IPsec kontra L2TP / IPsec


47

Mam usługę VPN, która daje mi możliwość połączenia przez PPTP, IPsec lub L2TP przez IPsec. Wiem, że PPTP jest gorszy pod względem bezpieczeństwa i szyfrowania, ale nie jestem pewien, jaka jest różnica między dwiema opcjami IPsec.

Anegdotycznie zauważyłem, że L2TP przez IPsec wydaje się być znacznie wolniejszy niż zwykły IPsec, ale mogą to być po prostu serwery, ich konfiguracje, a nawet urządzenie po mojej stronie.

Czy jest jakaś różnica pod względem bezpieczeństwa? Czy jedno jest „lepsze” od drugiego, czy są tylko funkcjonalnie równoważne, ale inaczej wdrożone?

Odpowiedzi:


42

Cisco IPsec vs. L2TP (over IPsec)

Termin Cisco IPsec to tylko chwyt marketingowy, który w zasadzie oznacza zwykły IPsec przy użyciu ESP w trybie tunelowym bez dodatkowej enkapsulacji i przy użyciu protokołu IKE ( Internet Key Exchange ) do ustanowienia tunelu. IKE zapewnia kilka opcji uwierzytelniania, najczęściej używane są wstępne klucze (PSK) lub certyfikaty X.509 w połączeniu z rozszerzonym uwierzytelnianiem użytkownika (XAUTH).

Layer 2 Tunneling Protocol ( L2TP ) był ma swoje początki w PPTP. Ponieważ nie zapewnia funkcji bezpieczeństwa, takich jak szyfrowanie lub silne uwierzytelnianie, zwykle jest łączony z IPsec. Aby uniknąć zbyt dużego dodatkowego obciążenia, powszechnie stosuje się ESP w trybie transportu . Oznacza to, że najpierw ustanawia się kanał IPsec, ponownie za pomocą IKE, a następnie ten kanał jest wykorzystywany do ustanowienia tunelu L2TP. Następnie połączenie IPsec służy również do transportu danych użytkownika w obudowie L2TP.

W porównaniu do zwykłego IPsec, dodatkowe enkapsulowanie za pomocą L2TP (który dodaje pakiet IP / UDP i nagłówek L2TP) sprawia, że ​​jest on nieco mniej wydajny (tym bardziej, jeśli jest używany również z ESP w trybie tunelowym, co robią niektóre implementacje).

Przejście przez NAT (NAT-T) jest również bardziej problematyczne w przypadku L2TP / IPsec ze względu na powszechne stosowanie ESP w trybie transportu.

Zaletą L2TP w porównaniu do zwykłego protokołu IPsec jest to, że może on transportować protokoły inne niż IP.

Pod względem bezpieczeństwa oba są podobne, ale zależy to od metody uwierzytelnienia, trybu uwierzytelnienia (tryb główny lub agresywny), siły kluczy, zastosowanych algorytmów itp.


2
Zasadniczo, jeśli zajmuję się tylko IP, IPsec byłby bardziej wydajny niż L2TP / IPsec dzięki mniejszemu narzutowi i prawdopodobnie byłby ogólnie bardziej kompatybilny. Zakładając, że dostawca VPN zaimplementował wszystko poprawnie, nie ma różnicy w bezpieczeństwie, ponieważ pochodzi on z warstwy IPsec, z której oba korzystają. Poprawny?
Chris Pratt

Poprawny. Pomiędzy wszystkimi opcjami VPN oferowanymi przez twojego dostawcę, wyraźny jest zwycięzca.
ecdsa

Cisco ma wiele chwytów marketingowych, ale tak naprawdę nie uważam tego za jedno. Dużo pracowałem z IPSec na Ciscos i innym sprzęcie; Nie miałem wrażenia, że ​​„Cisco IPSec” odnosi się do niego jak do produktu. Konfiguracja IPSec nie jest identyczna nawet wśród modeli Cisco.
belacqua

5
Cisco IPsec jest używany głównie w produktach Apple do oznaczania zwykłego IPsec w trybie tunelowym (z IKEv1 w trybie głównym lub w trybie agresywnym). Okno dialogowe VPN w iOS zawiera duże logo Cisco, jeśli wybrano IPSec, a w Mac OS X jest jawnie nazywane Cisco IPSec , mimo że oba systemy operacyjne używają Racoon do jego faktycznego wdrożenia.
ecdsa

W rzeczywistości IPsec w trybie tunelowym (w przeciwieństwie do trybu transportowego) przenosi wszelki ruch, zamykając oryginalne pakiety IP w zabezpieczonych pakietach IP. Oryginalne pakiety IP mogą przenosić TCP, UDP lub dowolny inny protokół. Czy to sprawia, że ​​L2TP nie ma żadnej przewagi?
Alexey Polonsky

21

L2TP vs PPTP

L2TP / IPSec i PPTP są podobne w następujący sposób:

zapewnić logiczny mechanizm transportu do wysyłania ładunków PPP; zapewnić tunelowanie lub enkapsulację, aby ładunki PPP oparte na dowolnym protokole mogły być przesyłane przez sieć IP; polegać na procesie połączenia PPP w celu przeprowadzenia uwierzytelnienia użytkownika i konfiguracji protokołu.

