Bezpieczeństwo PPTP vs IPSec

11

Czy protokół PPTP lub IPSEC VPN jest bezpieczniejszy od drugiego dla sieci VPN typu „dial in”, jeśli tak, to dlaczego?

Kyle Brandt
źródło

Odpowiedzi:

13

PPTP jest protokołem tunelowania, podobnie jak L2TP - nie zapewnia bezpieczeństwa.

PPTP używa MPPE do szyfrowania, co może mieć pewne wady w porównaniu do IPSEC (który jest powszechnie używany z L2TP). IPSEC może być również używany jako protokół tunelowania i jest to dość powszechne.

Zaletą IPSEC jest ogólnie, gdyby był używany z certyfikatami do uwierzytelniania na poziomie komputera oprócz poziomu użytkownika. L2TP wymusza to, ale samego IPSEC można używać tylko z kluczem wstępnym, podobnie jak szyfrowanie w PPTP - obniżając poziom bezpieczeństwa do podobnych poziomów, moim zdaniem.

Większość starych luk w zabezpieczeniach PPTP jest obecnie usuwana i można połączyć je z protokołem EAP, aby ulepszyć go tak, aby wymagał również certyfikatów. Powiedziałbym, że nie ma wyraźnego zwycięzcy, ale PPTP jest starszy, bardziej lekki, działa w większości przypadków, a klienci są wstępnie wstępnie instalowani, co daje tę zaletę, że zwykle jest bardzo łatwa do wdrożenia i konfiguracji bez EAP.

Jednak uzyskanie czegoś bardziej bezpiecznego dzięki uwierzytelnianiu na poziomie maszyny może dać IPSEC korzyść w zaprojektowaniu tego na początek (w szczególności L2TP) - a zatem być może łatwiej będzie je wdrożyć z tym wymaganiem niż zmuszenie PPTP do pracy z EAP.

Jeśli od razu porównamy PPTP z L2TP - L2TP wygrywa o sporą kwotę ze względu na wymagania dotyczące przyzwoitego uwierzytelnienia na kilku poziomach, zapobieganie kilku scenariuszom PPTP nie zapobiegnie (teoretycznie).

Oskar Duveborn
źródło
5

Obecna opinia jest taka, że ​​IPSec jest lepszy, ale nie ma (znanych) pełnych exploitów dla PPTP, więc nadal jest powszechnie używany. IPSec jest z pewnością nowszy i ma więcej opcjonalnych dodatków oraz (IMHO) szersze wsparcie.

Wiele osób krytykuje fakt, że PPTP wysyła niektóre niezaszyfrowane pakiety kontrolne, ale znowu nie spowodowało to dużego exploita, tylko sprawia, że ​​ludzie myślą, że MUSI gdzieś tam być. Myślę, że wiele z nich to tylko resztkowe kwaśne winogrona, ponieważ PPTP było inicjatywą Microsoft i zostało obciążone patentem (ostatnio pozwoliły na otwarte wdrożenia, więc nie stanowi to większego problemu).

Satanicpuppy
źródło
2

Dobre odpowiedzi, ale nieco niedokładne. Mogą podawać błędne pomysły na temat roli L2TP.

L2TP nie używa IPsec. Nie jest zbudowany na IPSec. L2TP to „Level 2 Tunneling Protocol”, który wykonuje jedną i tylko jedną funkcję - tunelowanie innych protokołów. Nie zapewnia żadnego bezpieczeństwa, tylko dlatego, że nie jest do tego przeznaczony. I właśnie dlatego jest zwykle używany razem z IPSec. Te dwa protokoły używane razem nie oznaczają, że są w jakikolwiek sposób zależne. L2TP może być używany bez IPSec, podobnie jak IPSec może być używany bez L2TP. Mówienie o bezpieczeństwie L2TP nie ma sensu - nie ma żadnego. Kiedy ktoś mówi o bezpieczeństwie IPSec / L2TP VPN, mówi o bezpieczeństwie IPSec.


źródło
1

Jeśli zastanawiasz się nad oprogramowaniem PPTP firmy Microsoft, przydatne może być: Często zadawane pytania dotyczące PPTP

Ponadto PPTP vs. IPSec to trochę Fish vs. Bicycles - możesz przyjrzeć się L2TP zamiast zwykłego IPSec (L2TP jest zbudowany na IPSec i jest obsługiwany w systemie Windows tak samo jak PPTP i ma przyzwoite implementacje open source).

Tom Newton
źródło