IPsec กับ L2TP / IPsec

47

ฉันมีบริการ VPN ซึ่งให้ตัวเลือกในการเชื่อมต่อผ่าน PPTP, IPsec หรือ L2TP ผ่าน IPsec PPTP ที่ฉันรู้จักนั้นด้อยกว่าในเรื่องของความปลอดภัยและการเข้ารหัส แต่ฉันไม่แน่ใจจริงๆว่าความแตกต่างระหว่างสองตัวเลือก IPsec คืออะไร

โดยทั่วไปฉันได้สังเกตเห็นว่า L2TP ผ่าน IPsec ดูเหมือนจะช้ากว่า IPsec ธรรมดามาก แต่นั่นอาจเป็นเพียงเซิร์ฟเวอร์การกำหนดค่าของพวกเขาหรือแม้กระทั่งอุปกรณ์ที่อยู่ท้ายสุดของฉัน

มีความปลอดภัยที่แตกต่างหรือไม่? หนึ่งคือ "ดีกว่า" อื่น ๆ หรือว่าพวกเขาเพียงแค่เทียบเท่าฟังก์ชั่น แต่มีการใช้งานที่แตกต่างกัน?

ipsec  l2tp 
Chris Pratt
แหล่งที่มา

คำตอบ:

42

Cisco IPsec กับ L2TP (มากกว่า IPsec)

คำว่าCisco IPsecเป็นเพียงวิธีการทางการตลาดซึ่งโดยทั่วไปหมายถึงIPsecธรรมดาโดยใช้ESPในโหมดทันเนลโดยไม่มีการห่อหุ้มเพิ่มเติมและใช้ โปรโตคอลInternet Key Exchange (IKE) เพื่อสร้างช่องสัญญาณ IKE มีตัวเลือกการรับรองความถูกต้องหลายตัว, คีย์ที่แบ่งใช้ล่วงหน้า (PSK) หรือใบรับรอง X.509 รวมกับการตรวจสอบความถูกต้องของผู้ใช้แบบขยาย (XAUTH) ที่พบมากที่สุด

เลเยอร์ 2 Tunneling Protocol ( L2TP ) คือมีต้นกำเนิดใน PPTP เนื่องจากมันไม่ได้มีคุณสมบัติด้านความปลอดภัยเช่นการเข้ารหัสหรือการรับรองความถูกต้องที่แข็งแกร่งจึงมักจะรวมกับ IPsec เพื่อหลีกเลี่ยง ESP ที่ใช้มากเกินไปในโหมดการขนส่งโดยทั่วไปจะใช้ นี่หมายความว่าช่อง IPsec แรกถูกสร้างขึ้นอีกครั้งโดยใช้ IKE จากนั้นช่องสัญญาณนี้จะถูกใช้เพื่อสร้างอุโมงค์ L2TP หลังจากนั้นการเชื่อมต่อ IPsec ยังใช้เพื่อส่งข้อมูลผู้ใช้ที่ห่อหุ้ม L2TP

เมื่อเทียบกับ IPsec แบบธรรมดาการห่อหุ้มเพิ่มเติมด้วย L2TP (ซึ่งเพิ่มแพ็กเก็ต IP / UDP และส่วนหัว L2TP) ทำให้มีประสิทธิภาพน้อยลงเล็กน้อย (ดังนั้นถ้าใช้กับ ESP ในโหมดช่องสัญญาณซึ่งการใช้งานบางอย่างทำ)

NAT traversal (NAT-T) เป็นปัญหากับ L2TP / IPsec มากขึ้นเนื่องจากการใช้งานโดยทั่วไปของ ESP ในโหมดการขนส่ง

ข้อดีอย่างหนึ่งของ L2TP นั้นมีมากกว่า IPsec ธรรมดาคือมันสามารถส่งโปรโตคอลอื่นนอกเหนือจาก IP

Security-wise ทั้งสองมีความคล้ายคลึงกัน แต่ขึ้นอยู่กับวิธีการพิสูจน์ตัวตน, โหมดการพิสูจน์ตัวตน (โหมดหลักหรือโหมดก้าวร้าว), ความแรงของปุ่ม, อัลกอริทึมที่ใช้ ฯลฯ

