рівнозначні, але по-різному реалізовані?

ipsec  l2tp 
Кріс Пратт
джерело

Відповіді:

42

Cisco IPsec проти L2TP (понад IPsec)

Термін Cisco IPsec - це лише маркетинговий хід, який в основному означає звичайний IPsec, що використовує ESP в тунельному режимі без додаткової інкапсуляції, та використовуючи протокол обміну ключами Internet (IKE) для створення тунелю. IKE надає кілька варіантів аутентифікації, найпоширенішими є попередні ключові ключі (PSK) або сертифікати X.509 у поєднанні з розширеною автентифікацією (XAUTH).

Протокол тунелювання рівня 2 ( L2TP ) був бере свій початок в PPTP. Оскільки він не забезпечує такі функції безпеки, як шифрування або сильна автентифікація, він зазвичай поєднується з IPsec. Щоб уникнути занадто багато додаткових накладних ESP у транспортному режимі , зазвичай використовується. Це означає, що спочатку встановлюється канал IPsec, знову використовується IKE, потім цей канал використовується для встановлення тунелю L2TP. Після цього з'єднання IPsec також використовується для транспортування інкапсульованих даних користувача L2TP.

У порівнянні з простим IPsec додаткове капсулювання з L2TP (що додає пакет IP / UDP і заголовок L2TP) робить його трохи менш ефективним (тим більше, якщо він також використовується з ESP в тунельному режимі, що і деякі реалізації).

NAT-T (NAT-T) також є більш проблематичним для L2TP / IPsec через загальне використання ESP в транспортному режимі.

Одна перевага L2TP перед звичайним IPsec полягає в тому, що він може транспортувати протоколи, крім IP.

Обидва є безпечними, але це залежить від способу аутентифікації, режиму аутентифікації (основний або агресивний режим), міцності клавіш, використовуваних алгоритмів тощо.

екдса
джерело
2
Отже, якщо мене стосується лише IP, IPsec був би більш ефективним, ніж L2TP / IPsec, оскільки менший накладні витрати і, швидше за все, був би більш сумісним. Якщо припустити, що постачальник VPN все реалізував належним чином, в безпеці немає різниці, оскільки це відбувається із рівня IPsec, який обидва використовують. Правильно?
Кріс Пратт
Правильно. Між усіма параметрами VPN, пропонованими постачальником послуг, звичайний IPsec є переможцем.
ecdsa
Cisco має безліч маркетингових сюжетів, але я дійсно не сприймаю цього. Я досить багато працював з IPSec над Ciscos та іншим обладнанням; У мене не склалося враження, що "Cisco IPSec" згадується так, ніби це продукт. Конфігурація IPSec не однакова навіть серед моделей Cisco.
белаква
5
Cisco IPsec використовується в основному в продуктах Apple для позначення простого IPsec в тунельному режимі (з IKEv1 або в основному, або в агресивному режимі). Діалогове вікно VPN в iOS містить великий логотип Cisco, якщо вибрано IPSec , а в Mac OS X він явно називається Cisco IPSec , хоча обидві операційні системи використовують Racoon для його реальної реалізації.
ecdsa
Насправді IPsec у тунельному режимі (на відміну від транспортного режиму) передає будь-який трафік, інкапсулюючи оригінальні IP-пакети всередині захищених IP-пакетів. Оригінальні пакети IP можуть нести TCP, UDP або будь-який інший протокол. Це робить, що L2TP взагалі не має жодної переваги?
Олексій Полонський
21

L2TP проти PPTP

L2TP / IPSec і PPTP подібні наступними способами:

забезпечити логічний транспортний механізм для передачі корисних вантажів ДПП; забезпечити тунелювання або інкапсуляцію, щоб навантаження PPP на основі будь-якого протоколу могло бути відправлено через мережу IP; покладатися на процес з'єднання PPP для здійснення аутентифікації користувача та конфігурації протоколу.

