Czy protokół PPTP lub IPSEC VPN jest bezpieczniejszy od drugiego dla sieci VPN typu „dial in”, jeśli tak, to dlaczego?
Czy protokół PPTP lub IPSEC VPN jest bezpieczniejszy od drugiego dla sieci VPN typu „dial in”, jeśli tak, to dlaczego?
Odpowiedzi:
PPTP jest protokołem tunelowania, podobnie jak L2TP - nie zapewnia bezpieczeństwa.
PPTP używa MPPE do szyfrowania, co może mieć pewne wady w porównaniu do IPSEC (który jest powszechnie używany z L2TP). IPSEC może być również używany jako protokół tunelowania i jest to dość powszechne.
Zaletą IPSEC jest ogólnie, gdyby był używany z certyfikatami do uwierzytelniania na poziomie komputera oprócz poziomu użytkownika. L2TP wymusza to, ale samego IPSEC można używać tylko z kluczem wstępnym, podobnie jak szyfrowanie w PPTP - obniżając poziom bezpieczeństwa do podobnych poziomów, moim zdaniem.
Większość starych luk w zabezpieczeniach PPTP jest obecnie usuwana i można połączyć je z protokołem EAP, aby ulepszyć go tak, aby wymagał również certyfikatów. Powiedziałbym, że nie ma wyraźnego zwycięzcy, ale PPTP jest starszy, bardziej lekki, działa w większości przypadków, a klienci są wstępnie wstępnie instalowani, co daje tę zaletę, że zwykle jest bardzo łatwa do wdrożenia i konfiguracji bez EAP.
Jednak uzyskanie czegoś bardziej bezpiecznego dzięki uwierzytelnianiu na poziomie maszyny może dać IPSEC korzyść w zaprojektowaniu tego na początek (w szczególności L2TP) - a zatem być może łatwiej będzie je wdrożyć z tym wymaganiem niż zmuszenie PPTP do pracy z EAP.
Jeśli od razu porównamy PPTP z L2TP - L2TP wygrywa o sporą kwotę ze względu na wymagania dotyczące przyzwoitego uwierzytelnienia na kilku poziomach, zapobieganie kilku scenariuszom PPTP nie zapobiegnie (teoretycznie).
Obecna opinia jest taka, że IPSec jest lepszy, ale nie ma (znanych) pełnych exploitów dla PPTP, więc nadal jest powszechnie używany. IPSec jest z pewnością nowszy i ma więcej opcjonalnych dodatków oraz (IMHO) szersze wsparcie.
Wiele osób krytykuje fakt, że PPTP wysyła niektóre niezaszyfrowane pakiety kontrolne, ale znowu nie spowodowało to dużego exploita, tylko sprawia, że ludzie myślą, że MUSI gdzieś tam być. Myślę, że wiele z nich to tylko resztkowe kwaśne winogrona, ponieważ PPTP było inicjatywą Microsoft i zostało obciążone patentem (ostatnio pozwoliły na otwarte wdrożenia, więc nie stanowi to większego problemu).
Należy zauważyć, że nowy atak Moxie Marlinspike i Davida Hultona na MS-CHAPv2 sprawia, że tunele PPTP są mniej pożądane. Na tej podstawie wybrałbym tunel oparty na IPSEC lub SSL VPN do zdalnego dostępu.
Więcej informacji:
Dobre odpowiedzi, ale nieco niedokładne. Mogą podawać błędne pomysły na temat roli L2TP.
L2TP nie używa IPsec. Nie jest zbudowany na IPSec. L2TP to „Level 2 Tunneling Protocol”, który wykonuje jedną i tylko jedną funkcję - tunelowanie innych protokołów. Nie zapewnia żadnego bezpieczeństwa, tylko dlatego, że nie jest do tego przeznaczony. I właśnie dlatego jest zwykle używany razem z IPSec. Te dwa protokoły używane razem nie oznaczają, że są w jakikolwiek sposób zależne. L2TP może być używany bez IPSec, podobnie jak IPSec może być używany bez L2TP. Mówienie o bezpieczeństwie L2TP nie ma sensu - nie ma żadnego. Kiedy ktoś mówi o bezpieczeństwie IPSec / L2TP VPN, mówi o bezpieczeństwie IPSec.
Jeśli zastanawiasz się nad oprogramowaniem PPTP firmy Microsoft, przydatne może być: Często zadawane pytania dotyczące PPTP
Ponadto PPTP vs. IPSec to trochę Fish vs. Bicycles - możesz przyjrzeć się L2TP zamiast zwykłego IPSec (L2TP jest zbudowany na IPSec i jest obsługiwany w systemie Windows tak samo jak PPTP i ma przyzwoite implementacje open source).