У меня есть служба VPN, которая дает мне возможность подключения через PPTP, IPsec или L2TP через IPsec. Я знаю, что PPTP уступает в плане безопасности и шифрования, но я не совсем уверен, в чем разница между двумя вариантами IPsec.
Кстати, я заметил, что L2TP через IPsec кажется намного медленнее, чем обычный IPsec, но это могут быть просто серверы, их конфигурации или даже устройство на моем конце.
Есть ли разница с точки зрения безопасности? Одно «лучше», чем другое, или они просто функционально эквивалентны, но по-разному реализованы?
Термин Cisco IPsec - это просто маркетинговый ход, который в основном означает простой IPsec, использующий ESP в туннельном режиме без какой-либо дополнительной инкапсуляции и использующий протокол Internet Key Exchange (IKE) для установления туннеля. IKE предоставляет несколько вариантов аутентификации, наиболее распространенными являются сертификаты с предварительными ключами (PSK) или X.509 в сочетании с аутентификацией пользователя с расширенной аутентификацией (XAUTH).
Протокол туннелирования уровня 2 ( L2TP ) был берет свое начало в PPTP. Поскольку он не обеспечивает функции безопасности, такие как шифрование или строгая аутентификация, он обычно сочетается с IPsec. Чтобы избежать слишком больших дополнительных затрат, обычно используется ESP в транспортном режиме . Это означает, что сначала устанавливается канал IPsec, снова с использованием IKE, затем этот канал используется для установления туннеля L2TP. После этого соединение IPsec также используется для передачи инкапсулированных пользовательских данных L2TP.
По сравнению с обычным IPsec дополнительная инкапсуляция с L2TP (которая добавляет пакет IP / UDP и заголовок L2TP) делает его немного менее эффективным (особенно если он также используется с ESP в туннельном режиме, что делают некоторые реализации).
Обход NAT (NAT-T) также более проблематичен с L2TP / IPsec из-за общего использования ESP в транспортном режиме.
Одно из преимуществ L2TP перед обычным IPsec состоит в том, что он может передавать протоколы, отличные от IP.
С точки зрения безопасности оба аналогичны, но это зависит от метода аутентификации, режима аутентификации (основной или агрессивный режим), надежности ключей, используемых алгоритмов и т. Д.
Таким образом, в принципе, если меня интересует только IP, IPsec будет более эффективным, чем L2TP / IPsec, благодаря меньшим издержкам и, вероятно, будет более совместимым в целом. Предполагая, что провайдер VPN реализовал все правильно, нет никакой разницы в безопасности, поскольку это происходит от уровня IPsec, который используется обоими. Правильный?
Крис Пратт
Правильный. Среди всех вариантов VPN, предлагаемых вашим провайдером, явный победитель - IPsec.
ecdsa
У Cisco много маркетинговых уловок, но я действительно не вижу в этом единства. Я довольно много работал с IPSec на Ciscos и другом оборудовании; У меня не было впечатления о том, что Cisco IPSec называют продуктом. Конфигурация IPSec не идентична даже среди моделей Cisco.
Белаква
5
Cisco IPsec в основном используется в продуктах Apple для обозначения простого IPsec в туннельном режиме (с IKEv1 в основном или агрессивном режиме). Диалог VPN в iOS имеет большой логотип Cisco, если выбран IPSec, а в Mac OS X он явно называется Cisco IPSec , хотя обе операционные системы используют Racoon для его реализации.
Ecdsa
Фактически, IPsec в туннельном режиме (в отличие от транспортного режима) передает любой трафик, инкапсулируя исходные IP-пакеты в защищенные IP-пакеты. Исходные IP-пакеты могут нести TCP, UDP или любой другой протокол. Означает ли это, что L2TP вообще не имеет никаких преимуществ?
Алексей Полонский
21
L2TP против PPTP
L2TP / IPSec и PPTP похожи в следующих отношениях:
обеспечить логический транспортный механизм для отправки полезных нагрузок PPP; обеспечить туннелирование или инкапсуляцию, чтобы полезные нагрузки PPP, основанные на любом протоколе, могли передаваться по IP-сети; полагаться на процесс соединения PPP для выполнения аутентификации пользователя и настройки протокола.
Некоторые факты о PPTP:
преимущества
PPTP прост в развертывании
PPTP использует TCP, это надежное решение позволяет ретранслировать потерянные пакеты
Поддержка PPTP
недостатки
PPTP менее защищен с MPPE (до 128 бит)
шифрование данных начинается после завершения процесса соединения PPP (и, следовательно, аутентификации PPP)
Соединения PPTP требуют только аутентификации на уровне пользователя через протокол аутентификации на основе PPP
Некоторые факты о L2TP (через PPTP):
преимущества
Шифрование данных L2TP / IPSec начинается до процесса соединения PPP
Соединения L2TP / IPSec используют AES (до 256 бит) или DESU до трех 56-битных ключей)
Соединения L2TP / IPSec обеспечивают более строгую аутентификацию, требуя как аутентификации на уровне компьютера через сертификаты, так и аутентификации на уровне пользователя через протокол аутентификации PPP
L2TP использует UDP. Это более быстрый, но менее надежный инструмент, так как он не передает повторно потерянные пакеты и обычно используется в интернет-коммуникациях в реальном времени.
