IPsec versus L2TP / IPsec

47

Tengo un servicio VPN que me da la opción de conectarme a través de PPTP, IPsec o L2TP a través de IPsec. Sé que PPTP es inferior en términos de seguridad y encriptación, pero no estoy seguro de cuál es la diferencia entre las dos opciones de IPsec.

Como anécdota, he notado que L2TP sobre IPsec parece ser mucho más lento que IPsec simple, pero eso podría ser simplemente los servidores, sus configuraciones o incluso el dispositivo de mi lado.

¿Hay alguna diferencia en cuanto a seguridad? ¿Es uno "mejor" que el otro, o son simplemente funcionalmente equivalentes pero implementados de manera diferente?

Chris Pratt
fuente

Respuestas:

42

Cisco IPsec vs. L2TP (sobre IPsec)

El término Cisco IPsec es solo una estratagema de marketing que básicamente significa IPsec simple usando ESP en modo túnel sin ninguna encapsulación adicional, y usando el protocolo de intercambio de claves de Internet (IKE) para establecer el túnel. IKE proporciona varias opciones de autenticación, las claves previamente compartidas (PSK) o los certificados X.509 combinados con la autenticación de usuario de autenticación extendida (XAUTH) son los más comunes.

El protocolo de túnel de capa 2 ( L2TP ) se originó en PPTP. Como no proporciona características de seguridad como el cifrado o la autenticación segura, generalmente se combina con IPsec. Para evitar demasiada sobrecarga adicional , se utiliza comúnmente ESP en modo de transporte . Esto significa que primero se establece el canal IPsec, nuevamente usando IKE, luego este canal se usa para establecer el túnel L2TP. Posteriormente, la conexión IPsec también se utiliza para transportar los datos de usuario encapsulados L2TP.

En comparación con IPsec simple, la encapsulación adicional con L2TP (que agrega un paquete IP / UDP y un encabezado L2TP) lo hace un poco menos eficiente (más aún si también se usa con ESP en modo túnel, lo que hacen algunas implementaciones).

El recorrido NAT (NAT-T) también es más problemático con L2TP / IPsec debido al uso común de ESP en modo de transporte.

Una ventaja que L2TP tiene sobre IPsec es que puede transportar protocolos distintos de IP.

En cuanto a la seguridad, ambos son similares, pero depende del método de autenticación, el modo de autenticación (modo principal o agresivo), la fuerza de las teclas, los algoritmos utilizados, etc.

ecdsa
fuente
2
Básicamente, si solo me preocupa la IP, IPsec sería más eficiente que L2TP / IPsec en virtud de tener menos sobrecarga y probablemente sería más compatible en general. Suponiendo que el proveedor de VPN ha implementado todo correctamente, no hay diferencia en la seguridad, ya que proviene de la capa IPsec que ambos utilizan. ¿Correcto?
Chris Pratt
Correcto. Entre todas las opciones de VPN ofrecidas por su proveedor, IPsec es el claro ganador.
ecdsa
Cisco tiene muchas tácticas de marketing, pero realmente no veo esto como uno. He trabajado bastante con IPSec en Ciscos y otros equipos; No he tenido la impresión de que se haga referencia a 'Cisco IPSec' como si fuera un producto. La configuración de IPSec no es idéntica incluso entre los modelos de Cisco.
belacqua
55
Cisco IPsec se usa principalmente en productos Apple para denotar IPsec simple en modo túnel (con IKEv1 en modo principal o agresivo). El diálogo VPN en iOS presenta un gran logotipo de Cisco si se selecciona IPSec y en Mac OS X se llama explícitamente Cisco IPSec , a pesar de que ambos sistemas operativos usan Racoon para implementarlo.
ecdsa
En realidad, IPsec en modo túnel (en oposición al modo de transporte) transfiere cualquier tráfico encapsulando los paquetes IP originales dentro de paquetes IP seguros. Los paquetes IP originales pueden transportar TCP, UDP o cualquier otro protocolo. ¿Esto hace que el L2TP no tenga ninguna ventaja?
Alexey Polonsky
21

L2TP vs PPTP

L2TP / IPSec y PPTP son similares de las siguientes maneras:

proporcionar un mecanismo de transporte lógico para enviar cargas de PPP; proporcionar túnel o encapsulación para que las cargas de PPP basadas en cualquier protocolo puedan enviarse a través de una red IP; confíe en el proceso de conexión PPP para realizar la autenticación del usuario y la configuración del protocolo.

