La VPN PPTP o IPSEC è più sicura dell'altra per la VPN "dial in", se sì, perché?
La VPN PPTP o IPSEC è più sicura dell'altra per la VPN "dial in", se sì, perché?
Risposte:
PPTP è un protocollo di tunneling proprio come L2TP - non fornisce sicurezza.
PPTP utilizza MPPE per la crittografia, che può presentare alcuni svantaggi rispetto a IPSEC (che viene comunemente utilizzato con L2TP). IPSEC può anche essere usato da solo come protocollo di tunneling e questo è abbastanza comune.
Un vantaggio con IPSEC in generale sarebbe se utilizzato con certificati per l'autenticazione a livello di macchina oltre a livello utente. L2TP lo impone, ma IPSEC da solo potrebbe essere usato solo con una chiave pre-condivisa proprio come la crittografia in PPTP può - abbassando il livello di sicurezza a livelli simili secondo me.
Le vulnerabilità più vecchie in PPTP sono state risolte in questi giorni e puoi combinarle con EAP per migliorarle per richiedere anche certificati. Direi che non esiste un chiaro vincitore, ma PPTP è più vecchio, più leggero, funziona nella maggior parte dei casi e i client sono prontamente preinstallati, il che gli dà un vantaggio in quanto normalmente è molto facile da implementare e configurare senza EAP.
Tuttavia, ottenere qualcosa di più sicuro dall'autenticazione a livello di macchina potrebbe dare all'IPSEC un vantaggio nell'essere progettato per iniziare (in particolare L2TP) - e quindi probabilmente essere più facile da implementare con tale requisito piuttosto che far funzionare PPTP con EAP.
Se confrontiamo subito PPTP con L2TP - L2TP vince di un discreto importo a causa dei requisiti per un'autenticazione decente su più livelli, prevenendo diversi scenari PPTP non lo impedirà (in teoria).
La saggezza attuale è che IPSec è migliore, ma non esistono exploit completi (noti) per PPTP, quindi è ancora comunemente usato. IPSec è sicuramente più recente, con più extra opzionali e (IMHO) supporto più ampio.
Molte persone criticano il fatto che PPTP invia alcuni pacchetti di controllo non crittografati, ma, ancora una volta, questo non ha comportato un grande exploit, fa solo pensare alle persone che DEVONO essercene uno lì dentro da qualche parte. Penso che in gran parte siano solo uve acide residue perché il PPTP era un'iniziativa di Microsoft e il brevetto gravava (hanno recentemente consentito implementazioni aperte, quindi questo non è un problema).
Va notato che un nuovo attacco a MS-CHAPv2 di Moxie Marlinspike e David Hulton rende i tunnel PPTP meno desiderabili. Sulla base di questo, andrei con un tunnel basato su IPSEC o SSL VPN per l'accesso remoto.
Ulteriori informazioni:
Buone risposte, ma un po 'imprecise. Possono dare idee sbagliate sul ruolo di L2TP.
L2TP non utilizza IPsec. Non è basato su IPSec. L2TP è il "Protocollo di tunneling di livello 2", che svolge una e una sola funzione - tunneling di altri protocolli. Non fornisce alcun tipo di sicurezza, solo perché non è previsto. Ed è esattamente per questo che viene solitamente utilizzato insieme a IPSec. I due protocolli utilizzati insieme non significano che siano dipendenti in alcun modo. L2TP può essere utilizzato senza IPSec, proprio come IPSec può essere utilizzato senza L2TP. Non ha senso parlare di sicurezza di L2TP: non ce n'è. Quando si parla di sicurezza di IPSec / L2TP VPN, si parla di sicurezza di IPSec.
Se stai prendendo in considerazione microsoft PPTP potresti trovare questo utile: FAQ PPTP
Inoltre, PPTP vs. IPSec è un po 'Fish vs. Bicycles - potresti voler guardare L2TP piuttosto che IPSec diretto (L2TP è basato su IPSec ed è supportato in Windows come PPTP e ha decenti implementazioni open source).