Ich habe einen VPN-Dienst, der mir die Möglichkeit bietet, eine Verbindung über PPTP, IPsec oder L2TP über IPsec herzustellen. Ich weiß, dass PPTP in Bezug auf Sicherheit und Verschlüsselung unterlegen ist, aber ich bin mir nicht sicher, was der Unterschied zwischen den beiden IPSec-Optionen ist.
Anekdotisch ist mir aufgefallen, dass L2TP über IPsec viel langsamer zu sein scheint als normales IPsec, aber das können einfach die Server, ihre Konfigurationen oder sogar das Gerät an meinem Ende sein.
Gibt es sicherheitstechnische Unterschiede? Ist einer "besser" als der andere oder sind sie nur funktional gleichwertig, aber unterschiedlich implementiert?
Der Begriff Cisco IPsec ist nur ein Marketing-Trick, der im Grunde genommen IPsec bedeutet , das ESP im Tunnelmodus ohne zusätzliche Kapselung verwendet und das Internet Key Exchange- Protokoll (IKE) zum Aufbau des Tunnels verwendet. IKE bietet mehrere Authentifizierungsoptionen. Preshared Keys (PSK) oder X.509-Zertifikate in Kombination mit XAUTH-Benutzerauthentifizierung (Extended Authentication) sind die am häufigsten verwendeten.
Das Layer 2 Tunneling Protocol ( L2TP ) hat seinen Ursprung in PPTP. Da es keine Sicherheitsfunktionen wie Verschlüsselung oder starke Authentifizierung bietet, wird es normalerweise mit IPsec kombiniert. Um zu viel zusätzlichen Overhead zu vermeiden, wird üblicherweise ESP im Transportmodus verwendet. Dies bedeutet, dass zuerst der IPSec-Kanal eingerichtet wird, erneut unter Verwendung von IKE, und dann dieser Kanal zum Herstellen des L2TP-Tunnels verwendet wird. Anschließend wird die IPsec-Verbindung auch zum Transport der L2TP-gekapselten Benutzerdaten verwendet.
Im Vergleich zu einfachem IPsec ist die zusätzliche Kapselung mit L2TP (die ein IP / UDP-Paket und einen L2TP-Header hinzufügt) etwas weniger effizient (was einige Implementierungen auch bei ESP im Tunnelmodus tun).
NAT-Traversal (NAT-T) ist auch bei L2TP / IPsec problematischer, da im Transportmodus häufig ESP verwendet wird.
Ein Vorteil von L2TP gegenüber einfachem IPsec ist, dass es andere Protokolle als IP transportieren kann.
In Bezug auf die Sicherheit sind beide ähnlich, dies hängt jedoch von der Authentifizierungsmethode, dem Authentifizierungsmodus (Haupt- oder aggressiver Modus), der Stärke der Schlüssel, den verwendeten Algorithmen usw. ab.
Wenn ich mich also nur mit IP befasse, wäre IPsec aufgrund des geringeren Overhead effizienter als L2TP / IPsec und wahrscheinlich insgesamt kompatibler. Vorausgesetzt, der VPN-Anbieter hat alles richtig implementiert, gibt es keinen Unterschied in der Sicherheit, da dies von der IPSec-Schicht kommt, die beide verwenden. Richtig?
Chris Pratt
Richtig. Unter allen von Ihrem Provider angebotenen VPN-Optionen ist IPsec der klare Gewinner.
Ecdsa
Cisco hat viele Marketing-Tricks, aber ich sehe das wirklich nicht als einen. Ich habe viel mit IPSec an Ciscos und anderen Geräten gearbeitet. Ich hatte nicht den Eindruck, dass "Cisco IPSec" als Produkt bezeichnet wird. Die IPSec-Konfiguration ist auch bei Cisco-Modellen nicht identisch.
