PPTP、IPsec、またはL2TP over IPsec経由で接続するオプションを提供するVPNサービスがあります。 PPTP私はセキュリティと暗号化の面で劣っていることを知っていますが、違いが2つのIPsecオプションの間に何があるのか本当によくわかりません。
逸話的に、私はIPsec上のL2TPは普通のIPsecよりはるかに遅いように思えるが、それは単にサーバ、それらの設定、あるいは私の側のデバイスさえあり得ることに気づいた。
セキュリティ面で違いはありますか?一方が他方より「優れている」か、それとも機能的に同等であるが異なる方法で実装されているか
Cisco IPsecとL2TP(over IPsec)
Cisco IPsecという用語は、基本的には単純な IPsec を意味する単なるマーケティング手法です。カプセル化を追加せずにトンネルモードで ESP を使用し、 インターネットキー交換 protocol(IKE)を使用するトンネルを確立する。 IKEはいくつかの認証オプションを提供します。拡張認証(XAUTH)ユーザー認証と組み合わせた事前共有鍵(PSK)またはX.509証明書が最も一般的です。
レイヤ2トンネリングプロトコル( L2TP )は、PPTPを起源としていました。暗号化や強力な認証などのセキュリティ機能は提供されないため、通常はIPsecと組み合わされます。 トランスポートモード に含まれる追加のオーバーヘッドESPが多すぎるのを避けるために、一般的に使用されています。これは、最初にIPsecチャネルが確立され、再びIKEを使用して確立され、次にこのチャネルがL2TPトンネルの確立に使用されることを意味します。その後、IPsec接続は、L2TPカプセル化ユーザーデータの転送にも使用されます。
普通のIPsecと比較してL2TP(IP/UDPパケットとL2TPヘッダを追加する)の追加のカプセル化はそれを少し効率が悪くします(トンネルモードでESPと一緒に使われるともっと効果的です)。 。
NATトラバーサル(NAT-T)はまた、トランスポートモードでESPが一般的に使用されているため、L2TP/IPsecではより問題になります。
L2TPが単純なIPsecよりも優れている点の1つは、IP以外のプロトコルを転送できることです。
セキュリティに関してはどちらも似ていますが、認証方法、認証モード(メインモードまたはアグレッシブモード)、キーの強度、使用されているアルゴリズムなどによって異なります。
L2TP vs PPTP
L2TP/IPSecとPPTPは、次の点で類似しています:
PPPペイロードを送信する論理トランスポートメカニズムを提供します。任意のプロトコルに基づくPPPペイロードをIPネットワーク経由で送信できるように、トンネリングまたはカプセル化を提供します。 PPP接続プロセスに依存して、ユーザー認証とプロトコル構成を実行します。
PPTPに関するいくつかの事実:
L2TPに関するいくつかの事実(PPTP経由):
要約すると:
明確な勝者はありませんが、PPTPはより古く、より軽量で、ほとんどの場合動作し、クライアントは容易に事前インストールされます。 。
しかし、アラブ首長国連邦、オマーン、パキスタン、イエメン、サウジアラビア、トルコ、中国、シンガポール、レバノンなどのほとんどの国では、PPTPがISPまたは政府によってブロックされているため、L2TPまたはSSL VPNが必要です
リファレンス: http://vpnblog.info/pptp-vs-l2tp.html
IPSec VS L2TP/IPSec
ユーザーがL2TPを使用する理由は、ユーザーにログインメカニズムを提供する必要があるためです。 IPSec自体は、ゲートウェイツーゲートウェイシナリオでのトンネリングプロトコルを目的としています(トンネルモードとトランスポートモードの2つのモードがまだあります)。そのため、ベンダーはL2TPを使用して、クライアントからネットワークへのシナリオで人々が製品を使用できるようにします。したがって、彼らはロギングにのみL2TPを使用し、セッションの残りはIPSecを使用します。他の2つのモードを考慮する必要があります。事前共有キーと証明書。
参照: http://seclists.org/basics/2005/Apr/139
IPsecトンネルモード
インターネットプロトコルセキュリティ(IPsec)がトンネルモードで使用される場合、IPsec自体はIPトラフィックのみのカプセル化を提供します。 IPsecトンネルモードを使用する主な理由は、L2TP over IPsecまたはPPTP VPNトンネリングをサポートしない他のルーター、ゲートウェイ、またはエンドシステムとの相互運用性です。相互運用性に関する情報は、Virtual Private Network ConsortiumのWebサイトで提供されています。
参照: http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668