IPsec so với L2TP / IPsec

47

Tôi có một dịch vụ VPN cung cấp cho tôi tùy chọn kết nối qua PPTP, IPsec hoặc L2TP qua IPsec. PPTP tôi biết là kém hơn về bảo mật và mã hóa, nhưng tôi không thực sự chắc chắn sự khác biệt giữa hai tùy chọn IPsec là gì.

Thông thường, tôi đã nhận thấy rằng L2TP qua IPsec dường như chậm hơn nhiều so với IPsec đơn giản, nhưng đó có thể chỉ đơn giản là các máy chủ, cấu hình của chúng hoặc thậm chí là thiết bị của tôi.

Có sự khác biệt nào về bảo mật? Là một "tốt hơn" so với cái khác, hoặc chúng chỉ tương đương về chức năng nhưng được thực hiện khác nhau?

ipsec  l2tp 
Chris Pratt
nguồn

Câu trả lời:

42

Cisco IPsec so với L2TP (qua IPsec)

Thuật ngữ Cisco IPsec chỉ là một mánh khóe tiếp thị, về cơ bản có nghĩa là IPsec đơn giản sử dụng ESP trong chế độ đường hầm mà không cần đóng gói thêm và sử dụng giao thức Internet Key Exchange (IKE) để thiết lập đường hầm. IKE cung cấp một số tùy chọn xác thực, các khóa được chia sẻ trước (PSK) hoặc chứng chỉ X.509 kết hợp với xác thực người dùng Xác thực mở rộng (XAUTH) là phổ biến nhất.

Các Layer 2 Tunneling Protocol ( L2TP ) là có nguồn gốc từ PPTP. Vì nó không cung cấp các tính năng bảo mật như mã hóa hoặc xác thực mạnh, nên nó thường được kết hợp với IPsec. Để tránh quá nhiều ESP trên cao trong chế độ vận chuyển thường được sử dụng. Điều này có nghĩa là đầu tiên kênh IPsec được thiết lập, một lần nữa sử dụng IKE, sau đó kênh này được sử dụng để thiết lập đường hầm L2TP. Sau đó, kết nối IPsec cũng được sử dụng để vận chuyển dữ liệu người dùng được đóng gói L2TP.

So với IPsec đơn giản, việc đóng gói bổ sung với L2TP (có thêm gói IP / UDP và tiêu đề L2TP) làm cho nó kém hiệu quả hơn một chút (vì vậy nó cũng được sử dụng với ESP trong chế độ đường hầm, một số cách triển khai thực hiện).

Truyền tải NAT (NAT-T) cũng gặp nhiều vấn đề hơn với L2TP / IPsec do việc sử dụng phổ biến ESP trong chế độ vận chuyển.

Một lợi thế L2TP có trên IPsec đơn giản là nó có thể vận chuyển các giao thức khác ngoài IP.

Cả hai phương thức bảo mật đều tương tự nhau nhưng nó phụ thuộc vào phương thức xác thực, chế độ xác thực (Chế độ chính hoặc Chế độ xâm phạm), độ mạnh của các khóa, thuật toán được sử dụng, v.v.

ecdsa
nguồn
2
Về cơ bản, nếu tôi chỉ quan tâm đến IP, IPsec sẽ hiệu quả hơn L2TP / IPsec nhờ có ít chi phí hoạt động hơn và có khả năng tương thích tổng thể cao hơn. Giả sử nhà cung cấp VPN đã triển khai mọi thứ đúng cách, không có sự khác biệt nào về bảo mật vì điều đó đến từ lớp IPsec mà cả hai đều sử dụng. Chính xác?
Chris Pratt
Chính xác. Giữa tất cả các tùy chọn VPN được cung cấp bởi IPsec đơn giản của nhà cung cấp của bạn là người chiến thắng rõ ràng.
ecdsa
Cisco có rất nhiều hợp kim tiếp thị, nhưng tôi thực sự không thấy đây là một hợp đồng. Tôi đã làm việc khá nhiều với IPSec trên Ciscos và các thiết bị khác; Tôi chưa có ấn tượng về 'Cisco IPSec' được nhắc đến như thể đó là một sản phẩm. Cấu hình IPSec không giống nhau ngay cả giữa các mẫu của Cisco.
belacqua
5
Cisco IPsec chủ yếu được sử dụng trong các sản phẩm của Apple để biểu thị IPsec đơn giản ở chế độ đường hầm (với IKEv1 ở Chế độ chính hoặc Chế độ xâm lược). Hộp thoại VPN trong iOS có logo Cisco lớn nếu IPSec được chọn và trên Mac OS X, nó được gọi rõ ràng là Cisco IPSec , mặc dù cả hai hệ điều hành đều sử dụng Racoon để thực hiện nó.
ecdsa
Trên thực tế, IPsec ở chế độ đường hầm (trái ngược với chế độ vận chuyển) chuyển bất kỳ lưu lượng nào bằng cách gói các gói IP gốc bên trong các gói IP được bảo mật. Các gói IP gốc có thể mang TCP, UDP hoặc bất kỳ giao thức nào khác. Điều này có khiến L2TP không có bất kỳ lợi thế nào không?
Alexey Polonsky
21

L2TP vs PPTP

L2TP / IPSec và PPTP tương tự nhau theo các cách sau:

cung cấp một cơ chế vận chuyển hợp lý để gửi tải trọng PPP; cung cấp đường hầm hoặc đóng gói để tải trọng PPP dựa trên bất kỳ giao thức nào có thể được gửi qua mạng IP; dựa vào quá trình kết nối PPP để thực hiện xác thực người dùng và cấu hình giao thức.