L2TP более «дружественен к брандмауэрам», чем PPTP - важнейшее преимущество протокола экстрасети, поскольку большинство брандмауэров не поддерживают GRE
недостаток
L2TP требует сертификатную инфраструктуру для выдачи компьютерных сертификатов
Обобщить:
Нет явного победителя, но PPTP более старый, более легкий, работает в большинстве случаев, и клиенты легко предустановлены, что дает преимущество в простоте развертывания и настройки (без EAP).
Но для большинства стран, таких как ОАЭ, Оман, Пакистан, Йемен, Саудовская Аравия, Турция, Китай, Сингапур, PPTP в Ливане заблокирован интернет-провайдером или правительством, поэтому им требуется L2TP или SSL VPN.
Причина, по которой люди используют L2TP, заключается в необходимости предоставить пользователям механизм входа в систему. Под IPSec подразумевается протокол туннелирования в сценарии от шлюза к шлюзу (есть еще два режима, туннельный режим и транспортный режим). Поэтому поставщики используют L2TP, чтобы позволить людям использовать свои продукты в сценарии «клиент-сеть». Таким образом, они используют L2TP только для регистрации, а остальная часть сеанса будет использовать IPSec. Вы должны принять во внимание два других режима; предварительные общие ключи против сертификатов.
Когда безопасность протокола Интернет (IPsec) используется в туннельном режиме, сам IPsec обеспечивает инкапсуляцию только для трафика IP. Основной причиной использования туннельного режима IPsec является совместимость с другими маршрутизаторами, шлюзами или конечными системами, которые не поддерживают L2TP через IPsec или туннелирование PPTP VPN. Информация о совместимости предоставляется на веб-сайте Консорциума виртуальных частных сетей.
Спасибо за подробный ответ, но я уже понял разницу между PPTP и L2TP. Мой вопрос касается сравнения / сопоставления Cisco IPsec с L2TP через IPsec - если только вы не предполагаете, что различие заключается в том, что Cisco IPsec использует PPTP, но я не верю, что это именно то, что я прочитал.
Крис Пратт
1
Извините, я неправильно понял ваш вопрос. Cisco IPSec - это просто обычный IPSec, в этом нет ничего нового. Таким образом, ваш вопрос действительно IPsec против L2TP / IPsec. Ответ отредактирован
chmod
2
Незначительное исправление - L2TP не требует инфраструктуры сертификатов. L2TP / IPSec поддерживает аутентификацию по паролю без использования сертификатов.
L2TP против PPTP
L2TP / IPSec и PPTP похожи в следующих отношениях:
обеспечить логический транспортный механизм для отправки полезных нагрузок PPP; обеспечить туннелирование или инкапсуляцию, чтобы полезные нагрузки PPP, основанные на любом протоколе, могли передаваться по IP-сети; полагаться на процесс соединения PPP для выполнения аутентификации пользователя и настройки протокола.
Некоторые факты о PPTP:
Некоторые факты о L2TP (через PPTP):
Обобщить:
Нет явного победителя, но PPTP более старый, более легкий, работает в большинстве случаев, и клиенты легко предустановлены, что дает преимущество в простоте развертывания и настройки (без EAP).
Но для большинства стран, таких как ОАЭ, Оман, Пакистан, Йемен, Саудовская Аравия, Турция, Китай, Сингапур, PPTP в Ливане заблокирован интернет-провайдером или правительством, поэтому им требуется L2TP или SSL VPN.
Ссылка: http://vpnblog.info/pptp-vs-l2tp.html
IPSec VS L2TP / IPSec
Причина, по которой люди используют L2TP, заключается в необходимости предоставить пользователям механизм входа в систему. Под IPSec подразумевается протокол туннелирования в сценарии от шлюза к шлюзу (есть еще два режима, туннельный режим и транспортный режим). Поэтому поставщики используют L2TP, чтобы позволить людям использовать свои продукты в сценарии «клиент-сеть». Таким образом, они используют L2TP только для регистрации, а остальная часть сеанса будет использовать IPSec. Вы должны принять во внимание два других режима; предварительные общие ключи против сертификатов.
Ссылка: http://seclists.org/basics/2005/Apr/139
Туннельный режим IPsec
Когда безопасность протокола Интернет (IPsec) используется в туннельном режиме, сам IPsec обеспечивает инкапсуляцию только для трафика IP. Основной причиной использования туннельного режима IPsec является совместимость с другими маршрутизаторами, шлюзами или конечными системами, которые не поддерживают L2TP через IPsec или туннелирование PPTP VPN. Информация о совместимости предоставляется на веб-сайте Консорциума виртуальных частных сетей.
Ссылка: http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668
источник