IPsec contro L2TP / IPsec


47

Ho un servizio VPN che mi dà la possibilità di connettermi via PPTP, IPsec o L2TP su IPsec. So che PPTP è inferiore in termini di sicurezza e crittografia, ma non sono sicuro di quale sia la differenza tra le due opzioni IPsec.

Aneddoticamente, ho notato che L2TP su IPsec sembra essere molto più lento del semplice IPsec, ma potrebbero essere semplicemente i server, le loro configurazioni o persino il dispositivo da parte mia.

C'è qualche differenza in termini di sicurezza? Uno è "migliore" dell'altro o sono solo funzionalmente equivalenti ma implementati diversamente?

Risposte:


42

Cisco IPsec vs. L2TP (su IPsec)

Il termine Cisco IPsec è solo uno stratagemma di marketing che sostanzialmente significa IPsec semplice che utilizza ESP in modalità tunnel senza incapsulamento aggiuntivo e che utilizza il protocollo Internet Key Exchange (IKE) per stabilire il tunnel. IKE offre diverse opzioni di autenticazione, le chiavi già condivise (PSK) o i certificati X.509 combinati con l'autenticazione utente Extended Authentication (XAUTH) sono i più comuni.

Il Layer 2 Tunneling Protocol ( L2TP ) aveva le sue origini in PPTP. Poiché non fornisce funzionalità di sicurezza come la crittografia o l'autenticazione avanzata, in genere viene combinato con IPsec. Per evitare un sovraccarico aggiuntivo aggiuntivo viene comunemente utilizzato ESP in modalità di trasporto . Ciò significa che prima viene stabilito il canale IPsec, sempre utilizzando IKE, quindi questo canale viene utilizzato per stabilire il tunnel L2TP. Successivamente, la connessione IPsec viene utilizzata anche per trasportare i dati utente incapsulati L2TP.

Rispetto al semplice IPsec, l'incapsulamento aggiuntivo con L2TP (che aggiunge un pacchetto IP / UDP e un'intestazione L2TP) lo rende un po 'meno efficiente (ancora di più se viene utilizzato anche con ESP in modalità tunnel, cosa che fanno alcune implementazioni).

NAT traversal (NAT-T) è anche più problematico con L2TP / IPsec a causa dell'uso comune di ESP in modalità di trasporto.

Un vantaggio che L2TP ha su IPsec semplice è che può trasportare protocolli diversi dall'IP.

Per quanto riguarda la sicurezza, entrambi sono simili ma dipende dal metodo di autenticazione, dalla modalità di autenticazione (modalità principale o aggressiva), dalla forza delle chiavi, dagli algoritmi utilizzati ecc.


2
Quindi, fondamentalmente, se mi occupo solo di IP, IPsec sarebbe più efficiente di L2TP / IPsec in virtù di un minore sovraccarico e probabilmente nel complesso sarebbe più compatibile. Supponendo che il provider VPN abbia implementato tutto correttamente, non c'è differenza nella sicurezza poiché proviene dal livello IPsec che entrambi utilizzano. Corretta?
Chris Pratt,

Corretta. Tra tutte le opzioni VPN offerte dal tuo provider IPsec è chiaramente il vincitore.
ecdsa,

Cisco ha molti stratagemmi di marketing, ma in realtà non lo vedo come uno di questi. Ho lavorato parecchio con IPSec su Ciscos e altre attrezzature; Non ho avuto l'impressione di "Cisco IPSec" come se fosse un prodotto. La configurazione IPSec non è identica nemmeno tra i modelli Cisco.
Belacqua,

5
Cisco IPsec viene utilizzato principalmente nei prodotti Apple per indicare IPsec semplice in modalità tunnel (con IKEv1 in modalità Principale o Aggressiva). La finestra di dialogo VPN in iOS presenta un ampio logo Cisco se è selezionato IPSec e su Mac OS X viene esplicitamente chiamato Cisco IPSec , anche se entrambi i sistemi operativi utilizzano Racoon per implementarlo effettivamente.
ecdsa,

In realtà, IPsec in modalità tunnel (al contrario della modalità di trasporto) trasferisce tutto il traffico incapsulando i pacchetti IP originali all'interno di pacchetti IP protetti. I pacchetti IP originali possono contenere TCP, UDP o qualsiasi altro protocollo. Questo rende L2TP come se non avesse alcun vantaggio?
Alexey Polonsky,

21

L2TP vs PPTP

L2TP / IPSec e PPTP sono simili nei seguenti modi:

fornire un meccanismo di trasporto logico per inviare payload PPP; fornire tunneling o incapsulamento in modo che i payload PPP basati su qualsiasi protocollo possano essere inviati attraverso una rete IP; fare affidamento sul processo di connessione PPP per eseguire l'autenticazione dell'utente e la configurazione del protocollo.

