IPsec versus L2TP / IPsec

Eu tenho um serviço VPN que me oferece a opção de conectar via PPTP, IPsec ou L2TP sobre IPsec. O PPTP que conheço é inferior em termos de segurança e criptografia, mas não tenho muita certeza da diferença entre as duas opções de IPsec.

Curiosamente, notei que o L2TP sobre IPsec parece ser muito mais lento que o IPsec comum, mas isso poderia ser simplesmente os servidores, suas configurações ou até o dispositivo do meu lado.

Existe alguma diferença em termos de segurança? Um é "melhor" que o outro, ou eles são apenas funcionalmente equivalentes, mas implementados de maneira diferente?

ipsec l2tp

— Chris Pratt
fonte

Respostas:

Cisco IPsec vs. L2TP (sobre IPsec)

O termo Cisco IPsec é apenas uma manobra de marketing, que basicamente significa IPsec simples usando ESP no modo de encapsulamento sem nenhum encapsulamento adicional e usando o protocolo IKE ( Internet Key Exchange Protocol) para estabelecer o encapsulamento. O IKE fornece várias opções de autenticação, as chaves pré-compartilhadas (PSK) ou os certificados X.509 combinados com a autenticação de usuário de Autenticação Estendida (XAUTH) são as mais comuns.

O Protocolo de encapsulamento da camada 2 ( L2TP ) foi originado no PPTP. Como ele não fornece recursos de segurança, como criptografia ou autenticação forte, normalmente é combinado com o IPsec. Para evitar muita sobrecarga adicional, ESP no modo de transporte é comumente usado. Isso significa que primeiro o canal IPsec é estabelecido, novamente usando IKE, depois esse canal é usado para estabelecer o túnel L2TP. Posteriormente, a conexão IPsec também é usada para transportar os dados do usuário encapsulados em L2TP.

Comparado ao IPsec simples, o encapsulamento adicional com L2TP (que adiciona um pacote IP / UDP e um cabeçalho L2TP) o torna um pouco menos eficiente (mais ainda se ele também for usado com o ESP no modo de encapsulamento, o que algumas implementações fazem).

O percurso NAT (NAT-T) também é mais problemático com o L2TP / IPsec devido ao uso comum do ESP no modo de transporte.

Uma vantagem do L2TP sobre o IPsec simples é que ele pode transportar protocolos diferentes do IP.

Em termos de segurança, ambos são semelhantes, mas depende do método de autenticação, do modo de autenticação (modo principal ou agressivo), da força das chaves, dos algoritmos usados etc.

— ecdsa
fonte

Então, basicamente, se eu me preocupasse apenas com IP, o IPsec seria mais eficiente que o L2TP / IPsec por ter menos sobrecarga e provavelmente seria mais compatível no geral. Supondo que o provedor de VPN tenha implementado tudo corretamente, não há diferença na segurança, pois isso é proveniente da camada IPsec que ambos utilizam. Corrigir?

— Chris Pratt

Corrigir. Entre todas as opções de VPN oferecidas pelo seu provedor, o IPsec simples é o vencedor.

— Ecdsa

A Cisco tem muitas manobras de marketing, mas eu realmente não vejo isso como uma. Eu trabalhei bastante com IPSec em Ciscos e outros equipamentos; Não tive a impressão de que o 'Cisco IPSec' fosse referido como se fosse um produto. A configuração IPSec não é idêntica, mesmo entre os modelos da Cisco.

— Belacqua

O Cisco IPsec é usado principalmente em produtos Apple para indicar IPsec simples no modo de encapsulamento (com IKEv1 no modo principal ou agressivo). A caixa de diálogo VPN no iOS apresenta um grande logotipo da Cisco se IPSec for selecionado e, no Mac OS X, é explicitamente chamado Cisco IPSec , mesmo que os dois sistemas operacionais usem o Racoon para implementá-lo.

— Ecdsa 16/05

Na verdade, o IPsec no modo de encapsulamento (em oposição ao modo de transporte) transfere qualquer tráfego encapsulando os pacotes IP originais dentro de pacotes IP seguros. Os pacotes IP originais podem transportar TCP, UDP ou qualquer outro protocolo. Isso torna o L2TP como não tendo nenhuma vantagem?

