web-dev-qa-db-ja.com

IPsecとL2TP / IPsecの比較

PPTP、IPsec、またはL2TP over IPsec経由で接続するオプションを提供するVPNサービスがあります。 PPTP私はセキュリティと暗号化の面で劣っていることを知っていますが、違いが2つのIPsecオプションの間に何があるのか​​本当によくわかりません。

逸話的に、私はIPsec上のL2TPは普通のIPsecよりはるかに遅いように思えるが、それは単にサーバ、それらの設定、あるいは私の側のデバイスさえあり得ることに気づいた。

セキュリティ面で違いはありますか?一方が他方より「優れている」か、それとも機能的に同等であるが異なる方法で実装されているか

44
Chris Pratt

Cisco IPsecとL2TP(over IPsec)

Cisco IPsecという用語は、基本的には単純な IPsec を意味する単なるマーケティング手法です。カプセル化を追加せずにトンネルモードで ESP を使用し、 インターネットキー交換 protocol(IKE)を使用するトンネルを確立する。 IKEはいくつかの認証オプションを提供します。拡張認証(XAUTH)ユーザー認証と組み合わせた事前共有鍵(PSK)またはX.509証明書が最も一般的です。

レイヤ2トンネリングプロトコルL2TP )は、PPTPを起源としていました。暗号化や強力な認証などのセキュリティ機能は提供されないため、通常はIPsecと組み合わされます。 トランスポートモード に含まれる追加のオーバーヘッドESPが多すぎるのを避けるために、一般的に使用されています。これは、最初にIPsecチャネルが確立され、再びIKEを使用して確立され、次にこのチャネルがL2TPトンネルの確立に使用されることを意味します。その後、IPsec接続は、L2TPカプセル化ユーザーデータの転送にも使用されます。

普通のIPsecと比較してL2TP(IP/UDPパケットとL2TPヘッダを追加する)の追加のカプセル化はそれを少し効率が悪くします(トンネルモードでESPと一緒に使われるともっと効果的です)。 。

NATトラバーサル(NAT-T)はまた、トランスポートモードでESPが一般的に使用されているため、L2TP/IPsecではより問題になります。

L2TPが単純なIPsecよりも優れている点の1つは、IP以外のプロトコルを転送できることです。

セキュリティに関してはどちらも似ていますが、認証方法、認証モード(メインモードまたはアグレッシブモード)、キーの強度、使用されているアルゴリズムなどによって異なります。

41
ecdsa

L2TP vs PPTP

L2TP/IPSecとPPTPは、次の点で類似しています:

PPPペイロードを送信する論理トランスポートメカニズムを提供します。任意のプロトコルに基づくPPPペイロードをIPネットワーク経由で送信できるように、トンネリングまたはカプセル化を提供します。 PPP接続プロセスに依存して、ユーザー認証とプロトコル構成を実行します。

PPTPに関するいくつかの事実:

  • 利点
    • 展開が簡単なPPTP
    • PPTPはTCPを使用します。この信頼できるソリューションにより、失われたパケットを再送信できます。
    • PPTPサポート
  • 欠点
    • MPPEでPPTPの安全性が低下する(最大128ビット)
    • データ暗号化は、PPP接続プロセス(したがって、PPP認証)が完了した後に開始されます
    • PPTP接続には、PPPベースの認証プロトコルを介したユーザーレベルの認証のみが必要です。

L2TPに関するいくつかの事実(PPTP経由):

  • 利点
    • PPP接続プロセスの前にL2TP/IPSecデータ暗号化が開始されます
    • L2TP/IPSec接続は、AES(最大256ビット)またはDESUを使用して3つの56ビットキーを使用します)
    • L2TP/IPSec接続は、証明書によるコンピューターレベルの認証とPPP認証プロトコルによるユーザーレベルの認証の両方を要求することにより、より強力な認証を提供します。
    • L2TPはUDPを使用します。失われたパケットを再送信しないため、より高速ですが信頼性が低く、リアルタイムのインターネット通信で一般的に使用されます
    • L2TPはPPTPよりも「ファイアウォールフレンドリー」—ほとんどのファイアウォールはGREをサポートしていないため、エクストラネットプロトコルの重要な利点
  • 不利益
    • L2TPでは、コンピューター証明書を発行するための証明書インフラストラクチャが必要です

要約すると:

明確な勝者はありませんが、PPTPはより古く、より軽量で、ほとんどの場合動作し、クライアントは容易に事前インストールされます。 。

しかし、アラブ首長国連邦、オマーン、パキスタン、イエメン、サウジアラビア、トルコ、中国、シンガポール、レバノンなどのほとんどの国では、PPTPがISPまたは政府によってブロックされているため、L2TPまたはSSL VPNが必要です

リファレンス: http://vpnblog.info/pptp-vs-l2tp.html


IPSec VS L2TP/IPSec

ユーザーがL2TPを使用する理由は、ユーザーにログインメカニズムを提供する必要があるためです。 IPSec自体は、ゲートウェイツーゲートウェイシナリオでのトンネリングプロトコルを目的としています(トンネルモードとトランスポートモードの2つのモードがまだあります)。そのため、ベンダーはL2TPを使用して、クライアントからネットワークへのシナリオで人々が製品を使用できるようにします。したがって、彼らはロギングにのみL2TPを使用し、セッションの残りはIPSecを使用します。他の2つのモードを考慮する必要があります。事前共有キーと証明書。

参照: http://seclists.org/basics/2005/Apr/139

IPsecトンネルモード

インターネットプロトコルセキュリティ(IPsec)がトンネルモードで使用される場合、IPsec自体はIPトラフィックのみのカプセル化を提供します。 IPsecトンネルモードを使用する主な理由は、L2TP over IPsecまたはPPTP VPNトンネリングをサポートしない他のルーター、ゲートウェイ、またはエンドシステムとの相互運用性です。相互運用性に関する情報は、Virtual Private Network ConsortiumのWebサイトで提供されています。

参照: http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668

21
chmod