ECDSA
แหล่งที่มา
2
ดังนั้นโดยทั่วไปถ้าฉันเกี่ยวข้องกับ IP เท่านั้น IPsec จะมีประสิทธิภาพมากกว่า L2TP / IPsec โดยอาศัยค่าใช้จ่ายน้อยกว่าและน่าจะเป็นภาพรวมที่เข้ากันได้มากกว่า สมมติว่าผู้ให้บริการ VPN ได้ใช้งานทุกอย่างอย่างเหมาะสมไม่มีความแตกต่างในเรื่องความปลอดภัยเนื่องจากมาจากเลเยอร์ IPsec ซึ่งทั้งคู่ใช้ แก้ไข?
Chris Pratt
แก้ไข. ระหว่างตัวเลือก VPN ทั้งหมดที่ผู้ให้บริการของคุณมอบให้ IPsec ล้วนเป็นผู้ชนะที่ชัดเจน
ecdsa
Cisco มีระบบการตลาดมากมาย แต่ฉันไม่เห็นสิ่งนี้เป็นเรื่องจริง ฉันทำงานค่อนข้างน้อยกับ IPSec บน Ciscos และอุปกรณ์อื่น ๆ ; ฉันไม่ได้มีความประทับใจว่า 'Cisco IPSec' ถูกอ้างถึงราวกับว่าเป็นผลิตภัณฑ์ การกำหนดค่า IPSec ไม่เหมือนกันแม้แต่ใน Cisco ทุกรุ่น
belacqua
5
Cisco IPsecส่วนใหญ่จะใช้ในผลิตภัณฑ์ Apple เพื่อแสดง IPsec ธรรมดาในโหมดทันเนล (ด้วย IKEv1 ทั้งในโหมดหลักหรือโหมดก้าวร้าว) กล่องโต้ตอบ VPN ใน iOS มีโลโก้ Cisco ขนาดใหญ่หากเลือกIPSecและใน Mac OS X จะเรียกว่าCisco IPSecอย่างชัดเจนแม้ว่าระบบปฏิบัติการทั้งสองจะใช้Racoonเพื่อนำไปใช้จริง
ecdsa
อันที่จริง IPsec ในโหมดทันเนล (ตรงข้ามกับโหมดการขนส่ง) ถ่ายโอนการรับส่งข้อมูลใด ๆโดยการห่อหุ้มแพ็กเก็ต IP ดั้งเดิมภายในแพ็คเก็ต IP ที่ปลอดภัย แพ็คเก็ต IP ดั้งเดิมสามารถพกพา TCP, UDP หรือโปรโตคอลอื่น ๆ ได้ สิ่งนี้ทำให้ L2TP ไม่ได้เปรียบอะไรเลยหรือไม่?
Alexey Polonsky
21

L2TP เทียบกับ PPTP

L2TP / IPSec และ PPTP คล้ายกันในวิธีต่อไปนี้:

จัดเตรียมกลไกการขนส่งแบบโลจิคัลเพื่อส่ง payload PPP จัดหา tunneling หรือ encapsulation เพื่อให้ PPP payloads ตามโปรโตคอลใด ๆ สามารถส่งผ่านเครือข่าย IP ได้ พึ่งพากระบวนการเชื่อมต่อ PPP เพื่อดำเนินการตรวจสอบผู้ใช้และการกำหนดค่าโปรโตคอล

ข้อเท็จจริงบางอย่างเกี่ยวกับ PPTP:

  • ข้อได้เปรียบ
    • PPTP ใช้งานง่าย
    • PPTP ใช้ TCP โซลูชันที่น่าเชื่อถือนี้อนุญาตให้ส่งแพ็กเก็ตที่หายไปอีกครั้ง
    • การสนับสนุน PPTP
  • ข้อเสีย
    • PPTP ปลอดภัยน้อยกว่าด้วย MPPE (สูงสุด 128 บิต)
    • การเข้ารหัสข้อมูลเริ่มต้นหลังจากกระบวนการเชื่อมต่อ PPP (และการรับรองความถูกต้อง PPP) เสร็จสมบูรณ์
    • การเชื่อมต่อ PPTP ต้องการการรับรองความถูกต้องระดับผู้ใช้ผ่านโปรโตคอลการตรวจสอบความถูกต้องแบบ PPP

ข้อเท็จจริงบางประการเกี่ยวกับ L2TP (มากกว่า PPTP):

  • ข้อได้เปรียบ
    • การเข้ารหัสข้อมูล L2TP / IPSec เริ่มก่อนกระบวนการเชื่อมต่อ PPP
    • การเชื่อมต่อ L2TP / IPSec ใช้ AES (สูงสุด 256 บิต) หรือ DESUup ปุ่ม 56- บิตสามปุ่ม)
    • การเชื่อมต่อ L2TP / IPSec ให้การรับรองความถูกต้องที่แรงขึ้นโดยต้องการการรับรองความถูกต้องระดับคอมพิวเตอร์ผ่านใบรับรองและการรับรองความถูกต้องระดับผู้ใช้ผ่านโปรโตคอลการตรวจสอบ PPP
    • L2TP ใช้ UDP มันเร็วกว่า แต่น่าเชื่อถือน้อยกว่าเพราะไม่ส่งผ่านแพ็กเก็ตที่หายไปซึ่งมักใช้ในการสื่อสารทางอินเทอร์เน็ตตามเวลาจริง
    • L2TP เป็น "ไฟร์วอลล์ที่เป็นมิตร" มากกว่า PPTP ซึ่งเป็นข้อได้เปรียบที่สำคัญสำหรับโปรโตคอลเอกซ์ทราเน็ตเนื่องจากไฟร์วอลล์ส่วนใหญ่ไม่รองรับ GRE
  • ข้อเสียเปรียบ
    • L2TP ต้องการโครงสร้างพื้นฐานใบรับรองเพื่อออกใบรับรองคอมพิวเตอร์

