IPsec, L2TP / IPsec'e karşı


47

Bana PPTP, IPsec veya IPsec üzerinden L2TP üzerinden bağlanma seçeneğini sunan bir VPN servisim var. Bildiğim PPTP, güvenlik ve şifreleme açısından yetersiz, ancak iki IPsec seçeneği arasındaki farkın ne olduğundan emin değilim.

Önceden, IPsec üzerinden L2TP'nin düz IPsec'ten çok daha yavaş göründüğünü fark ettim, ancak bu basitçe sunucular, yapılandırmaları ve hatta benim tarafımdaki cihaz olabilir.

Güvenlik açısından herhangi bir fark var mı? Biri diğerinden "daha iyi" mi, yoksa sadece işlevsel olarak eşdeğer mi, farklı bir şekilde mi uygulanmış?

Yanıtlar:


42

Cisco IPsec ve L2TP (IPsec üzerinden)

Cisco IPsec terimi , temel olarak herhangi bir ek kapsülleme olmaksızın ESP'yi kullanarak ve hiçbir ek kapsülleme olmadan Internet Key Exchange protokolünü (IKE) kullanan basit IPsec anlamına gelen bir pazarlama hilesidir . IKE, çeşitli kimlik doğrulama seçenekleri sunar, önceden paylaşılmış anahtarlar (PSK) veya Genişletilmiş Kimlik Doğrulama (XAUTH) kullanıcı kimlik doğrulaması ile birlikte X.509 sertifikaları en yaygın olanlardır.

2 Tünel Protokolü Katman ( L2TP ) idi PPTP'de kökeni. Şifreleme veya güçlü kimlik doğrulama gibi güvenlik özellikleri sağlamadığından, genellikle IPsec ile birleştirilir. Çok fazla ek yükü önlemek için, taşıma modunda ESP genellikle kullanılır. Bu, ilk önce IPsec kanalının tekrar IKE kullanarak kurulduğunu, ardından bu kanalın L2TP tüneli oluşturmak için kullanıldığı anlamına gelir. Daha sonra IPsec bağlantısı ayrıca L2TP kapsüllenmiş kullanıcı verilerini taşımak için de kullanılır.

Düz IPsec ile karşılaştırıldığında, L2TP ile ek kapsülleme (bir IP / UDP paketi ve L2TP başlığı ekler) biraz daha az verimli hale getirir (dahası, bazı uygulamaların yaptığı tünel modunda ESP ile de kullanılıyorsa).

NAT geçişi (NAT-T), ESP'nin taşıma modunda ortak kullanımı nedeniyle L2TP / IPsec ile daha problemlidir.

L2TP'nin düz IPsec üzerindeki üstünlüğü, IP dışındaki protokolleri taşıyabilmesidir.

Güvenlik açısından ikisi de benzerdir ancak kimlik doğrulama yöntemine, kimlik doğrulama moduna (Ana veya Agresif Mod), tuşların gücüne, kullanılan algoritmalara vb. Bağlıdır.


2
Bu nedenle, temel olarak, sadece IP ile ilgileniyorsam, daha az ek yüke sahip olması nedeniyle IPsec, L2TP / IPsec'ten daha verimli ve genel olarak daha uyumlu olabilir. VPN sağlayıcısının her şeyi doğru bir şekilde uyguladığını varsayarsak, her ikisinin de kullandığı IPsec katmanından geldiği için güvenlik açısından bir fark yoktur. Doğru?
Chris Pratt

Doğru. Sağlayıcınız tarafından sunulan tüm VPN seçenekleri arasında sade IPsec açık kazanandır.
ecdsa

Cisco'da çok sayıda pazarlama plozy'u var, ancak bunu gerçekten bir tane görmüyorum. Ciscos ve diğer cihazlarda IPSec ile biraz çalıştım; Cisco IPSec'in izlendiği gibi bir ürünmiş gibi görünmüyorum. IPSec yapılandırması Cisco modelleri arasında bile aynı değildir.
belacqua

5
Cisco IPsec , esas olarak Apple ürünlerinde tünel modunda düz IPsec'i belirtmek için kullanılır (IKEv1 ile Ana veya Agresif Mod'da). İOS'taki VPN iletişim kutusu, IPSec seçildiyse ve Mac OS X'te , her iki işletim sistemi de gerçekte uygulamak için Racoon kullanıyor olsa bile , açıkça Cisco IPSec olarak adlandırılır .
ecdsa

Aslında, tünel modunda (taşıma modunun aksine) IPsec , orijinal IP paketlerini güvenli IP paketlerinin içine sararak herhangi bir trafiği aktarır . Orijinal IP paketleri, TCP, UDP veya başka bir protokolü taşıyabilir. Bu L2TP'yi hiç bir avantaja sahip olmadığı şeklinde mi gösteriyor?
Alexey Polonsky

21

L2TP'ye karşı PPTP

L2TP / IPSec ve PPTP aşağıdaki şekillerde aynıdır:

PPP yüklerini göndermek için mantıksal bir taşıma mekanizması sağlamak; herhangi bir protokole dayalı PPP yüklerinin bir IP ağı üzerinden gönderilebilmesi için tünel oluşturma veya kapsülleme sağlamak; Kullanıcı doğrulama ve protokol konfigürasyonunu gerçekleştirmek için PPP bağlantı sürecine güvenebilirsiniz.