Belacqua
5
Cisco IPsec wird hauptsächlich in Apple-Produkten verwendet, um einfaches IPsec im Tunnelmodus (mit IKEv1 entweder im Hauptmodus oder im aggressiven Modus) zu kennzeichnen. Der VPN-Dialog in iOS weist ein großes Cisco-Logo auf, wenn IPSec ausgewählt ist, und unter Mac OS X heißt er ausdrücklich Cisco IPSec , obwohl beide Betriebssysteme Racoon verwenden , um es tatsächlich zu implementieren.
ecdsa
Tatsächlich überträgt IPsec im Tunnelmodus (im Gegensatz zum Transportmodus) jeglichen Verkehr, indem die ursprünglichen IP-Pakete in gesicherten IP-Paketen eingekapselt werden. Die ursprünglichen IP-Pakete können TCP, UDP oder ein anderes Protokoll enthalten. Hat der L2TP dadurch überhaupt keinen Vorteil?
Alexey Polonsky
21
L2TP vs PPTP
L2TP / IPSec und PPTP sind auf folgende Weise ähnlich:
Bereitstellung eines logischen Transportmechanismus zum Senden von PPP-Nutzdaten; Bereitstellung von Tunneling oder Kapselung, damit PPP-Nutzdaten basierend auf einem beliebigen Protokoll über ein IP-Netzwerk gesendet werden können; Verlassen Sie sich auf den PPP-Verbindungsprozess, um die Benutzerauthentifizierung und die Protokollkonfiguration durchzuführen.
Einige Fakten zu PPTP:
vorteile
PPTP einfach bereitzustellen
PPTP verwendet TCP. Diese zuverlässige Lösung ermöglicht die erneute Übertragung verlorener Pakete
PPTP-Unterstützung
nachteile
PPTP mit MPPE weniger sicher (bis zu 128 Bit)
Die Datenverschlüsselung beginnt, nachdem der PPP-Verbindungsprozess (und damit die PPP-Authentifizierung) abgeschlossen ist
PPTP-Verbindungen erfordern nur eine Authentifizierung auf Benutzerebene über ein PPP-basiertes Authentifizierungsprotokoll
Einige Fakten zu L2TP (über PPTP):
vorteile
Die L2TP / IPSec-Datenverschlüsselung beginnt vor dem PPP-Verbindungsprozess
L2TP / IPSec-Verbindungen verwenden AES (bis zu 256 Bit) oder DESU (bis zu drei 56-Bit-Schlüssel).
L2TP / IPSec-Verbindungen bieten eine stärkere Authentifizierung, da sowohl eine Authentifizierung auf Computerebene über Zertifikate als auch eine Authentifizierung auf Benutzerebene über ein PPP-Authentifizierungsprotokoll erforderlich sind
L2TP verwendet UDP. Es ist eine schnellere, aber weniger zuverlässige Methode, da verlorene Pakete nicht erneut übertragen werden. Sie wird häufig in der Echtzeit-Internetkommunikation verwendet
L2TP ist „Firewall-freundlicher“ als PPTP - ein entscheidender Vorteil für ein Extranet-Protokoll, da die meisten Firewalls GRE nicht unterstützen
Nachteil
Für L2TP ist eine Zertifikatinfrastruktur zum Ausstellen von Computerzertifikaten erforderlich
Zusammenfassen:
Es gibt keinen klaren Sieger, aber PPTP ist älter, leichter, funktioniert in den meisten Fällen und die Clients sind sofort vorinstalliert. Dies bietet den Vorteil, dass es normalerweise sehr einfach bereitzustellen und zu konfigurieren ist (ohne EAP).
Für die meisten Länder wie die Vereinigten Arabischen Emirate, Oman, Pakistan, Jemen, Saudi-Arabien, die Türkei, China, Singapur und den Libanon wird PPTP jedoch vom ISP oder der Regierung blockiert, sodass sie L2TP oder SSL VPN benötigen
Der Grund, warum Benutzer L2TP verwenden, ist die Notwendigkeit, Benutzern einen Anmeldemechanismus bereitzustellen. IPSec an sich ist als Tunnelprotokoll in einem Gateway-zu-Gateway-Szenario zu verstehen (es gibt immer noch zwei Modi, den Tunnelmodus und den Transportmodus). Daher verwenden Anbieter L2TP, um Benutzern die Verwendung ihrer Produkte im Client-zu-Netzwerk-Szenario zu ermöglichen. Daher verwenden sie L2TP nur für die Protokollierung und der Rest der Sitzung würde IPSec verwenden. Sie müssen zwei andere Modi berücksichtigen; Pre-Shared-Keys vs. Zertifikate.