เพื่อสรุป:

ไม่มีผู้ชนะที่ชัดเจน แต่ PPTP นั้นเก่ากว่ามีน้ำหนักเบากว่าทำงานในกรณีส่วนใหญ่และลูกค้าได้รับการติดตั้งไว้ล่วงหน้าทำให้เป็นข้อได้เปรียบในการติดตั้งและกำหนดค่า (โดยไม่ต้องใช้ EAP)

แต่สำหรับประเทศส่วนใหญ่เช่น UAE, โอมาน, ปากีสถาน, เยเมน, ซาอุดีอาระเบีย, ตุรกี, จีน, สิงคโปร์, เลบานอน PPTP ถูกบล็อกโดย ISP หรือรัฐบาลดังนั้นพวกเขาจึงต้องการ L2TP หรือ SSL VPN

การอ้างอิง: http://vpnblog.info/pptp-vs-l2tp.html

IPSec VS L2TP / IPSec

เหตุผลที่คนใช้ L2TP นั้นเกิดจากความจำเป็นในการให้กลไกการเข้าสู่ระบบแก่ผู้ใช้ IPSec ด้วยตัวเองนั้นมีความหมายโดยโปรโตคอลการสร้างช่องสัญญาณในสถานการณ์เกตเวย์ไปสู่เกตเวย์ (ยังมีสองโหมดโหมดอุโมงค์และโหมดการขนส่ง) ดังนั้นผู้ขายจึงใช้ L2TP เพื่ออนุญาตให้ผู้คนใช้ผลิตภัณฑ์ของพวกเขาในสถานการณ์ลูกค้าต่อเครือข่าย ดังนั้นพวกเขาใช้ L2TP สำหรับการบันทึกเท่านั้นและส่วนที่เหลือของเซสชันจะใช้ IPSec คุณต้องคำนึงถึงสองโหมดอื่น ๆ pre-shared-keys กับใบรับรอง

การอ้างอิง: http://seclists.org/basics/2005/Apr/139

โหมดทันเนล IPsec

เมื่อความปลอดภัยของอินเทอร์เน็ตโพรโทคอล (IPsec) ถูกนำมาใช้ในโหมดทันเนล IPsec เองจะให้การห่อหุ้มสำหรับการรับส่งข้อมูล IP เท่านั้น เหตุผลหลักสำหรับการใช้โหมดทันเนล IPsec คือการทำงานร่วมกันกับเราเตอร์เกตเวย์หรือระบบปลายทางอื่น ๆ ที่ไม่รองรับ L2TP ผ่านการสร้างช่องสัญญาณ IPsec หรือ PPTP VPN ข้อมูลการทำงานร่วมกันมีให้ที่เว็บไซต์ Virtual Private Network Consortium

การอ้างอิง: http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668

chmod
แหล่งที่มา
2
ขอบคุณสำหรับการตอบกลับโดยละเอียด แต่ฉันเข้าใจความแตกต่างระหว่าง PPTP และ L2TP แล้ว คำถามของฉันเกี่ยวข้องกับการเปรียบเทียบ / ความเปรียบต่างของ Cisco IPsec กับ L2TP ผ่าน IPsec - เว้นแต่คุณจะบอกเป็นนัยว่าความแตกต่างคือ Cisco IPsec ใช้ PPTP แต่ฉันไม่เชื่อว่านี่เป็นสิ่งที่ฉันได้อ่าน
Chris Pratt
1
ขออภัยฉันอ่านคำถามของคุณผิด Cisco IPSec เป็นเพียง IPSec ธรรมดาธรรมดาไม่มีอะไรใหม่เกี่ยวกับมัน ดังนั้นคำถามของคุณคือ IPsec VS L2TP / IPsec จริงๆ ตอบแก้ไข
chmod
2
การแก้ไขเล็กน้อย - L2TP ไม่ต้องการโครงสร้างพื้นฐานใบรับรอง L2TP / IPSec รองรับการตรวจสอบรหัสผ่านโดยไม่เกี่ยวข้องกับใบรับรอง
โฮเวิร์ด
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.