PPTP ile ilgili bazı gerçekler:

  • avantajları
    • PPTP'nin dağıtılması kolay
    • PPTP TCP kullanır, bu güvenilir çözüm kayıp paketleri tekrar iletir.
    • PPTP desteği
  • Dezavantajları
    • PPTP, MPPE ile daha az güvenli (128 bit'e kadar)
    • Veri şifreleme, PPP bağlantı işlemi (ve dolayısıyla PPP kimlik doğrulaması) tamamlandıktan sonra başlar.
    • PPTP bağlantıları, PPP tabanlı bir kimlik doğrulama protokolü aracılığıyla yalnızca kullanıcı düzeyinde kimlik doğrulama gerektirir

L2TP ile ilgili bazı gerçekler (PPTP üzerinden):

  • avantajları
    • L2TP / IPSec veri şifrelemesi, PPP bağlantı işleminden önce başlar
    • L2TP / IPSec bağlantıları, AES'yi (256bit'e kadar) veya DESUup'u üç 56-bit tuşa kullanır)
    • L2TP / IPSec bağlantıları, hem sertifika düzeyinde bilgisayar düzeyinde kimlik doğrulaması hem de PPP kimlik doğrulama protokolüyle kullanıcı düzeyinde kimlik doğrulaması gerektirerek daha güçlü kimlik doğrulaması sağlar
    • L2TP, UDP kullanır. Daha hızlı ancak daha az güvenilirdir, çünkü kayıp paketleri tekrar iletmez, gerçek zamanlı İnternet iletişiminde yaygın olarak kullanılır.
    • L2TP, PPTP'den daha "güvenlik duvarı dostu" - çoğu güvenlik duvarı nedeniyle extranet protokolü için çok önemli bir avantaj GRE'yi desteklemiyor
  • dezavantaj
    • L2TP, bilgisayar sertifikaları vermek için sertifika altyapısı gerektirir

Özetlemek:

Açık bir kazanan yok, ancak PPTP daha eski, daha hafif, çoğu durumda işe yarıyor ve istemciler hazır bir şekilde önceden yüklenmiş durumda, bu da normalde dağıtılması ve yapılandırılması (EAP olmadan) çok kolay olma avantajını sağlıyor.

Fakat BAE, Umman, Pakistan, Yemen, Suudi Arabistan, Türkiye, Çin, Singapur, Lübnan gibi ülkelerin çoğunda ISP veya hükümet tarafından engellenen PPTP’nin L2TP veya SSL VPN’e ihtiyacı var.

Referans: http://vpnblog.info/pptp-vs-l2tp.html


IPSec VS L2TP / IPSec

İnsanların L2TP kullanmasının nedeni, kullanıcılara giriş mekanizması sağlama ihtiyacından kaynaklanmaktadır. IPSec tek başına bir ağ geçidinden ağ geçidine senaryosunda bir tünel protokolü anlamına gelir (hala iki mod vardır, tünel modu ve taşıma modu). Böylece, satıcılar, ürünlerini ürünlerini ağ üzerinden istemci senaryosunda kullanmalarına izin vermek için L2TP kullanıyorlar. Bu nedenle, L2TP'yi yalnızca günlüğe kaydetme için kullanırlar ve oturumun geri kalanı IPSec'i kullanır. Diğer iki modu göz önünde bulundurmalısınız; önceden paylaşılan anahtarlar vs. sertifikalar.

Referans: http://seclists.org/basics/2005/Apr/139

IPsec tünel modu

Tünel modunda Internet Protokolü güvenliği (IPsec) kullanıldığında, IPsec'in kendisi yalnızca IP trafiği için kapsülleme sağlar. IPsec tünel modunu kullanmanın birincil nedeni, IPsec veya PPTP VPN tünelleme üzerinden L2TP'yi desteklemeyen diğer yönlendiriciler, ağ geçitleri veya uç sistemler ile birlikte çalışabilirliktir. Birlikte çalışabilirlik bilgileri Sanal Özel Ağ Konsorsiyumu Web sitesinde verilmektedir.

Referans: http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668


2
Detaylı cevap için teşekkür ederim, ama ben zaten PPTP ve L2TP arasındaki farkı anladım. Benim sorum, Cisco IPsec'in IPsec üzerinden L2TP'ye kıyasla karşılaştırılması / karşıtlığını içerir - farkın Cisco IPsec'in PPTP kullandığı anlamına gelmediğini ima etmediğiniz sürece, ama bunun okuduğumdan bu olduğuna inanmıyorum.
Chris Pratt

1
Üzgünüm sorunuzu yanlış anladım. Cisco IPSec normal düz IPSec'tir, bununla ilgili yeni bir şey yoktur. Yani sorunuz gerçekten IPsec VS L2TP / IPsec. Cevap düzenlendi
chmod

2
Küçük bir düzeltme - L2TP sertifika altyapısı gerektirmez . L2TP / IPSec, sertifika gerektirmeden parola doğrulamayı destekler.
Howard,
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.