Kilka faktów na temat PPTP:

  • Zalety
    • PPTP łatwe do wdrożenia
    • PPTP wykorzystuje TCP, to niezawodne rozwiązanie pozwala na retransmisję utraconych pakietów
    • Obsługa PPTP
  • niedogodności
    • Mniej bezpieczny PPTP z MPPE (do 128 bitów)
    • szyfrowanie danych rozpoczyna się po zakończeniu procesu połączenia PPP (a zatem uwierzytelnienia PPP)
    • Połączenia PPTP wymagają tylko uwierzytelnienia na poziomie użytkownika za pośrednictwem protokołu uwierzytelniania opartego na PPP

Kilka faktów na temat L2TP (przez PPTP):

  • Zalety
    • Szyfrowanie danych L2TP / IPSec rozpoczyna się przed procesem połączenia PPP
    • Połączenia L2TP / IPSec używają AES (do 256 bitów) lub DESU do trzech 56-bitowych kluczy)
    • Połączenia L2TP / IPSec zapewniają silniejsze uwierzytelnianie, wymagając zarówno uwierzytelnienia na poziomie komputera za pomocą certyfikatów, jak i uwierzytelnienia na poziomie użytkownika za pomocą protokołu uwierzytelniania PPP
    • L2TP używa UDP. Jest szybszy, ale mniej niezawodny, ponieważ nie retransmituje utraconych pakietów, jest powszechnie stosowany w komunikacji internetowej w czasie rzeczywistym
    • L2TP bardziej „przyjazny dla zapory ogniowej” niż PPTP - istotna zaleta protokołu ekstranetowego, ponieważ większość zapór ogniowych nie obsługuje GRE
  • niekorzyść
    • L2TP wymaga infrastruktury certyfikatów do wystawiania certyfikatów komputerowych

Podsumowując:

Nie ma wyraźnego zwycięzcy, ale PPTP jest starszy, bardziej lekki, działa w większości przypadków, a klienci są wstępnie wstępnie instalowani, co daje tę zaletę, że zwykle jest bardzo łatwa do wdrożenia i konfiguracji (bez EAP).

Ale w większości krajów takich jak Zjednoczone Emiraty Arabskie, Oman, Pakistan, Jemen, Arabia Saudyjska, Turcja, Chiny, Singapur, Liban PPTP zablokowane przez dostawcę usług internetowych lub rząd, więc potrzebują L2TP lub SSL VPN

Odniesienie: http://vpnblog.info/pptp-vs-l2tp.html


IPSec VS L2TP / IPSec

Powodem, dla którego ludzie używają L2TP, jest konieczność zapewnienia użytkownikom mechanizmu logowania. IPSec sam w sobie ma na celu protokół tunelowania w scenariuszu brama-brama (nadal istnieją dwa tryby, tryb tunelowy i tryb transportu). Dlatego dostawcy używają L2TP, aby umożliwić użytkownikom korzystanie z ich produktów w scenariuszu między klientem a siecią. Używają L2TP tylko do logowania, a reszta sesji będzie korzystać z IPSec. Musisz wziąć pod uwagę dwa inne tryby; klucze współdzielone a certyfikaty.

Odniesienie: http://seclists.org/basics/2005/Apr/139

Tryb tunelu IPsec

Gdy w trybie tunelowym używane są zabezpieczenia protokołu internetowego (IPsec), samo IPsec zapewnia enkapsulację tylko dla ruchu IP. Głównym powodem korzystania z trybu tunelu IPsec jest współdziałanie z innymi routerami, bramami lub systemami końcowymi, które nie obsługują tunelowania L2TP przez IPsec lub PPTP VPN. Informacje na temat interoperacyjności znajdują się na stronie internetowej Virtual Private Network Consortium.

Odniesienie: http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668


2
Dziękuję za szczegółową odpowiedź, ale już zrozumiałem różnicę między PPTP i L2TP. Moje pytanie dotyczy porównania / kontrastu Cisco IPsec z L2TP nad IPsec - chyba że sugerujesz, że różnica polega na tym, że Cisco IPsec używa PPTP, ale nie sądzę, że tak jest w przypadku tego, co przeczytałem.
Chris Pratt

1
Przepraszam, że źle odczytałem twoje pytanie. Cisco IPSec jest po prostu normalnym IPSec, nie ma w tym nic nowego. Więc twoje pytanie to naprawdę IPsec VS L2TP / IPsec. Odpowiedź edytowana
chmod

2
Niewielka korekta - L2TP nie wymaga infrastruktury certyfikatów. L2TP / IPSec obsługuje uwierzytelnianie hasłem bez angażowania certyfikatów.
Howard
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.