IPsec contre L2TP / IPsec

47

J'ai un service VPN qui me permet de me connecter via PPTP, IPsec ou L2TP sur IPsec. Je sais que PPTP est inférieur en termes de sécurité et de cryptage, mais je ne suis pas vraiment sûr de la différence entre les deux options IPsec.

De façon anecdotique, j'ai remarqué que L2TP sur IPsec semble être beaucoup plus lent que sur un IPsec ordinaire, mais il pourrait s'agir simplement des serveurs, de leurs configurations ou même du périphérique de mon côté.

Y at-il une différence en matière de sécurité? Est-ce que l'un est "meilleur" que l'autre, ou sont-ils simplement équivalents sur le plan fonctionnel mais mis en œuvre différemment?

Chris Pratt
la source

Réponses:

42

Cisco IPsec contre L2TP (sur IPsec)

Le terme Cisco IPsec n’est qu’un stratagème marketing, ce qui signifie fondamentalement IPsec ordinaire utilisant ESP en mode tunnel sans aucune encapsulation supplémentaire et utilisant le protocole IKE ( Internet Key Exchange ) pour établir le tunnel. IKE propose plusieurs options d’authentification. Les certificats les plus courants sont les clés pré-partagées (PSK) ou X.509, associées à l’authentification des utilisateurs avec authentification étendue (XAUTH).

Le protocole L2TP ( Layer 2 Tunneling Protocol ) tire ses origines du protocole PPTP. Comme il ne fournit pas de fonctionnalités de sécurité telles que le cryptage ou l'authentification renforcée, il est généralement associé à IPsec. Pour éviter une surcharge supplémentaire, on utilise couramment l' ESP en mode transport . Cela signifie d’abord que le canal IPsec est établi, toujours avec IKE, puis que ce canal est utilisé pour établir le tunnel L2TP. Ensuite, la connexion IPsec est également utilisée pour transporter les données utilisateur encapsulées L2TP.

Par rapport à plain IPsec, l'encapsulation supplémentaire avec L2TP (qui ajoute un paquet IP / UDP et un en-tête L2TP) le rend un peu moins efficace (encore plus s'il est également utilisé avec ESP en mode tunnel, comme le font parfois certaines implémentations).

La traversée NAT (NAT-T) est également plus problématique avec L2TP / IPsec en raison de l'utilisation courante de l'ESP en mode transport.

Un des avantages du protocole L2TP par rapport à IPsec est qu’il peut transporter des protocoles autres que IP.

Du point de vue de la sécurité, les deux sont similaires, mais cela dépend de la méthode d'authentification, du mode d'authentification (mode principal ou agressif), de la force des clés, des algorithmes utilisés, etc.

ecdsa
la source
2
Donc, fondamentalement, si je ne me préoccupe que d’IP, IPsec serait plus efficace que L2TP / IPsec du fait qu’il aurait moins de charge système et serait probablement plus compatible dans l’ensemble. En supposant que le fournisseur de réseau privé virtuel ait tout implémenté correctement, il n'y a pas de différence de sécurité puisque cela provient de la couche IPsec que les deux utilisent. Correct?
Chris Pratt
Correct. Parmi toutes les options VPN proposées par votre fournisseur, IPsec est clairement le gagnant.
ecdsa
Cisco a beaucoup de stratagèmes de marketing, mais je ne le vois vraiment pas comme tel. J'ai pas mal travaillé avec IPSec sur Ciscos et autres équipements; Je n'ai pas eu l'impression qu'on parlait de «Cisco IPSec» comme s'il s'agissait d'un produit. La configuration IPSec n'est pas identique, même parmi les modèles Cisco.
Belacqua
5
Cisco IPsec est principalement utilisé dans les produits Apple pour désigner IPsec ordinaire en mode tunnel (avec IKEv1 en mode principal ou agressif). La boîte de dialogue VPN dans iOS présente un grand logo Cisco si IPSec est sélectionné. Sous Mac OS X, il est explicitement appelé Cisco IPSec , même si les deux systèmes d'exploitation utilisent Racoon pour le mettre en œuvre.
ecdsa
En réalité, IPsec en mode tunnel (par opposition au mode de transport) transfère tout le trafic en encapsulant les paquets IP d'origine dans des paquets IP sécurisés. Les paquets IP d'origine peuvent transporter TCP, UDP ou tout autre protocole. Est-ce que cela rend le L2TP sans aucun avantage?
Alexey Polonsky
21

L2TP vs PPTP

L2TP / IPSec et PPTP sont similaires des manières suivantes:

fournir un mécanisme de transport logique pour envoyer des charges utiles PPP; fournir un tunnel ou une encapsulation afin que les charges utiles PPP basées sur tout protocole puissent être envoyées sur un réseau IP; compter sur le processus de connexion PPP pour effectuer l’authentification de l’utilisateur et la configuration du protocole.

