web-dev-qa-db-ja.com

PPTP、L2TP、またはTLSのどれがVoIPにとってより安全で効率的ですか?

ある種の安全なVoIPを実装する予定です。 [〜#〜] vpn [〜#〜]ベースの方法[〜#〜] pptp [〜#〜]または-の間で決定を下すようになりました。 L2TP/IPsecおよび[〜#〜] tls [〜#〜]ベースのメソッド。問題はどちらが優れているかです。 VoIPアプリケーションにとってより安全で効率的ですか?両方が機能している場合、より多くのセキュリティ(機密性、信頼性、および整合性)を取得できますか?事前にどうもありがとうございました。

securityvpnvoiptls
3
Nasser

PPTP、L2TP、またはTLSのどれがVoIPにとってより安全で効率的です...

質問に関連するいくつかの一般的な情報は次のとおりです... VoIPは動的圧縮コードとコーデックを使用できるため、基盤となる暗号化技術に関係なく安全でない可能性があります。たとえば、 可能であれば私を見つけてください:暗号化されたVoIP会話で話されたフレーズを明らかにする を参照してください。

また、NSAは、コモディティハードウェアを使用して米国政府向けの電話を作成します。電話は2層の暗号化を使用します。1つ目は従来のIPSec VPNです。2つ目はストリームを使用した暗号化VoIPです- [〜#〜] srtp [〜#〜] VPNを介してトンネリングされます。したがって、両方のネットワーク層とアプリケーション層のセキュリティがあります。たとえば、 Fishbowl(secure phone) を参照してください。

また、質問は漠然としています(ただし、明白ではありません)...セキュリティモデルが何であるか、脅威モデルが何であるかがわからないため、どちらになるかはわかりません(またはしない)あなたの目標と目的を達成します。どうやら、NSAの脅威モデルには、VPNだけでは含めることができない暗号解読が含まれています:)

1
jww

アーキテクチャに関しては、2つの次元のそれぞれのオプションを個別に検討します。

  • 安全なトンネルと安全な接続:

    • VoIPシナリオでは、通常、多くの接続が関係しています。 VoIPクライアントはVoIPサーバーに登録しますが、実際の通話では、クライアントは直接接続します。
    • 安全な接続の確立は、安全なトンネルが回避する安全でない接続の確立と比較して、大きなオーバーヘッドを伴います。
    • 概念的には、一部の攻撃は接続フェーズ中にのみ可能であるため、トンネルはそのような攻撃が発生する可能性のある時点の数を減らします。
    • セットアップとメンテナンスに関しては、VPN接続が好きです。例えば。不要なサーバーへの露出がなく、接続を受け入れるためのフィルタールールが簡単です(ローカルIPアドレスのみ)。また、公開されているすべてのサービスについてセキュリティアドバイザリを監視するのではなく、主にトンネルのみのセキュリティアドバイザリを監視する必要があります。
    • セキュリティに関しては、セキュリティで保護されたトンネルにより、オブザーバーは2つのLANがどのように相互作用するかを確認できなくなります。そのため、オブザーバーは取得する情報がはるかに少なくなり、攻撃するポイントも少なくなります。

  • 安全な上位層と安全な下位層を備えた2層トンネル:

    • 考えられる攻撃に関しては概念的な違いがありますが、セキュリティの程度は同等です。
    • 実際には、トンネルを固定すると、柔軟性が高まります(以下を参照)。

あなたが言及する特定の解決策に関して:

  • PPTPには欠陥があり、安全ではなく、妥当な量のセキュリティを提供していません。
  • L2TP/IPsecは、(それ自体が)安全な接続を介した安全でないトンネルを使用するアプローチです。
    • 情報機関が脆弱性を導入しようとしたことが示されていますが、セキュリティは非常に高く、リークは知られていません。
    • 固定ポートとプロトコルが必要であり、IPv6の使用はトンネル内に隠すことはできませんが、外部には明らかです。これは、VPNエンドポイント間のすべてのインフラストラクチャがこの特定のセットアップをサポートする必要があることを意味します。
  • OpenVPNは、(それ自体が)安全でない接続を介した安全なトンネルを使用するアプローチです。
    • TLSを使用すると、セキュリティは非常に高く、セキュリティリークは知られていません。
    • トンネルは、選択したポートやトンネルの内部詳細の非表示など、任意のIPインフラストラクチャを使用できるため、VPNエンドポイント間のインフラストラクチャがIPv4のみをサポートしている場合でも、IPv6パケットをトンネル経由でルーティングできます。
  • IPsecは、暗号化されたデータパケットが新しいデータパケットにラップされるトンネルモードを提供します。このモードは、提供する認証方法がL2TP/IPsecとは異なります。ある種のログオンが必要な場合は常に、このモードを簡単に使用することはできません。

結論:

  • 全体的なセキュリティ(可能性)が高く、頭痛の種が少ないため、トンネルアプローチを選択してください。
  • セキュリティが同等であることを考えると、柔軟性が高いため、OpenVPNをお勧めします。ただし、両方のアプローチのセキュリティ面の詳細を調べてください。ユーザーがOpenVPN接続をセットアップできる場合、安全性が大幅に低下する可能性があります。
  • パフォーマンスが柔軟性よりも重要である場合、OpenVPNの方が速いと主張する人もいますが、正直なところ、特定の状況下で独自のテストを行います。言及する価値のあるパフォーマンスの違いがある場合、ソフトウェアのみに基づくとは思わないからです。 (ただの腸の感覚)。
3
Run CMD