IPsec против L2TP / IPsec

47

У меня есть служба VPN, которая дает мне возможность подключения через PPTP, IPsec или L2TP через IPsec. Я знаю, что PPTP уступает в плане безопасности и шифрования, но я не совсем уверен, в чем разница между двумя вариантами IPsec.

Кстати, я заметил, что L2TP через IPsec кажется намного медленнее, чем обычный IPsec, но это могут быть просто серверы, их конфигурации или даже устройство на моем конце.

Есть ли разница с точки зрения безопасности? Одно «лучше», чем другое, или они просто функционально эквивалентны, но по-разному реализованы?

Крис Пратт
источник

Ответы:

42

Cisco IPsec против L2TP (через IPsec)

Термин Cisco IPsec - это просто маркетинговый ход, который в основном означает простой IPsec, использующий ESP в туннельном режиме без какой-либо дополнительной инкапсуляции и использующий протокол Internet Key Exchange (IKE) для установления туннеля. IKE предоставляет несколько вариантов аутентификации, наиболее распространенными являются сертификаты с предварительными ключами (PSK) или X.509 в сочетании с аутентификацией пользователя с расширенной аутентификацией (XAUTH).

Протокол туннелирования уровня 2 ( L2TP ) был берет свое начало в PPTP. Поскольку он не обеспечивает функции безопасности, такие как шифрование или строгая аутентификация, он обычно сочетается с IPsec. Чтобы избежать слишком больших дополнительных затрат, обычно используется ESP в транспортном режиме . Это означает, что сначала устанавливается канал IPsec, снова с использованием IKE, затем этот канал используется для установления туннеля L2TP. После этого соединение IPsec также используется для передачи инкапсулированных пользовательских данных L2TP.

По сравнению с обычным IPsec дополнительная инкапсуляция с L2TP (которая добавляет пакет IP / UDP и заголовок L2TP) делает его немного менее эффективным (особенно если он также используется с ESP в туннельном режиме, что делают некоторые реализации).

Обход NAT (NAT-T) также более проблематичен с L2TP / IPsec из-за общего использования ESP в транспортном режиме.

Одно из преимуществ L2TP перед обычным IPsec состоит в том, что он может передавать протоколы, отличные от IP.

С точки зрения безопасности оба аналогичны, но это зависит от метода аутентификации, режима аутентификации (основной или агрессивный режим), надежности ключей, используемых алгоритмов и т. Д.

ECDSA
источник
2
Таким образом, в принципе, если меня интересует только IP, IPsec будет более эффективным, чем L2TP / IPsec, благодаря меньшим издержкам и, вероятно, будет более совместимым в целом. Предполагая, что провайдер VPN реализовал все правильно, нет никакой разницы в безопасности, поскольку это происходит от уровня IPsec, который используется обоими. Правильный?
Крис Пратт
Правильный. Среди всех вариантов VPN, предлагаемых вашим провайдером, явный победитель - IPsec.
ecdsa
У Cisco много маркетинговых уловок, но я действительно не вижу в этом единства. Я довольно много работал с IPSec на Ciscos и другом оборудовании; У меня не было впечатления о том, что Cisco IPSec называют продуктом. Конфигурация IPSec не идентична даже среди моделей Cisco.
Белаква
5
Cisco IPsec в основном используется в продуктах Apple для обозначения простого IPsec в туннельном режиме (с IKEv1 в основном или агрессивном режиме). Диалог VPN в iOS имеет большой логотип Cisco, если выбран IPSec, а в Mac OS X он явно называется Cisco IPSec , хотя обе операционные системы используют Racoon для его реализации.
Ecdsa
Фактически, IPsec в туннельном режиме (в отличие от транспортного режима) передает любой трафик, инкапсулируя исходные IP-пакеты в защищенные IP-пакеты. Исходные IP-пакеты могут нести TCP, UDP или любой другой протокол. Означает ли это, что L2TP вообще не имеет никаких преимуществ?
Алексей Полонский
21

L2TP против PPTP

L2TP / IPSec и PPTP похожи в следующих отношениях:

обеспечить логический транспортный механизм для отправки полезных нагрузок PPP; обеспечить туннелирование или инкапсуляцию, чтобы полезные нагрузки PPP, основанные на любом протоколе, могли передаваться по IP-сети; полагаться на процесс соединения PPP для выполнения аутентификации пользователя и настройки протокола.

