IPsec versus L2TP / IPsec

Ich habe einen VPN-Dienst, der mir die Möglichkeit bietet, eine Verbindung über PPTP, IPsec oder L2TP über IPsec herzustellen. Ich weiß, dass PPTP in Bezug auf Sicherheit und Verschlüsselung unterlegen ist, aber ich bin mir nicht sicher, was der Unterschied zwischen den beiden IPSec-Optionen ist.

Anekdotisch ist mir aufgefallen, dass L2TP über IPsec viel langsamer zu sein scheint als normales IPsec, aber das können einfach die Server, ihre Konfigurationen oder sogar das Gerät an meinem Ende sein.

Gibt es sicherheitstechnische Unterschiede? Ist einer "besser" als der andere oder sind sie nur funktional gleichwertig, aber unterschiedlich implementiert?

Cisco IPsec vs. L2TP (über IPsec)

Der Begriff Cisco IPsec ist nur ein Marketing-Trick, der im Grunde genommen IPsec bedeutet , das ESP im Tunnelmodus ohne zusätzliche Kapselung verwendet und das Internet Key Exchange- Protokoll (IKE) zum Aufbau des Tunnels verwendet. IKE bietet mehrere Authentifizierungsoptionen. Preshared Keys (PSK) oder X.509-Zertifikate in Kombination mit XAUTH-Benutzerauthentifizierung (Extended Authentication) sind die am häufigsten verwendeten.

Das Layer 2 Tunneling Protocol ( L2TP ) hat seinen Ursprung in PPTP. Da es keine Sicherheitsfunktionen wie Verschlüsselung oder starke Authentifizierung bietet, wird es normalerweise mit IPsec kombiniert. Um zu viel zusätzlichen Overhead zu vermeiden, wird üblicherweise ESP im Transportmodus verwendet. Dies bedeutet, dass zuerst der IPSec-Kanal eingerichtet wird, erneut unter Verwendung von IKE, und dann dieser Kanal zum Herstellen des L2TP-Tunnels verwendet wird. Anschließend wird die IPsec-Verbindung auch zum Transport der L2TP-gekapselten Benutzerdaten verwendet.

Im Vergleich zu einfachem IPsec ist die zusätzliche Kapselung mit L2TP (die ein IP / UDP-Paket und einen L2TP-Header hinzufügt) etwas weniger effizient (was einige Implementierungen auch bei ESP im Tunnelmodus tun).

NAT-Traversal (NAT-T) ist auch bei L2TP / IPsec problematischer, da im Transportmodus häufig ESP verwendet wird.

Ein Vorteil von L2TP gegenüber einfachem IPsec ist, dass es andere Protokolle als IP transportieren kann.

In Bezug auf die Sicherheit sind beide ähnlich, dies hängt jedoch von der Authentifizierungsmethode, dem Authentifizierungsmodus (Haupt- oder aggressiver Modus), der Stärke der Schlüssel, den verwendeten Algorithmen usw. ab.

L2TP vs PPTP

L2TP / IPSec und PPTP sind auf folgende Weise ähnlich:

Bereitstellung eines logischen Transportmechanismus zum Senden von PPP-Nutzdaten; Bereitstellung von Tunneling oder Kapselung, damit PPP-Nutzdaten basierend auf einem beliebigen Protokoll über ein IP-Netzwerk gesendet werden können; Verlassen Sie sich auf den PPP-Verbindungsprozess, um die Benutzerauthentifizierung und die Protokollkonfiguration durchzuführen.

Einige Fakten zu PPTP:

• vorteile
  • PPTP einfach bereitzustellen
  • PPTP verwendet TCP. Diese zuverlässige Lösung ermöglicht die erneute Übertragung verlorener Pakete
  • PPTP-Unterstützung
• nachteile
  • PPTP mit MPPE weniger sicher (bis zu 128 Bit)
  • Die Datenverschlüsselung beginnt, nachdem der PPP-Verbindungsprozess (und damit die PPP-Authentifizierung) abgeschlossen ist
  • PPTP-Verbindungen erfordern nur eine Authentifizierung auf Benutzerebene über ein PPP-basiertes Authentifizierungsprotokoll

Einige Fakten zu L2TP (über PPTP):

• vorteile
  • Die L2TP / IPSec-Datenverschlüsselung beginnt vor dem PPP-Verbindungsprozess
  • L2TP / IPSec-Verbindungen verwenden AES (bis zu 256 Bit) oder DESU (bis zu drei 56-Bit-Schlüssel).
  • L2TP / IPSec-Verbindungen bieten eine stärkere Authentifizierung, da sowohl eine Authentifizierung auf Computerebene über Zertifikate als auch eine Authentifizierung auf Benutzerebene über ein PPP-Authentifizierungsprotokoll erforderlich sind
  • L2TP verwendet UDP. Es ist eine schnellere, aber weniger zuverlässige Methode, da verlorene Pakete nicht erneut übertragen werden. Sie wird häufig in der Echtzeit-Internetkommunikation verwendet
  • L2TP ist „Firewall-freundlicher“ als PPTP - ein entscheidender Vorteil für ein Extranet-Protokoll, da die meisten Firewalls GRE nicht unterstützen
• Nachteil
  • Für L2TP ist eine Zertifikatinfrastruktur zum Ausstellen von Computerzertifikaten erforderlich

Zusammenfassen:

Es gibt keinen klaren Sieger, aber PPTP ist älter, leichter, funktioniert in den meisten Fällen und die Clients sind sofort vorinstalliert. Dies bietet den Vorteil, dass es normalerweise sehr einfach bereitzustellen und zu konfigurieren ist (ohne EAP).

Für die meisten Länder wie die Vereinigten Arabischen Emirate, Oman, Pakistan, Jemen, Saudi-Arabien, die Türkei, China, Singapur und den Libanon wird PPTP jedoch vom ISP oder der Regierung blockiert, sodass sie L2TP oder SSL VPN benötigen

Referenz: http://vpnblog.info/pptp-vs-l2tp.html

IPSec VS L2TP / IPSec

Der Grund, warum Benutzer L2TP verwenden, ist die Notwendigkeit, Benutzern einen Anmeldemechanismus bereitzustellen. IPSec an sich ist als Tunnelprotokoll in einem Gateway-zu-Gateway-Szenario zu verstehen (es gibt immer noch zwei Modi, den Tunnelmodus und den Transportmodus). Daher verwenden Anbieter L2TP, um Benutzern die Verwendung ihrer Produkte im Client-zu-Netzwerk-Szenario zu ermöglichen. Daher verwenden sie L2TP nur für die Protokollierung und der Rest der Sitzung würde IPSec verwenden. Sie müssen zwei andere Modi berücksichtigen; Pre-Shared-Keys vs. Zertifikate.

Referenz: http://seclists.org/basics/2005/Apr/139

IPsec-Tunnelmodus

Wenn IPsec (Internet Protocol Security) im Tunnelmodus verwendet wird, stellt IPsec selbst nur die Kapselung für IP-Verkehr bereit. Der Hauptgrund für die Verwendung des IPSec-Tunnelmodus ist die Interoperabilität mit anderen Routern, Gateways oder Endsystemen, die L2TP über IPSec- oder PPTP-VPN-Tunnel nicht unterstützen. Informationen zur Interoperabilität finden Sie auf der Website des Virtual Private Network Consortium.

Referenz: http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668