Wenn IPsec (Internet Protocol Security) im Tunnelmodus verwendet wird, stellt IPsec selbst nur die Kapselung für IP-Verkehr bereit. Der Hauptgrund für die Verwendung des IPSec-Tunnelmodus ist die Interoperabilität mit anderen Routern, Gateways oder Endsystemen, die L2TP über IPSec- oder PPTP-VPN-Tunnel nicht unterstützen. Informationen zur Interoperabilität finden Sie auf der Website des Virtual Private Network Consortium.
Vielen Dank für die ausführliche Antwort, aber ich habe den Unterschied zwischen PPTP und L2TP bereits verstanden. Meine Frage bezieht sich auf den Vergleich / Kontrast zwischen Cisco IPsec und L2TP über IPsec - es sei denn, Sie meinen, dass der Unterschied darin besteht, dass Cisco IPsec PPTP verwendet, aber ich glaube nicht, dass dies der Fall ist, was ich gelesen habe.
Chris Pratt
1
Entschuldigung, ich habe Ihre Frage falsch verstanden. Cisco IPSec ist ganz normal, es gibt nichts Neues. Ihre Frage ist also wirklich IPsec VS L2TP / IPsec. Antwort bearbeitet
chmod
2
Eine kleine Korrektur - L2TP nicht erforderlich Zertifikatsinfrastruktur. L2TP / IPSec unterstützt die Kennwortauthentifizierung ohne Einbeziehung von Zertifikaten.
L2TP vs PPTP
L2TP / IPSec und PPTP sind auf folgende Weise ähnlich:
Bereitstellung eines logischen Transportmechanismus zum Senden von PPP-Nutzdaten; Bereitstellung von Tunneling oder Kapselung, damit PPP-Nutzdaten basierend auf einem beliebigen Protokoll über ein IP-Netzwerk gesendet werden können; Verlassen Sie sich auf den PPP-Verbindungsprozess, um die Benutzerauthentifizierung und die Protokollkonfiguration durchzuführen.
Einige Fakten zu PPTP:
Einige Fakten zu L2TP (über PPTP):
Zusammenfassen:
Es gibt keinen klaren Sieger, aber PPTP ist älter, leichter, funktioniert in den meisten Fällen und die Clients sind sofort vorinstalliert. Dies bietet den Vorteil, dass es normalerweise sehr einfach bereitzustellen und zu konfigurieren ist (ohne EAP).
Für die meisten Länder wie die Vereinigten Arabischen Emirate, Oman, Pakistan, Jemen, Saudi-Arabien, die Türkei, China, Singapur und den Libanon wird PPTP jedoch vom ISP oder der Regierung blockiert, sodass sie L2TP oder SSL VPN benötigen
Referenz: http://vpnblog.info/pptp-vs-l2tp.html
IPSec VS L2TP / IPSec
Der Grund, warum Benutzer L2TP verwenden, ist die Notwendigkeit, Benutzern einen Anmeldemechanismus bereitzustellen. IPSec an sich ist als Tunnelprotokoll in einem Gateway-zu-Gateway-Szenario zu verstehen (es gibt immer noch zwei Modi, den Tunnelmodus und den Transportmodus). Daher verwenden Anbieter L2TP, um Benutzern die Verwendung ihrer Produkte im Client-zu-Netzwerk-Szenario zu ermöglichen. Daher verwenden sie L2TP nur für die Protokollierung und der Rest der Sitzung würde IPSec verwenden. Sie müssen zwei andere Modi berücksichtigen; Pre-Shared-Keys vs. Zertifikate.
Referenz: http://seclists.org/basics/2005/Apr/139
IPsec-Tunnelmodus
Wenn IPsec (Internet Protocol Security) im Tunnelmodus verwendet wird, stellt IPsec selbst nur die Kapselung für IP-Verkehr bereit. Der Hauptgrund für die Verwendung des IPSec-Tunnelmodus ist die Interoperabilität mit anderen Routern, Gateways oder Endsystemen, die L2TP über IPSec- oder PPTP-VPN-Tunnel nicht unterstützen. Informationen zur Interoperabilität finden Sie auf der Website des Virtual Private Network Consortium.
Referenz: http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668
quelle