我有一个 VPN 服务,它允许我选择通过 PPTP、IPsec 或 L2TP over IPsec 进行连接。我知道 PPTP 在安全性和加密方面较差,但我不太清楚这两个 IPsec 选项之间有什么区别。
有趣的是,我注意到 IPsec 上的 L2TP 似乎比普通 IPsec 慢得多,但这可能只是服务器、它们的配置,甚至是我这边的设备的问题。
安全方面有什么区别吗?其中一个比另一个“更好”,还是它们只是功能相同但实现方式不同?
答案1
Cisco IPsec 与 L2TP (基于 IPsec)
期限思科 IPsec只是一种营销策略,基本上意味着IPsec使用ESP在隧道模式下无需任何额外的封装,并使用互联网密钥交换 协议 (IKE) 来建立隧道。IKE 提供了几种身份验证选项,预共享密钥 (PSK) 或 X.509 证书与扩展身份验证 (XAUTH) 用户身份验证相结合是最常见的。
这第 2 层隧道协议(L2TP)起源于 PPTP。由于它不提供加密或强身份验证等安全功能,因此通常与 IPsec 结合使用。为了避免过多的额外开销,ESP运输方式是常用的。这意味着首先建立 IPsec 通道,同样使用 IKE,然后使用此通道建立 L2TP 隧道。之后,IPsec 连接还用于传输 L2TP 封装的用户数据。
与普通的 IPsec 相比,使用 L2TP 的额外封装(添加了 IP/UDP 数据包和 L2TP 标头)会使其效率稍低(如果它也在隧道模式下与 ESP 一起使用,则效率会更低,有些实现就是这样的)。
由于在传输模式下通常使用 ESP,因此 NAT 穿越 (NAT-T) 对于 L2TP/IPsec 来说也更加成问题。
L2TP 相对于普通 IPsec 的一个优势是它可以传输除 IP 之外的其他协议。
从安全性方面来看,两者相似,但取决于身份验证方法、身份验证模式(主模式或积极模式)、密钥的强度、所使用的算法等。
答案2
L2TP 与 PPTP
L2TP/IPSec 与 PPTP 有以下相似之处:
提供逻辑传输机制来发送 PPP 有效负载;提供隧道或封装,以便基于任何协议的 PPP 有效负载都可以通过 IP 网络发送;依靠 PPP 连接过程来执行用户身份验证和协议配置。
关于PPTP的一些事实:
- 优点
- PPTP 易于部署
- PPTP 使用 TCP,这种可靠的解决方案允许重新传输丢失的数据包
- PPTP 支持
- 缺点
- PPTP 使用 MPPE 安全性较低(最高 128 位)
- 数据加密在 PPP 连接过程(以及 PPP 身份验证)完成后开始
- PPTP 连接仅需要通过基于 PPP 的身份验证协议进行用户级身份验证
关于 L2TP (通过 PPTP) 的一些事实:
- 优点
- L2TP/IPSec 数据加密在 PPP 连接过程之前开始
- L2TP/IPSec 连接使用 AES(最高 256 位)或 DESU(最高三个 56 位密钥)
- L2TP/IPSec 连接要求通过证书进行计算机级身份验证,并通过 PPP 身份验证协议进行用户级身份验证,从而提供更强大的身份验证
- L2TP 使用 UDP。它速度更快,但可靠性较差,因为它不会重新传输丢失的数据包,常用于实时互联网通信
- L2TP 比 PPTP 更“防火墙友好”——这对于外联网协议来说是一个关键优势,因为大多数防火墙不支持 GRE
- 坏处
- L2TP 需要证书基础设施来颁发计算机证书
总结一下:
没有明显的赢家,但 PPTP 更老,更轻量,在大多数情况下都能工作,并且客户端可以很容易地预先安装,这使其具有通常非常容易部署和配置(无需 EAP)的优势。
但对于阿联酋、阿曼、巴基斯坦、也门、沙特阿拉伯、土耳其、中国、新加坡、黎巴嫩等大多数国家来说,PPTP 被 ISP 或政府封锁,因此他们需要 L2TP 或 SSL VPN
参考 :http://vpnblog.info/pptp-vs-l2tp.html
IPSec 与 L2TP/IPSec
人们使用 L2TP 的原因是需要为用户提供登录机制。IPSec 本身是一种网关到网关场景中的隧道协议(仍然有两种模式,隧道模式和传输模式)。因此,供应商使用 L2TP 允许人们在客户端到网络场景中使用他们的产品。因此,他们仅将 L2TP 用于日志记录,其余会话将使用 IPSec。您必须考虑另外两种模式:预共享密钥与证书。
参考 :http://seclists.org/basics/2005/Apr/139
IPsec 隧道模式
当 Internet 协议安全 (IPsec) 在隧道模式下使用时,IPsec 本身仅为 IP 流量提供封装。使用 IPsec 隧道模式的主要原因是与不支持 L2TP over IPsec 或 PPTP VPN 隧道的其他路由器、网关或终端系统进行互操作。虚拟专用网络联盟网站上提供了互操作性信息。
参考 :http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668