IPsec против L2TP/IPsec

Question

IPsec против L2TP/IPsec

У меня есть служба VPN, которая дает мне возможность подключения через PPTP, IPsec или L2TP через IPsec. Я знаю, что PPTP уступает в плане безопасности и шифрования, но я не совсем уверен, в чем разница между двумя вариантами IPsec.

Кстати, я заметил, что L2TP через IPsec кажется намного медленнее, чем обычный IPsec, но это могут быть просто серверы, их конфигурации или даже устройство на моем конце.

Есть ли разница с точки зрения безопасности? Одно "лучше", чем другое, или они просто функционально эквивалентны, но по-разному реализованы?

47

ipsec l2tp

Источник

Chris Pratt 14 янв '12 в 05:08

2 ответа

Решение

L2TP против PPTP

L2TP/IPSec и PPTP похожи в следующих отношениях:

обеспечить логический транспортный механизм для отправки полезных нагрузок PPP; обеспечить туннелирование или инкапсуляцию, чтобы полезные нагрузки PPP, основанные на любом протоколе, могли передаваться по IP-сети; полагаться на процесс соединения PPP для выполнения аутентификации пользователя и настройки протокола.

Некоторые факты о PPTP:

преимущества
- PPTP прост в развертывании
- PPTP использует TCP, это надежное решение позволяет ретранслировать потерянные пакеты
- Поддержка PPTP
недостатки
- PPTP менее защищен с MPPE(до 128 бит)
- шифрование данных начинается после завершения процесса соединения PPP (и, следовательно, аутентификации PPP)
- Соединения PPTP требуют только аутентификации на уровне пользователя через протокол аутентификации на основе PPP

Некоторые факты о L2TP(через PPTP):

преимущества
- Шифрование данных L2TP/IPSec начинается до процесса соединения PPP
- Соединения L2TP/IPSec используют AES(до 256 бит) или DESU до трех 56-битных ключей)
- Соединения L2TP/IPSec обеспечивают более строгую аутентификацию, требуя как аутентификации на уровне компьютера через сертификаты, так и аутентификации на уровне пользователя через протокол аутентификации PPP
- L2TP использует UDP. Это более быстрый, но менее надежный инструмент, так как он не передает повторно потерянные пакеты и обычно используется в интернет-коммуникациях в реальном времени.
- L2TP более "дружественен к брандмауэрам", чем PPTP - важнейшее преимущество протокола экстрасети, поскольку большинство брандмауэров не поддерживают GRE
недостаток
- L2TP требует сертификатную инфраструктуру для выдачи компьютерных сертификатов

Подвести итоги:

Нет явного победителя, но PPTP более старый, более легкий, работает в большинстве случаев, и клиенты легко предустановлены, что дает преимущество в простоте развертывания и настройки (без EAP).

Но для большинства стран, таких как ОАЭ, Оман, Пакистан, Йемен, Саудовская Аравия, Турция, Китай, Сингапур, PPTP в Ливане заблокирован интернет-провайдером или правительством, поэтому им требуется L2TP или SSL VPN.

Ссылка: http://vpnblog.info/pptp-vs-l2tp.html

IPSec VS L2TP/IPSec

Причина, по которой люди используют L2TP, заключается в необходимости предоставить пользователям механизм входа в систему. Под IPSec подразумевается протокол туннелирования в сценарии от шлюза к шлюзу (есть еще два режима, туннельный режим и транспортный режим). Поэтому поставщики используют L2TP, чтобы позволить людям использовать свои продукты в сценарии "клиент-сеть". Таким образом, они используют L2TP только для регистрации, а остальная часть сеанса будет использовать IPSec. Вы должны принять во внимание два других режима; предварительные общие ключи против сертификатов.

Ссылка: http://seclists.org/basics/2005/Apr/139

Туннельный режим IPsec

Когда безопасность протокола Интернет (IPsec) используется в туннельном режиме, сам IPsec обеспечивает инкапсуляцию только для трафика IP. Основной причиной использования туннельного режима IPsec является совместимость с другими маршрутизаторами, шлюзами или конечными системами, которые не поддерживают L2TP через IPsec или туннелирование PPTP VPN. Информация о совместимости предоставляется на веб-сайте Консорциума виртуальных частных сетей.

Ссылка: http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm

21

Источник

chmod 14 янв '12 в 07:16

Другие вопросы по тегам ipsec l2tp

ecdsa 15 янв '12 в 12:21 2012-01-15 12:21 · Accepted Answer · 2012-01-15 12:21

Cisco IPsec против L2TP (через IPsec)

Термин Cisco IPsec - это просто маркетинговый ход, который в основном означает простой IPsec, использующий ESP в туннельном режиме без какой-либо дополнительной инкапсуляции и использующий протокол Internet Key Exchange (IKE) для установления туннеля. IKE предоставляет несколько вариантов аутентификации, наиболее распространенными являются сертификаты с предварительными ключами (PSK) или X.509 в сочетании с аутентификацией пользователя с расширенной аутентификацией (XAUTH).

Протокол туннелирования уровня 2 ( L2TP) берет свое начало в PPTP. Поскольку он не обеспечивает функции безопасности, такие как шифрование или строгая аутентификация, он обычно сочетается с IPsec. Чтобы избежать слишком больших дополнительных затрат, обычно используется ESP в транспортном режиме. Это означает, что сначала устанавливается канал IPsec, снова с использованием IKE, затем этот канал используется для установления туннеля L2TP. После этого соединение IPsec также используется для передачи инкапсулированных пользовательских данных L2TP.

По сравнению с обычным IPsec дополнительная инкапсуляция с L2TP (которая добавляет пакет IP/UDP и заголовок L2TP) делает его немного менее эффективным (особенно если он также используется с ESP в туннельном режиме, что делают некоторые реализации).

Обход NAT (NAT-T) также более проблематичен с L2TP/IPsec из-за общего использования ESP в транспортном режиме.

Одно из преимуществ L2TP перед обычным IPsec состоит в том, что он может передавать протоколы, отличные от IP.

С точки зрения безопасности оба аналогичны, но это зависит от метода аутентификации, режима аутентификации (основной или агрессивный режим), надежности ключей, используемых алгоритмов и т. Д.