Algunos hechos sobre PPTP:

  • ventajas
    • PPTP fácil de implementar
    • PPTP usa TCP, esta solución confiable permite retransmitir paquetes perdidos
    • Soporte PPTP
  • desventajas
    • PPTP menos seguro con MPPE (hasta 128 bit)
    • el cifrado de datos comienza después de que se completa el proceso de conexión PPP (y, por lo tanto, la autenticación PPP)
    • Las conexiones PPTP requieren solo autenticación a nivel de usuario a través de un protocolo de autenticación basado en PPP

Algunos datos sobre L2TP (sobre PPTP):

  • ventajas
    • El cifrado de datos L2TP / IPSec comienza antes del proceso de conexión PPP
    • Las conexiones L2TP / IPSec usan AES (hasta 256 bits) o DESU hasta tres claves de 56 bits)
    • Las conexiones L2TP / IPSec proporcionan una autenticación más sólida al requerir tanto la autenticación a nivel de computadora a través de certificados como la autenticación a nivel de usuario a través de un protocolo de autenticación PPP
    • L2TP usa UDP. Es más rápido, pero menos confiable, ya que no retransmite los paquetes perdidos, se usa comúnmente en comunicaciones de Internet en tiempo real
    • L2TP es más "compatible con firewall" que PPTP: una ventaja crucial para un protocolo de extranet debido a que la mayoría de los firewalls no admiten GRE
  • desventaja
    • L2TP requiere infraestructura de certificados para emitir certificados de computadora

Para resumir:

No hay un ganador claro, pero PPTP es más antiguo, más liviano, funciona en la mayoría de los casos y los clientes se preinstalan fácilmente, lo que le da la ventaja de que normalmente es muy fácil de implementar y configurar (sin EAP).

Pero para la mayoría de los países como EAU, Omán, Pakistán, Yemen, Arabia Saudita, Turquía, China, Singapur, Líbano, PPTP bloqueado por ISP o gobierno, por lo que necesitan L2TP o SSL VPN

Referencia: http://vpnblog.info/pptp-vs-l2tp.html


IPSec VS L2TP / IPSec

La razón por la que las personas usan L2TP se debe a la necesidad de proporcionar un mecanismo de inicio de sesión a los usuarios. IPSec por sí solo está destinado a un protocolo de túnel en un escenario de puerta de enlace a puerta de enlace (todavía hay dos modos, el modo de túnel y el modo de transporte). Por lo tanto, los proveedores usan L2TP para permitir que las personas usen sus productos en el escenario de cliente a red. Por lo tanto, usan L2TP solo para iniciar sesión y el resto de la sesión usaría IPSec. Tienes que tener en cuenta otros dos modos; claves precompartidas frente a certificados.

Referencia: http://seclists.org/basics/2005/Apr/139

Modo de túnel IPsec

Cuando la seguridad del Protocolo de Internet (IPsec) se usa en modo túnel, IPsec proporciona encapsulación solo para el tráfico IP. La razón principal para usar el modo de túnel IPsec es la interoperabilidad con otros enrutadores, puertas de enlace o sistemas finales que no admiten L2TP sobre IPsec o túnel VPN PPTP. La información de interoperabilidad se proporciona en el sitio web de Virtual Private Network Consortium.

Referencia: http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668

chmod
fuente
2
Gracias por la respuesta detallada, pero ya entendí la diferencia entre PPTP y L2TP. Mi pregunta involucra la comparación / contraste de Cisco IPsec versus L2TP sobre IPsec, a menos que esté implicando que la diferencia es que Cisco IPsec usa PPTP, pero no creo que este sea el caso de lo que he leído.
Chris Pratt
1
Lo siento, leí mal tu pregunta. Cisco IPSec es simplemente IPSec normal, no hay nada nuevo al respecto. Entonces su pregunta es realmente IPsec VS L2TP / IPsec. Respuesta editada
chmod
2
Una corrección menor: L2TP no requiere infraestructura de certificado. L2TP / IPSec admite autenticación de contraseña sin involucrar certificados.
Howard