IPsec versus L2TP / IPsec

41

Eu tenho um serviço de VPN que me dá a opção de se conectar via PPTP, IPsec ou L2TP por IPsec. O PPTP que eu conheço é inferior em termos de segurança e criptografia, mas não tenho certeza qual é a diferença entre as duas opções do IPsec.

Anedotamente, notei que o L2TP sobre IPsec parece ser muito mais lento do que o IPsec simples, mas isso pode ser simplesmente os servidores, suas configurações ou até mesmo o dispositivo do meu lado.

Existe alguma diferença em termos de segurança? Um é "melhor" que o outro, ou eles são apenas funcionalmente equivalentes, mas implementados de maneira diferente?

    
por Chris Pratt 14.01.2012 / 06:08

2 respostas

37

Cisco IPsec vs. L2TP (por IPsec)

O termo Cisco IPsec é apenas um truque de marketing que basicamente significa simples IPsec usando ESP no modo de encapsulamento sem qualquer encapsulamento adicional e usando o Protocolo de Intercâmbio de Chaves na Internet (IKE) para estabelecer o túnel. O IKE fornece várias opções de autenticação, as chaves pré-compartilhadas (PSK) ou os certificados X.509 combinados com a autenticação de usuário da Autenticação Estendida (XAUTH) são os mais comuns.

O Protocolo de encapsulamento da camada 2 ( L2TP ) era tem suas origens no PPTP. Como ele não fornece recursos de segurança, como criptografia ou autenticação strong, ele geralmente é combinado com o IPsec. Para evitar o excesso de ESP adicional no modo de transporte é comumente usado. Isso significa que primeiro o canal IPsec é estabelecido, novamente usando o IKE, então este canal é usado para estabelecer o túnel L2TP. Posteriormente, a conexão IPsec também é usada para transportar os dados do usuário encapsulados em L2TP.

Comparado ao IPsec simples, o encapsulamento adicional com L2TP (que adiciona um pacote IP / UDP e um cabeçalho L2TP) torna-o um pouco menos eficiente (mais ainda se for usado com ESP no modo de túnel, o que algumas implementações fazem).

O NAT traversal (NAT-T) também é mais problemático com o L2TP / IPsec devido ao uso comum do ESP no modo de transporte.

Uma vantagem do L2TP sobre o IPsec é que ele pode transportar protocolos diferentes do IP.

No que diz respeito à segurança, ambos são semelhantes, mas isso depende do método de autenticação, do modo de autenticação (modo principal ou agressivo), da intensidade das chaves, dos algoritmos usados, etc.

    
por 15.01.2012 / 13:21
18

L2TP vs PPTP

L2TP / IPSec e PPTP são semelhantes das seguintes formas:

fornece um mecanismo de transporte lógico para enviar cargas úteis de PPP; fornecer tunelamento ou encapsulamento para que as cargas PPP baseadas em qualquer protocolo possam ser enviadas através de uma rede IP; depende do processo de conexão PPP para executar a autenticação do usuário e a configuração do protocolo.

Alguns fatos sobre o PPTP:

  • vantagens
    • PPTP fácil de implantar
    • PPTP usa TCP, esta solução confiável permite retransmitir pacotes perdidos
    • suporte PPTP
  • desvantagens
    • PPTP menos seguro com MPPE (até 128 bits)
    • a criptografia de dados é iniciada após o processo de conexão PPP (e, portanto, a autenticação PPP) ser concluído
    • As conexões PPTP exigem apenas autenticação no nível do usuário por meio de um protocolo de autenticação baseado em PPP

Alguns fatos sobre L2TP (sobre PPTP):

  • vantagens
    • A criptografia de dados L2TP / IPSec começa antes do processo de conexão PPP
    • As conexões L2TP / IPSec usam o AES (até 256 bits) ou o DESUup para três chaves de 56 bits)
    • As conexões L2TP / IPSec fornecem uma autenticação mais strong, exigindo autenticação em nível de computador por meio de certificados e autenticação no nível do usuário por meio de um protocolo de autenticação PPP
    • O L2TP usa o UDP. É mais rápido, mas menos confiável, porque não retransmite pacotes perdidos, é comumente usado em comunicações de Internet em tempo real
    • L2TP mais “amigável ao firewall” que o PPTP - uma vantagem crucial para um protocolo de extranet devido à maioria dos firewalls não oferece suporte a GRE
  • desvantagem
    • O L2TP exige infraestrutura de certificado para emitir certificados de computador

Para resumir:

Não há um vencedor claro, mas o PPTP é mais antigo, mais leve, funciona na maioria dos casos e os clientes são prontamente pré-instalados, oferecendo uma vantagem em normalmente ser muito fácil de implantar e configurar (sem EAP).

Mas para a maioria dos países como Emirados Árabes Unidos, Omã, Paquistão, Iêmen, Arábia Saudita, Turquia, China, Cingapura, Líbano PPTP bloqueados pelo ISP ou pelo governo, precisam de L2TP ou SSL VPN

Referência: link

IPSec VS L2TP / IPSec

A razão pela qual as pessoas usam o L2TP é devido à necessidade de fornecer mecanismo de login aos usuários. IPSec por si só é feito por um protocolo de encapsulamento em um cenário gateway-a-gateway (ainda existem dois modos, modo de túnel & Modo de transporte). Então, os fornecedores usam L2TP para permitir que as pessoas usem seus produtos no cenário de cliente para rede. Então, eles usam L2TP apenas para log e o resto da sessão estaria usando o IPSec. Voce tem que leve em consideração dois outros modos; chaves pré-compartilhadas versus certificados.

Referência: link

Modo de túnel IPsec

Quando o IPsec (Internet Protocol security) é usado no modo de encapsulamento, o próprio IPsec fornece encapsulamento somente para o tráfego IP. A principal razão para o uso do modo de túnel IPsec é a interoperabilidade com outros roteadores, gateways ou sistemas finais que não suportam L2TP sobre IPsec ou tunelamento VPN PPTP. Informações de interoperabilidade são fornecidas no site Virtual Private Network Consortium.

Referência: link

    
por 14.01.2012 / 08:16

Tags