Alcuni fatti su PPTP:

  • vantaggi
    • PPTP facile da distribuire
    • PPTP utilizza TCP, questa soluzione affidabile consente di ritrasmettere i pacchetti persi
    • Supporto PPTP
  • svantaggi
    • PPTP meno sicuro con MPPE (fino a 128 bit)
    • la crittografia dei dati inizia dopo il completamento del processo di connessione PPP (e quindi l'autenticazione PPP)
    • Le connessioni PPTP richiedono solo l'autenticazione a livello di utente tramite un protocollo di autenticazione basato su PPP

Alcuni fatti su L2TP (su PPTP):

  • vantaggi
    • La crittografia dei dati L2TP / IPSec inizia prima del processo di connessione PPP
    • Le connessioni L2TP / IPSec utilizzano AES (fino a 256 bit) o ​​DESU fino a tre chiavi a 56 bit)
    • Le connessioni L2TP / IPSec forniscono un'autenticazione più forte richiedendo sia l'autenticazione a livello di computer tramite certificati sia l'autenticazione a livello di utente tramite un protocollo di autenticazione PPP
    • L2TP usa UDP. È più veloce, ma meno affidabile, perché non ritrasmette i pacchetti persi, è comunemente usato nelle comunicazioni Internet in tempo reale
    • L2TP più "firewall friendly" rispetto a PPTP - un vantaggio cruciale per un protocollo extranet a causa della maggior parte dei firewall non supporta GRE
  • svantaggio
    • L2TP richiede l'infrastruttura di certificazione per l'emissione di certificati informatici

Riassumere:

Non esiste un chiaro vincitore, ma PPTP è più vecchio, più leggero, funziona nella maggior parte dei casi e i client sono prontamente preinstallati, il che gli dà un vantaggio in quanto è molto facile da implementare e configurare (senza EAP).

Ma per la maggior parte dei paesi come Emirati Arabi Uniti, Oman, Pakistan, Yemen, Arabia Saudita, Turchia, Cina, Singapore, Libano PPTP bloccato da ISP o governo, quindi hanno bisogno di VPN L2TP o SSL

Riferimento: http://vpnblog.info/pptp-vs-l2tp.html


IPSec VS L2TP / IPSec

Il motivo per cui le persone usano L2TP è dovuto alla necessità di fornire agli utenti un meccanismo di accesso. IPSec di per sé è inteso da un protocollo di tunneling in uno scenario gateway-to-gateway (ci sono ancora due modalità, modalità tunnel e modalità di trasporto). Pertanto i fornitori utilizzano L2TP per consentire alle persone di utilizzare i propri prodotti nello scenario da client a rete. Quindi, usano L2TP solo per la registrazione e il resto della sessione userebbe IPSec. Devi prendere in considerazione altre due modalità; chiavi pre-condivise vs. certificati.

Riferimento: http://seclists.org/basics/2005/Apr/139

Modalità tunnel IPsec

Quando IPsec (Internet Protocol Security) viene utilizzato in modalità tunnel, IPsec stesso fornisce l'incapsulamento solo per il traffico IP. Il motivo principale per l'utilizzo della modalità tunnel IPsec è l'interoperabilità con altri router, gateway o sistemi finali che non supportano il tunneling L2TP su IPsec o PPTP VPN. Le informazioni sull'interoperabilità sono fornite nel sito Web del consorzio di rete privata virtuale.

Riferimento: http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668


2
Grazie per la risposta dettagliata, ma ho già capito la differenza tra PPTP e L2TP. La mia domanda riguarda il confronto / contrasto di Cisco IPsec rispetto a L2TP su IPsec - a meno che tu non stia sottintendendo che la differenza è che Cisco IPsec utilizza PPTP, ma non credo che sia il caso di quello che ho letto.
Chris Pratt,

1
Scusa se ho letto male la tua domanda. Cisco IPSec è semplicemente IPSec normale, non c'è nulla di nuovo al riguardo. Quindi la tua domanda è davvero IPsec VS L2TP / IPsec. Risposta modificata
chmod

2
Una correzione minore: L2TP non richiede l' infrastruttura di certificazione. L2TP / IPSec supporta l'autenticazione con password senza coinvolgere certificati.
Howard,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.