IPsec против L2TP/IPsec

Question

У меня есть служба VPN, которая дает мне возможность подключения через PPTP, IPsec или L2TP через IPsec. Я знаю, что PPTP уступает в плане безопасности и шифрования, но я не совсем уверен, в чем разница между двумя вариантами IPsec.

Кстати, я заметил, что L2TP через IPsec кажется намного медленнее, чем обычный IPsec, но это могут быть просто серверы, их конфигурации или даже устройство на моем конце.

Есть ли разница с точки зрения безопасности? Одно "лучше", чем другое, или они просто функционально эквивалентны, но по-разному реализованы?

Answer 1

Cisco IPsec против L2TP (через IPsec)

Термин Cisco IPsec - это просто маркетинговый ход, который в основном означает простой IPsec, использующий ESP в туннельном режиме без какой-либо дополнительной инкапсуляции и использующий протокол Internet Key Exchange (IKE) для установления туннеля. IKE предоставляет несколько вариантов аутентификации, наиболее распространенными являются сертификаты с предварительными ключами (PSK) или X.509 в сочетании с аутентификацией пользователя с расширенной аутентификацией (XAUTH).

Протокол туннелирования уровня 2 (L2TP) был основан на PPTP. Поскольку он не обеспечивает функции безопасности, такие как шифрование или строгая аутентификация, он обычно сочетается с IPsec. Чтобы избежать слишком больших дополнительных затрат, обычно используется ESP в транспортном режиме . Это означает, что сначала устанавливается канал IPsec, снова с использованием IKE, затем этот канал используется для установления туннеля L2TP. После этого соединение IPsec также используется для передачи инкапсулированных пользовательских данных L2TP.

По сравнению с обычным IPsec дополнительная инкапсуляция с L2TP (которая добавляет пакет IP/UDP и заголовок L2TP) делает его немного менее эффективным (особенно если он также используется с ESP в туннельном режиме, что делают некоторые реализации).

Обход NAT (NAT-T) также более проблематичен с L2TP/IPsec из-за общего использования ESP в транспортном режиме.

Одно из преимуществ L2TP перед обычным IPsec заключается в том, что он может передавать протоколы, отличные от IP.

С точки зрения безопасности оба аналогичны, но это зависит от метода аутентификации, режима аутентификации (основной или агрессивный режим), силы ключей, используемых алгоритмов и т.д.

Answer 2

L2TP против PPTP

L2TP/IPSec и PPTP похожи в следующих отношениях:

обеспечить логический транспортный механизм для отправки полезных нагрузок PPP; обеспечить туннелирование или инкапсуляцию, так что полезные нагрузки PPP на основе любого протокола могут быть отправлены через IP-сеть; полагаться на процесс соединения PPP для выполнения аутентификации пользователя и настройки протокола.

Некоторые факты о PPTP:

• преимущества
  • PPTP прост в развертывании
  • PPTP использует TCP, это надежное решение позволяет ретранслировать потерянные пакеты
  • Поддержка PPTP
• недостатки
  • PPTP менее защищен с MPPE(до 128 бит)
  • шифрование данных начинается после завершения процесса соединения PPP (и, следовательно, аутентификации PPP)
  • Соединения PPTP требуют только аутентификации на уровне пользователя через протокол аутентификации на основе PPP

Некоторые факты о L2TP(через PPTP):

• преимущества
  • Шифрование данных L2TP/IPSec начинается до процесса соединения PPP
  • Соединения L2TP/IPSec используют AES(до 256 бит) или DESU (до трех 56-битных ключей)
  • Соединения L2TP/IPSec обеспечивают более строгую аутентификацию, требуя как аутентификации на уровне компьютера с помощью сертификатов, так и аутентификации на уровне пользователя с помощью протокола аутентификации PPP
  • L2TP использует UDP. Это более быстрый, но менее надежный инструмент, так как он не передает повторно потерянные пакеты и обычно используется в интернет-коммуникациях в реальном времени.
  • L2TP более «дружественен к брандмауэру», чем PPTP - важнейшее преимущество протокола экстрасети, поскольку большинство брандмауэров не поддерживают GRE
• недостаток
  • L2TP требует сертификатную инфраструктуру для выдачи компьютерных сертификатов

Подвести итоги:

Нет очевидного победителя, но PPTP более старый, более легкий, работает в большинстве случаев, и клиенты легко предустановлены, что дает преимущество в простоте развертывания и настройки (без EAP).

Но для большинства стран, таких как ОАЭ, Оман, Пакистан, Йемен, Саудовская Аравия, Турция, Китай, Сингапур, PPTP в Ливане заблокирован интернет-провайдером или правительством, поэтому им требуется L2TP или SSL VPN.

Ссылка: http://vpnblog.info/pptp-vs-l2tp.html

---

IPSec VS L2TP/IPSec

Причина, по которой люди используют L2TP, заключается в необходимости предоставить пользователям механизм входа в систему. Под IPSec подразумевается протокол туннелирования в сценарии от шлюза к шлюзу (есть еще два режима, туннельный режим и транспортный режим). Поэтому поставщики используют L2TP, чтобы люди могли использовать свои продукты в сценарии «клиент-сеть». Таким образом, они используют L2TP только для регистрации, а остальная часть сеанса будет использовать IPSec. Вы должны принять во внимание два других режима; предварительные общие ключи и сертификаты.

Ссылка: http://seclists.org/basics/2005/Apr/139

Туннельный режим IPsec

Когда безопасность протокола Интернет (IPsec) используется в туннельном режиме, сам IPsec обеспечивает инкапсуляцию только для IP-трафика. Основной причиной использования туннельного режима IPsec является совместимость с другими маршрутизаторами, шлюзами или конечными системами, которые не поддерживают L2TP через IPsec или туннелирование PPTP VPN. Информация о совместимости предоставляется на веб-сайте Консорциума виртуальных частных сетей.

Ссылка: http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668