web-dev-qa-db-fra.com

IPsec contre L2TP / IPsec

J'ai un service VPN qui me permet de me connecter via PPTP, IPsec ou L2TP sur IPsec. PPTP Je sais qu'il est inférieur en termes de sécurité et de cryptage, mais je ne suis pas vraiment sûr de la différence entre les deux options IPsec.

De manière anecdotique, j'ai remarqué que L2TP sur IPsec semble être beaucoup plus lent que sur un IPsec ordinaire, mais il pourrait s'agir simplement des serveurs, de leurs configurations ou même du périphérique de mon côté.

Y at-il une différence en matière de sécurité? Est-ce que l'un est "meilleur" que l'autre, ou sont-ils simplement équivalents sur le plan fonctionnel mais mis en œuvre différemment?

44
Chris Pratt

Cisco IPsec et L2TP (sur IPsec)

Le terme Cisco IPsec n’est qu’un stratagème marketing qui signifie fondamentalement IPsec using ESP en mode tunnel sans aucune encapsulation supplémentaire, et en utilisant le protocole d'échange de clés (IKE) pour établir le tunnel. IKE propose plusieurs options d’authentification. Les certificats les plus courants sont les clés pré-partagées (PSK) ou X.509, associées à l’authentification des utilisateurs avec authentification étendue (XAUTH).

Le protocole de tunnelisation de couche 2 ( L2TP ) a été créé à l'origine dans PPTP. Comme il ne fournit pas de fonctionnalités de sécurité telles que le cryptage ou l'authentification renforcée, il est généralement associé à IPsec. Pour éviter une surcharge supplémentaire, ESP dans le mode de transport est couramment utilisé. Cela signifie d’abord que le canal IPsec est établi, toujours avec IKE, puis que ce canal est utilisé pour établir le tunnel L2TP. Ensuite, la connexion IPsec est également utilisée pour transporter les données utilisateur encapsulées L2TP.

Par rapport à plain IPsec, l’encapsulation supplémentaire avec L2TP (qui ajoute un paquet IP/UDP et un en-tête L2TP) le rend un peu moins efficace (surtout s’il est également utilisé avec ESP en mode tunnel, ce que certaines implémentations faire).

La traversée NAT (NAT-T) est également plus problématique avec L2TP/IPsec en raison de l'utilisation courante de ESP en mode transport.

Un des avantages du protocole L2TP par rapport à IPsec est qu’il peut transporter des protocoles autres que IP.

Du point de vue de la sécurité, les deux sont similaires, mais cela dépend de la méthode d'authentification, du mode d'authentification (mode principal ou agressif), de la force des clés, des algorithmes utilisés, etc.

41
ecdsa

L2TP vs PPTP

L2TP/IPSec et PPTP sont similaires des manières suivantes:

fournir un mécanisme de transport logique pour envoyer PPP charges utiles; fournir un tunnel ou une encapsulation de sorte que PPP charges utiles basées sur tout protocole puissent être envoyées sur un réseau IP; comptez sur le processus de connexion PPP pour procéder à l'authentification de l'utilisateur et à la configuration du protocole.

Quelques faits sur PPTP:

  • avantages
    • PPTP facile à déployer
    • PPTP utilise TCP, cette solution fiable permet de retransmettre les paquets perdus
    • Support PPTP
  • désavantages
    • PPTP moins sécurisé avec MPPE (jusqu'à 128 bits)
    • le cryptage des données commence après le processus de connexion PPP (et donc, l'authentification PPP est terminée)
    • Les connexions PPTP nécessitent uniquement une authentification au niveau de l'utilisateur via un protocole d'authentification basé sur PPP

Quelques faits sur le protocole L2TP (via PPTP):

  • avantages
    • Le cryptage des données L2TP/IPSec commence avant le processus de connexion PPP
    • Les connexions L2TP/IPSec utilisent l’AES (jusqu’à 256 bits) ou DESU jusqu’à trois clés de 56 bits.
    • Les connexions L2TP/IPSec fournissent une authentification renforcée en exigeant une authentification au niveau de l'ordinateur via des certificats et une authentification au niveau de l'utilisateur via un protocole d'authentification PPP
    • L2TP utilise UDP. Il est plus rapide, mais moins fiable, car il ne retransmet pas les paquets perdus, il est couramment utilisé dans les communications Internet en temps réel.
    • L2TP plus "compatible avec le pare-feu" que PPTP - un avantage crucial pour un protocole extranet en raison de la plupart des pare-feu qui ne prennent pas en charge le GRE
  • désavantage
    • L2TP nécessite une infrastructure de certificat pour l'émission de certificats d'ordinateur

Pour résumer:

Il n'y a pas de gagnant clair, mais PPTP est plus ancien, plus léger, fonctionne dans la plupart des cas et les clients sont facilement préinstallés, ce qui présente l'avantage d'être normalement très facile à déployer et à configurer (sans EAP). .

Mais pour la plupart des pays tels que les Émirats arabes unis, Oman, Pakistan, Yémen, Arabie saoudite, Turquie, Chine, Singapour, Liban PPTP bloqués par le fournisseur de services Internet ou le gouvernement, ils ont donc besoin de L2TP ou SSL VPN

Référence: http://vpnblog.info/pptp-vs-l2tp.html


IPSec VS L2TP/IPSec

La raison pour laquelle les gens utilisent L2TP est due à la nécessité de fournir un mécanisme de connexion aux utilisateurs. IPSec en soi est conçu pour un protocole de tunneling dans un scénario passerelle à passerelle (il existe encore deux modes, le mode tunnel et le mode transport). Les fournisseurs utilisent donc L2TP pour permettre aux utilisateurs d’utiliser leurs produits dans un scénario client-réseau. Donc, ils utilisent L2TP uniquement pour la journalisation et le reste de la session utilisera IPSec. Vous devez prendre en considération deux autres modes; clés pré-partagées vs certificats.

Référence: http://seclists.org/basics/2005/Apr/139

Mode tunnel IPsec

Lorsque la sécurité du protocole Internet (IPsec) est utilisée en mode tunnel, IPsec lui-même fournit une encapsulation pour le trafic IP uniquement. La principale raison d'utiliser le mode de tunnel IPsec est l'interopérabilité avec d'autres routeurs, passerelles ou systèmes d'extrémité qui ne prennent pas en charge le protocole L2TP sur IPsec ou le tunneling PPTP VPN. Les informations sur l'interopérabilité sont fournies sur le site Web du consortium Virtual Private Network.

Référence: http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668

21
chmod