IPsec versus L2TP / IPsec

47

Saya memiliki layanan VPN yang memberi saya pilihan untuk terhubung melalui PPTP, IPsec, atau L2TP melalui IPsec. PPTP yang saya tahu lebih rendah dalam hal keamanan dan enkripsi, tapi saya tidak begitu yakin apa perbedaan antara dua opsi IPsec.

Secara anekdot, saya perhatikan bahwa L2TP over IPsec tampaknya jauh lebih lambat daripada IPsec biasa, tetapi itu bisa jadi hanya server, konfigurasi mereka, atau bahkan perangkat di ujung saya.

Apakah ada perbedaan dalam hal keamanan? Apakah yang satu "lebih baik" dari yang lain, atau mereka hanya secara fungsional setara tetapi diimplementasikan secara berbeda?

ipsec  l2tp 
Chris Pratt
sumber

Jawaban:

42

Cisco IPsec vs. L2TP (over IPsec)

Istilah Cisco IPsec hanyalah taktik pemasaran yang pada dasarnya berarti IPsec sederhana menggunakan ESP dalam mode terowongan tanpa enkapsulasi tambahan, dan menggunakan protokol Internet Key Exchange (IKE) untuk membangun terowongan. IKE menyediakan beberapa opsi otentikasi, kunci preshared (PSK) atau sertifikat X.509 yang dikombinasikan dengan otentikasi pengguna yang diperluas (XAUTH) adalah yang paling umum.

The Layer 2 Tunneling Protocol ( L2TP ) adalah memiliki asal-usul di PPTP. Karena tidak menyediakan fitur keamanan seperti enkripsi atau otentikasi yang kuat, biasanya dikombinasikan dengan IPsec. Untuk menghindari terlalu banyak tambahan overhead ESP dalam moda transportasi umum digunakan. Ini berarti pertama saluran IPsec didirikan, lagi-lagi menggunakan IKE, maka saluran ini digunakan untuk membangun terowongan L2TP. Setelah itu, koneksi IPsec juga digunakan untuk mentransport data pengguna yang dienkapsulasi L2TP.

Dibandingkan dengan IPsec biasa enkapsulasi tambahan dengan L2TP (yang menambahkan paket IP / UDP dan header L2TP) membuatnya sedikit kurang efisien (lebih jika itu juga digunakan dengan ESP dalam mode tunnel, yang dilakukan beberapa implementasi).

NAT traversal (NAT-T) juga lebih bermasalah dengan L2TP / IPsec karena penggunaan umum ESP dalam mode transportasi.

Satu keuntungan yang dimiliki L2TP dibandingkan IPsec adalah ia dapat mengirim protokol selain IP.

Baik dari segi keamanan sama tetapi tergantung pada metode otentikasi, mode otentikasi (Mode Utama atau Agresif), kekuatan kunci, algoritma yang digunakan dll.

ecdsa
sumber
2
Jadi pada dasarnya, jika saya hanya peduli dengan IP, IPsec akan lebih efisien daripada L2TP / IPsec berdasarkan memiliki lebih sedikit overhead dan kemungkinan akan lebih kompatibel secara keseluruhan. Dengan asumsi penyedia VPN telah menerapkan semuanya dengan benar, tidak ada perbedaan dalam keamanan karena itu berasal dari lapisan IPsec yang keduanya gunakan. Benar?
Chris Pratt
Benar. Di antara semua opsi VPN yang ditawarkan oleh penyedia Anda, IPsec polos adalah pemenangnya.
ecdsa
Cisco memiliki banyak cara pemasaran, tetapi saya benar-benar tidak melihat ini sebagai satu. Saya telah bekerja sedikit dengan IPSec di Ciscos dan peralatan lainnya; Saya belum memiliki kesan 'Cisco IPSec' disebut seolah-olah itu adalah produk. Konfigurasi IPSec tidak identik bahkan di antara model-model Cisco.
belacqua
5
Cisco IPsec terutama digunakan dalam produk Apple untuk menunjukkan IPsec polos dalam mode tunnel (dengan IKEv1 baik dalam Mode Utama atau Aggressive). Dialog VPN di iOS menampilkan logo Cisco besar jika IPSec dipilih dan pada Mac OS X secara eksplisit disebut Cisco IPSec , meskipun kedua sistem operasi menggunakan Racoon untuk benar-benar mengimplementasikannya.
ecdsa
Sebenarnya, IPsec dalam mode tunnel (sebagai lawan mode transport) mentransfer lalu lintas apa pun dengan merangkum paket IP asli di dalam paket IP aman. Paket IP asli dapat membawa TCP, UDP atau protokol apa pun lainnya. Apakah ini membuat L2TP tidak memiliki keuntungan sama sekali?
Alexey Polonsky
21

L2TP vs PPTP

L2TP / IPSec dan PPTP serupa dengan cara berikut:

menyediakan mekanisme transportasi logis untuk mengirim muatan PPP; menyediakan tunneling atau enkapsulasi sehingga muatan PPP berdasarkan protokol apa pun dapat dikirim melalui jaringan IP; mengandalkan proses koneksi PPP untuk melakukan otentikasi pengguna dan konfigurasi protokol.