Quelques faits sur PPTP:

  • les avantages
    • PPTP facile à déployer
    • PPTP utilise TCP, cette solution fiable permet de retransmettre les paquets perdus
    • Support PPTP
  • désavantages
    • PPTP moins sécurisé avec MPPE (jusqu'à 128 bits)
    • le cryptage des données commence après la fin du processus de connexion PPP (et donc de l'authentification PPP)
    • Les connexions PPTP nécessitent uniquement une authentification au niveau de l'utilisateur via un protocole d'authentification basé sur PPP

Quelques faits sur le L2TP (via PPTP):

  • les avantages
    • Le cryptage des données L2TP / IPSec commence avant le processus de connexion PPP
    • Les connexions L2TP / IPSec utilisent l’AES (jusqu’à 256 bits) ou DESU jusqu’à trois clés de 56 bits.
    • Les connexions L2TP / IPSec fournissent une authentification renforcée en exigeant une authentification au niveau de l'ordinateur via des certificats et une authentification au niveau de l'utilisateur via un protocole d'authentification PPP
    • L2TP utilise UDP. Il est plus rapide, mais moins fiable, car il ne retransmet pas les paquets perdus, il est couramment utilisé dans les communications Internet en temps réel.
    • L2TP plus «pare-feu» que PPTP - un avantage crucial pour un protocole extranet, car la plupart des pare-feu ne prennent pas en charge le GRE
  • désavantage
    • L2TP nécessite une infrastructure de certificat pour l'émission de certificats d'ordinateur

Résumer:

Il n'y a pas de gagnant clair, mais PPTP est plus ancien, plus léger, fonctionne dans la plupart des cas et les clients sont facilement préinstallés, ce qui lui confère normalement l'avantage d'être très facile à déployer et à configurer (sans EAP).

Mais pour la plupart des pays comme les Emirats Arabes Unis, Oman, Pakistan, Yémen, Arabie Saoudite, Turquie, Chine, Singapour, Liban, PPTP bloqué par le FAI ou le gouvernement, ils ont donc besoin de VPN L2TP ou SSL

Référence: http://vpnblog.info/pptp-vs-l2tp.html


IPSec VS L2TP / IPSec

La raison pour laquelle les gens utilisent L2TP est due à la nécessité de fournir un mécanisme de connexion aux utilisateurs. IPSec en soi est conçu pour un protocole de tunneling dans un scénario passerelle à passerelle (il existe encore deux modes, le mode tunnel et le mode transport). Les fournisseurs utilisent donc L2TP pour permettre aux utilisateurs d’utiliser leurs produits dans un scénario client-réseau. Donc, ils utilisent L2TP uniquement pour la journalisation et le reste de la session utilisera IPSec. Vous devez prendre en considération deux autres modes; clés pré-partagées vs certificats.

Référence: http://seclists.org/basics/2005/Apr/139

Mode tunnel IPsec

Lorsque la sécurité du protocole Internet (IPsec) est utilisée en mode tunnel, IPsec lui-même fournit une encapsulation pour le trafic IP uniquement. La principale raison d'utiliser le mode de tunnel IPsec est l'interopérabilité avec d'autres routeurs, passerelles ou systèmes d'extrémité qui ne prennent pas en charge le tunneling L2TP sur IPsec ou VPN PPTP. Les informations sur l'interopérabilité sont fournies sur le site Web du consortium Virtual Private Network.

Référence: http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668

chmod
la source
2
Merci pour la réponse détaillée, mais j'ai déjà compris la différence entre PPTP et L2TP. Ma question concerne la comparaison / le contraste entre Cisco IPsec et L2TP sur IPsec - à moins que vous ne laissiez entendre que la différence est que Cisco IPsec utilise PPTP, mais je ne crois pas que ce soit le cas de ce que j'ai lu.
Chris Pratt
1
Désolé, j'ai mal interprété votre question. Cisco IPSec est tout simplement normal IPSec, il n'y a rien de nouveau à ce sujet. Votre question est donc vraiment IPsec VS L2TP / IPsec. Réponse modifiée
chmod
2
Une correction mineure - L2TP ne nécessite pas d' infrastructure de certificat. L2TP / IPSec prend en charge l'authentification par mot de passe sans impliquer de certificat.
Howard