Một số sự thật về PPTP:

  • lợi thế
    • PPTP dễ triển khai
    • PPTP sử dụng TCP, giải pháp đáng tin cậy này cho phép truyền lại các gói bị mất
    • Hỗ trợ PPTP
  • nhược điểm
    • PPTP kém an toàn hơn với MPPE (tối đa 128 bit)
    • mã hóa dữ liệu bắt đầu sau khi quá trình kết nối PPP (và do đó, xác thực PPP) được hoàn thành
    • Kết nối PPTP chỉ yêu cầu xác thực cấp người dùng thông qua giao thức xác thực dựa trên PPP

Một số sự thật về L2TP (trên PPTP):

  • lợi thế
    • Mã hóa dữ liệu L2TP / IPSec bắt đầu trước quá trình kết nối PPP
    • Các kết nối L2TP / IPSec sử dụng AES (tối đa 256 bit) hoặc DESUup cho ba khóa 56 bit)
    • Các kết nối L2TP / IPSec cung cấp xác thực mạnh hơn bằng cách yêu cầu cả xác thực cấp máy tính thông qua chứng chỉ và xác thực cấp người dùng thông qua giao thức xác thực PPP
    • L2TP sử dụng UDP. Nó nhanh hơn, nhưng kém tin cậy hơn, vì nó không truyền lại các gói bị mất, thường được sử dụng trong truyền thông Internet thời gian thực
    • L2TP thân thiện với tường lửa hơn so với PPTP - một lợi thế quan trọng cho giao thức extranet do hầu hết các tường lửa không hỗ trợ GRE
  • bất lợi
    • L2TP yêu cầu cơ sở hạ tầng chứng chỉ để cấp chứng chỉ máy tính

Để tóm tắt:

Không có người chiến thắng rõ ràng, nhưng PPTP cũ hơn, nhẹ hơn, hoạt động trong hầu hết các trường hợp và khách hàng dễ dàng cài đặt sẵn, mang lại lợi thế trong việc thông thường rất dễ triển khai và định cấu hình (không có EAP).

Nhưng đối với hầu hết các quốc gia như UAE, Oman, Pakistan, Yemen, Ả Rập Saudi, Thổ Nhĩ Kỳ, Trung Quốc, Singapore, Lebanon PPTP bị chặn bởi ISP hoặc chính phủ nên họ cần L2TP hoặc SSL VPN

Tham khảo: http://vpnblog.info/pptp-vs-l2tp.html

IPSec VS L2TP / IPSec

Lý do mọi người sử dụng L2TP là do nhu cầu cung cấp cơ chế đăng nhập cho người dùng. IPSec tự nó có nghĩa là bởi một giao thức đường hầm trong kịch bản gateway-to-gateway (vẫn có hai chế độ, chế độ đường hầm & chế độ vận chuyển). Vì vậy, các nhà cung cấp sử dụng L2TP để cho phép mọi người sử dụng sản phẩm của họ trong kịch bản nối mạng khách. Vì vậy, họ chỉ sử dụng L2TP để ghi nhật ký và phần còn lại của phiên sẽ sử dụng IPSec. Bạn phải xem xét hai chế độ khác; khóa chia sẻ trước so với chứng chỉ.

Tham khảo: http://seclists.org/basics/2005/Apr/139

Chế độ đường hầm IPsec

Khi bảo mật Giao thức Internet (IPsec) được sử dụng trong chế độ đường hầm, chính IPsec chỉ cung cấp đóng gói cho lưu lượng IP. Lý do chính để sử dụng chế độ đường hầm IPsec là khả năng tương tác với các bộ định tuyến, cổng hoặc hệ thống đầu cuối khác không hỗ trợ L2TP qua đường hầm VPN IPsec hoặc PPTP. Thông tin về khả năng tương tác được cung cấp tại trang web của Hiệp hội mạng riêng ảo.

Tham khảo: http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668

chmod
nguồn
2
Cảm ơn bạn đã phản hồi chi tiết, nhưng tôi đã hiểu sự khác biệt giữa PPTP và L2TP. Câu hỏi của tôi liên quan đến so sánh / độ tương phản của Cisco IPsec so với L2TP so với IPsec - trừ khi bạn ngụ ý rằng sự khác biệt là Cisco IPsec sử dụng PPTP, nhưng tôi không tin đây là trường hợp tôi đã đọc.
Chris Pratt
1
Xin lỗi tôi đã đọc sai câu hỏi của bạn. Cisco IPSec chỉ là IPSec bình thường, không có gì mới về nó. Vì vậy, câu hỏi của bạn thực sự là IPsec VS L2TP / IPsec. Trả lời đã được chỉnh sửa
chmod
2
Một sửa chữa nhỏ - L2TP không yêu cầu cơ sở hạ tầng chứng chỉ. L2TP / IPSec hỗ trợ xác thực mật khẩu mà không liên quan đến chứng chỉ.
Howard
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.