Beberapa fakta tentang PPTP:

  • keuntungan
    • PPTP mudah digunakan
    • PPTP menggunakan TCP, solusi andal ini memungkinkan untuk mentransmisikan kembali paket yang hilang
    • Dukungan PPTP
  • kerugian
    • PPTP kurang aman dengan MPPE (hingga 128 bit)
    • enkripsi data dimulai setelah proses koneksi PPP (dan, karenanya, otentikasi PPP) selesai
    • Koneksi PPTP hanya memerlukan otentikasi tingkat pengguna melalui protokol otentikasi berbasis PPP

Beberapa fakta tentang L2TP (lebih dari PPTP):

  • keuntungan
    • Enkripsi data L2TP / IPSec dimulai sebelum proses koneksi PPP
    • Koneksi L2TP / IPSec menggunakan AES (hingga 256bit) atau DESUup hingga tiga tombol 56-bit)
    • Koneksi L2TP / IPSec memberikan otentikasi yang lebih kuat dengan mewajibkan otentikasi tingkat komputer melalui sertifikat dan otentikasi tingkat pengguna melalui protokol otentikasi PPP
    • L2TP menggunakan UDP. Ini lebih cepat, tetapi kurang dapat diandalkan, karena tidak mentransmisikan kembali paket yang hilang, umumnya digunakan dalam komunikasi Internet real-time
    • L2TP lebih "ramah firewall" dari pada PPTP - keuntungan penting untuk protokol ekstranet karena sebagian besar firewall tidak mendukung GRE
  • kerugian
    • L2TP memerlukan infrastruktur sertifikat untuk menerbitkan sertifikat komputer

Untuk meringkas:

Tidak ada pemenang yang jelas, tetapi PPTP lebih tua, lebih ringan, berfungsi dalam banyak kasus dan klien siap dipasang sebelumnya, memberikan keuntungan karena biasanya sangat mudah untuk digunakan dan dikonfigurasikan (tanpa EAP).

Tetapi untuk sebagian besar negara seperti UEA, Oman, Pakistan, Yaman, Arab Saudi, Turki, Cina, Singapura, Lebanon, PPTP diblokir oleh ISP atau pemerintah sehingga mereka membutuhkan L2TP atau SSL VPN

Referensi: http://vpnblog.info/pptp-vs-l2tp.html

IPSec VS L2TP / IPSec

Alasan orang menggunakan L2TP adalah karena kebutuhan untuk menyediakan mekanisme masuk ke pengguna. IPSec dengan sendirinya dimaksudkan oleh protokol tunneling dalam skenario gateway-to-gateway (masih ada dua mode, mode terowongan & mode transportasi). Jadi vendor menggunakan L2TP untuk memungkinkan orang menggunakan produk mereka dalam skenario klien-ke-jaringan. Jadi, mereka menggunakan L2TP hanya untuk logging dan sisa sesi akan menggunakan IPSec. Anda harus mempertimbangkan dua mode lainnya; kunci yang dibagikan sebelumnya vs. sertifikat.

Referensi: http://seclists.org/basics/2005/Apr/139

Mode terowongan IPsec

Ketika keamanan Protokol Internet (IPsec) digunakan dalam mode tunnel, IPsec sendiri menyediakan enkapsulasi untuk lalu lintas IP saja. Alasan utama untuk menggunakan mode terowongan IPsec adalah interoperabilitas dengan router lain, gateway, atau sistem akhir yang tidak mendukung L2TP melalui IPsec atau tunneling PPTP VPN. Informasi interoperabilitas disediakan di situs Web Konsorsium Jaringan Pribadi Virtual.

Referensi: http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668

chmod
sumber
2
Terima kasih atas tanggapan terinci, tetapi saya sudah mengerti perbedaan antara PPTP dan L2TP. Pertanyaan saya melibatkan perbandingan / kontras dari Cisco IPsec versus L2TP lebih dari IPsec - kecuali Anda menyiratkan perbedaannya adalah bahwa Cisco IPsec menggunakan PPTP, tapi saya tidak percaya ini adalah kasus dari apa yang saya baca.
Chris Pratt
1
Maaf saya salah membaca pertanyaan Anda. Cisco IPSec hanyalah IPSec biasa, tidak ada yang baru tentangnya. Jadi pertanyaan Anda benar-benar IPsec VS L2TP / IPsec. Jawaban diedit
chmod
2
Koreksi kecil - L2TP tidak memerlukan infrastruktur sertifikat. L2TP / IPSec mendukung otentikasi kata sandi tanpa melibatkan sertifikat.
Howard
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.