Некоторые факты о PPTP:

  • преимущества
    • PPTP прост в развертывании
    • PPTP использует TCP, это надежное решение позволяет ретранслировать потерянные пакеты
    • Поддержка PPTP
  • недостатки
    • PPTP менее защищен с MPPE (до 128 бит)
    • шифрование данных начинается после завершения процесса соединения PPP (и, следовательно, аутентификации PPP)
    • Соединения PPTP требуют только аутентификации на уровне пользователя через протокол аутентификации на основе PPP

Некоторые факты о L2TP (через PPTP):

  • преимущества
    • Шифрование данных L2TP / IPSec начинается до процесса соединения PPP
    • Соединения L2TP / IPSec используют AES (до 256 бит) или DESU до трех 56-битных ключей)
    • Соединения L2TP / IPSec обеспечивают более строгую аутентификацию, требуя как аутентификации на уровне компьютера через сертификаты, так и аутентификации на уровне пользователя через протокол аутентификации PPP
    • L2TP использует UDP. Это более быстрый, но менее надежный инструмент, так как он не передает повторно потерянные пакеты и обычно используется в интернет-коммуникациях в реальном времени.
    • L2TP более «дружественен к брандмауэрам», чем PPTP - важнейшее преимущество протокола экстрасети, поскольку большинство брандмауэров не поддерживают GRE
  • недостаток
    • L2TP требует сертификатную инфраструктуру для выдачи компьютерных сертификатов

Обобщить:

Нет явного победителя, но PPTP более старый, более легкий, работает в большинстве случаев, и клиенты легко предустановлены, что дает преимущество в простоте развертывания и настройки (без EAP).

Но для большинства стран, таких как ОАЭ, Оман, Пакистан, Йемен, Саудовская Аравия, Турция, Китай, Сингапур, PPTP в Ливане заблокирован интернет-провайдером или правительством, поэтому им требуется L2TP или SSL VPN.

Ссылка: http://vpnblog.info/pptp-vs-l2tp.html


IPSec VS L2TP / IPSec

Причина, по которой люди используют L2TP, заключается в необходимости предоставить пользователям механизм входа в систему. Под IPSec подразумевается протокол туннелирования в сценарии от шлюза к шлюзу (есть еще два режима, туннельный режим и транспортный режим). Поэтому поставщики используют L2TP, чтобы позволить людям использовать свои продукты в сценарии «клиент-сеть». Таким образом, они используют L2TP только для регистрации, а остальная часть сеанса будет использовать IPSec. Вы должны принять во внимание два других режима; предварительные общие ключи против сертификатов.

Ссылка: http://seclists.org/basics/2005/Apr/139

Туннельный режим IPsec

Когда безопасность протокола Интернет (IPsec) используется в туннельном режиме, сам IPsec обеспечивает инкапсуляцию только для трафика IP. Основной причиной использования туннельного режима IPsec является совместимость с другими маршрутизаторами, шлюзами или конечными системами, которые не поддерживают L2TP через IPsec или туннелирование PPTP VPN. Информация о совместимости предоставляется на веб-сайте Консорциума виртуальных частных сетей.

Ссылка: http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668

CHMOD
источник
2
Спасибо за подробный ответ, но я уже понял разницу между PPTP и L2TP. Мой вопрос касается сравнения / сопоставления Cisco IPsec с L2TP через IPsec - если только вы не предполагаете, что различие заключается в том, что Cisco IPsec использует PPTP, но я не верю, что это именно то, что я прочитал.
Крис Пратт
1
Извините, я неправильно понял ваш вопрос. Cisco IPSec - это просто обычный IPSec, в этом нет ничего нового. Таким образом, ваш вопрос действительно IPsec против L2TP / IPsec. Ответ отредактирован
chmod
2
Незначительное исправление - L2TP не требует инфраструктуры сертификатов. L2TP / IPSec поддерживает аутентификацию по паролю без использования сертификатов.
Говард