Деякі факти про PPTP:

  • переваги
    • PPTP простий у розгортанні
    • PPTP використовує TCP, це надійне рішення дозволяє повторно передавати втрачені пакети
    • Підтримка PPTP
  • недоліки
    • PPTP менш безпечний з MPPE (до 128 біт)
    • шифрування даних починається після завершення процесу з'єднання PPP (і, отже, аутентифікації PPP)
    • Для підключення PPTP потрібна лише автентифікація на рівні користувача через протокол автентифікації на основі PPP

Деякі факти про L2TP (понад PPTP):

  • переваги
    • Шифрування даних L2TP / IPSec починається перед процесом з'єднання PPP
    • Для підключення L2TP / IPSec використовується AES (до 256 біт) або DESUup до трьох 56-бітних клавіш)
    • Підключення L2TP / IPSec забезпечують більш високу автентифікацію, вимагаючи як автентифікації на рівні комп'ютера через сертифікати, так і автентифікації на рівні користувача через протокол автентифікації PPP
    • LDP використовується UDP. Він швидший, але менш надійний, оскільки не повторно передає втрачені пакети, зазвичай використовується в Інтернет-комунікаціях в реальному часі.
    • L2TP, більш "захищений від брандмауера", ніж PPTP - ключова перевага для протоколу екстранет через більшість брандмауерів не підтримує GRE
  • недолік
    • L2TP вимагає інфраструктури сертифікатів для видачі комп'ютерних сертифікатів

Узагальнити:

Немає чіткого переможця, але PPTP старіший, легший, він працює в більшості випадків, і клієнти легко встановлюються заздалегідь, що дає йому перевагу в тому, що зазвичай його дуже просто розгортати та конфігурувати (без EAP).

Але для більшості країн, таких як ОАЕ, Оман, Пакистан, Ємен, Саудівська Аравія, Туреччина, Китай, Сінгапур, Ліван PPTP, заблоковані провайдером або урядом, тому їм потрібен L2TP або SSL VPN

Довідка: http://vpnblog.info/pptp-vs-l2tp.html

IPSec VS L2TP / IPSec

Причина, через яку люди використовують L2TP, пов'язана з необхідністю надання механізму входу для користувачів. IPSec сам по собі має на увазі протокол тунелювання в сценарії «шлюз до шлюзу» (є ще два режими, режим тунелю та транспортний режим). Тому постачальники використовують L2TP, щоб дозволити людям використовувати свої продукти за сценарієм "клієнт-мережа". Отже, вони використовують L2TP лише для ведення журналу, а решта сеансу використовує IPSec. Ви повинні взяти до уваги два інші режими; попередньо розділені ключі та сертифікати.

Довідка: http://seclists.org/basics/2005/Apr/139

Режим тунелю IPsec

Коли захист Internet Protocol (IPsec) використовується в тунельному режимі, сам IPsec забезпечує інкапсуляцію лише для IP-трафіку. Основною причиною використання режиму тунелю IPsec є сумісність з іншими маршрутизаторами, шлюзами або кінцевими системами, які не підтримують L2TP через тунелювання IPsec або PPTP VPN. Інформація про сумісність надається на веб-сайті консорціуму «Віртуальна приватна мережа».

Довідка: http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668

chmod
джерело
2
Дякую за детальну відповідь, але я вже зрозумів різницю між PPTP та L2TP. Моє запитання передбачає порівняння / контраст Cisco IPsec проти L2TP над IPsec - якщо ви не маєте на увазі, що різниця полягає в тому, що Cisco IPsec використовує PPTP, але я не вірю, що це так з того, що я прочитав.
Кріс Пратт
1
Вибачте, я неправильно прочитав ваше запитання. Cisco IPSec - це просто звичайний IPSec, нічого нового в цьому немає. Отже, ваше запитання справді IPsec VS L2TP / IPsec. Відповідь відредаговано
chmod
2
Незначне виправлення - L2TP не потребує інфраструктури сертифікатів. L2TP / IPSec підтримує автентифікацію пароля без залучення сертифікатів.
Говард
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.