— Alexey Polonsky

L2TP vs PPTP

L2TP / IPSec e PPTP são semelhantes das seguintes maneiras:

fornecer um mecanismo de transporte lógico para enviar cargas úteis de PPP; fornecer encapsulamento ou encapsulamento para que as cargas de PPP baseadas em qualquer protocolo possam ser enviadas através de uma rede IP; confie no processo de conexão PPP para executar a autenticação do usuário e a configuração do protocolo.

Alguns fatos sobre o PPTP:

vantagens
- PPTP fácil de implantar
- PPTP usa TCP, esta solução confiável permite retransmitir pacotes perdidos
- Suporte PPTP
desvantagens
- PPTP menos seguro com MPPE (até 128 bits)
- a criptografia de dados começa depois que o processo de conexão PPP (e, portanto, a autenticação PPP) é concluído
- As conexões PPTP requerem apenas autenticação no nível do usuário através de um protocolo de autenticação baseado em PPP

Alguns fatos sobre o L2TP (sobre PPTP):

vantagens
- A criptografia de dados L2TP / IPSec começa antes do processo de conexão PPP
- As conexões L2TP / IPSec usam o AES (até 256 bits) ou o DESU até três chaves de 56 bits)
- As conexões L2TP / IPSec fornecem autenticação mais forte, exigindo autenticação no nível do computador através de certificados e autenticação no nível do usuário através de um protocolo de autenticação PPP
- L2TP usa UDP. É mais rápido, mas menos confiável, porque não retransmite pacotes perdidos, é comumente usado em comunicações da Internet em tempo real
- O L2TP é mais "amigável ao firewall" que o PPTP - uma vantagem crucial para um protocolo de extranet, pois a maioria dos firewalls não suporta GRE
desvantagem
- O L2TP requer infraestrutura de certificado para emitir certificados de computador

Para resumir:

Não há um vencedor claro, mas o PPTP é mais antigo, mais leve, funciona na maioria dos casos e os clientes são prontamente pré-instalados, dando uma vantagem em normalmente ser muito fácil de implantar e configurar (sem EAP).

Mas para a maioria dos países como Emirados Árabes Unidos, Omã, Paquistão, Iêmen, Arábia Saudita, Turquia, China, Cingapura e Líbano PPTP bloqueado pelo ISP ou pelo governo, por isso eles precisam de VPN L2TP ou SSL

Referência: http://vpnblog.info/pptp-vs-l2tp.html

IPSec VS L2TP / IPSec

O motivo pelo qual as pessoas usam o L2TP é devido à necessidade de fornecer mecanismo de login aos usuários. O IPSec por si só é designado por um protocolo de encapsulamento em um cenário de gateway para gateway (ainda existem dois modos, modo de encapsulamento e modo de transporte). Portanto, os fornecedores usam o L2TP para permitir que as pessoas usem seus produtos no cenário de cliente para rede. Portanto, eles usam o L2TP apenas para o log e o restante da sessão usaria o IPSec. Você precisa levar em consideração dois outros modos; chaves pré-compartilhadas x certificados.

Referência: http://seclists.org/basics/2005/Apr/139

Modo de encapsulamento IPsec

Quando a segurança do protocolo Internet (IPsec) é usada no modo de encapsulamento, o próprio IPsec fornece encapsulamento apenas para tráfego IP. O principal motivo para usar o modo de encapsulamento IPsec é a interoperabilidade com outros roteadores, gateways ou sistemas finais que não suportam L2TP sobre encapsulamento VPN IPsec ou PPTP VPN. Informações de interoperabilidade são fornecidas no site do Virtual Private Network Consortium.

Referência: http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668

— chmod
fonte

Obrigado pela resposta detalhada, mas eu já entendi a diferença entre PPTP e L2TP. Minha pergunta envolve a comparação / contraste do Cisco IPsec versus L2TP sobre IPsec - a menos que você esteja sugerindo que a diferença é que o Cisco IPsec usa PPTP, mas não acredito que esse seja o caso do que li.

— Chris Pratt

Desculpe por ter interpretado mal sua pergunta. O Cisco IPSec é simplesmente IPSec normal, não há nada de novo nisso. Portanto, sua pergunta é realmente IPsec VS L2TP / IPsec. Resposta editada

— chmod

Uma pequena correção - o L2TP não requer infraestrutura de certificado. L2TP / IPSec suporta autenticação de senha sem envolver certificados.

— Howard