PPTP hoặc IPSEC VPN có an toàn hơn so với VPN 'quay số' khác không, nếu vậy, tại sao?
PPTP hoặc IPSEC VPN có an toàn hơn so với VPN 'quay số' khác không, nếu vậy, tại sao?
Câu trả lời:
PPTP là một giao thức đường hầm giống như L2TP - nó không cung cấp bảo mật.
PPTP sử dụng MPPE để mã hóa có thể có một số nhược điểm so với IPSEC (thường được sử dụng với L2TP). IPSEC cũng có thể được sử dụng riêng như một giao thức đường hầm và điều này khá phổ biến.
Một lợi thế với IPSEC nói chung sẽ là nếu nó được sử dụng với các chứng chỉ để xác thực ở cấp độ máy ngoài cấp độ người dùng. L2TP thực thi điều này nhưng riêng IPSEC có thể được sử dụng chỉ với một khóa được chia sẻ trước giống như mã hóa trong PPTP có thể - giảm mức độ bảo mật xuống mức tương tự theo quan điểm của tôi.
Hầu hết các lỗ hổng cũ trong PPTP đều được sửa chữa trong những ngày này và bạn có thể kết hợp nó với EAP để cải thiện nó để yêu cầu chứng chỉ. Tôi muốn nói rằng không có người chiến thắng rõ ràng, nhưng PPTP cũ hơn, nhẹ hơn, hoạt động trong hầu hết các trường hợp và khách hàng dễ dàng cài đặt sẵn, mang lại lợi thế trong việc thông thường rất dễ triển khai và định cấu hình mà không cần EAP.
Tuy nhiên, nhận được một cái gì đó an toàn hơn bằng xác thực cấp độ máy có thể mang lại lợi thế cho IPSEC khi được thiết kế để bắt đầu với (cụ thể là L2TP) - và do đó có thể dễ dàng triển khai với yêu cầu đó hơn là để PPTP hoạt động với EAP.
Nếu chúng ta so sánh PPTP với L2TP ngay lập tức - L2TP thắng một số tiền hợp lý do các yêu cầu xác thực hợp lý ở nhiều cấp độ, ngăn chặn một số tình huống PPTP sẽ không ngăn chặn (về lý thuyết).
Sự khôn ngoan hiện tại là IPSec tốt hơn, nhưng không có khai thác đầy đủ (đã biết) tồn tại cho PPTP, vì vậy nó vẫn được sử dụng phổ biến. IPSec chắc chắn là mới hơn và có nhiều tính năng bổ sung tùy chọn hơn và hỗ trợ rộng hơn (IMHO).
Nhiều người chỉ trích rằng PPTP gửi một số gói điều khiển không được mã hóa, nhưng, một lần nữa, điều này không dẫn đến một sự khai thác lớn, nó chỉ khiến mọi người nghĩ rằng PHẢI có một cái ở đó ở đâu đó. Tôi nghĩ rằng rất nhiều trong số đó chỉ là nho chua còn sót lại vì PPTP là một sáng kiến của Microsoft và bị đóng gói bằng sáng chế (gần đây họ đã cho phép triển khai mở, vì vậy điều này không đáng lo ngại lắm.)
Cần lưu ý rằng một cuộc tấn công mới vào MS-CHAPv2 của Moxie Marlinspike và David Hulton làm cho các đường hầm PPTP ít được mong muốn hơn. Dựa trên điều này, tôi sẽ sử dụng đường hầm dựa trên IPSEC hoặc SSL VPN để truy cập từ xa.
Thêm thông tin:
Câu trả lời tốt, nhưng hơi không chính xác. Họ có thể đưa ra những ý tưởng sai về vai trò của L2TP.
L2TP không sử dụng IPsec. Nó không được xây dựng trên IPSec. L2TP là "Giao thức đường hầm cấp 2", thực hiện một và chỉ một chức năng - tạo đường hầm cho các giao thức khác. Nó không cung cấp bất kỳ loại bảo mật nào, chỉ vì nó không có nghĩa. Và đó chính xác là lý do tại sao nó thường được sử dụng cùng với IPSec. Hai giao thức được sử dụng cùng nhau không có nghĩa là chúng phụ thuộc vào bất kỳ cách nào. L2TP có thể được sử dụng mà không cần IPSec, giống như IPSec có thể được sử dụng mà không cần L2TP. Không có ý nghĩa gì khi nói về bảo mật của L2TP - không có gì. Khi một người đang nói về bảo mật của IPSec / L2TP VPN thì anh ta đang nói về bảo mật của IPSec.
Nếu bạn đang xem xét microsoft PPTP, bạn có thể thấy điều này hữu ích: Câu hỏi thường gặp về PPTP
Ngoài ra, PPTP so với IPSec là một chút Cá so với Xe đạp - bạn có thể muốn xem L2TP thay vì IPSec thẳng (L2TP được xây dựng trên IPSec và được hỗ trợ trong Windows giống như PPTP và có triển khai nguồn mở tốt).