Безопасность PPTP против IPSec


11

Является ли PPTP или IPSEC VPN более безопасным, чем другие, для VPN с коммутируемым доступом, если да, то почему?

Ответы:


13

PPTP - это протокол туннелирования, как и L2TP - он не обеспечивает безопасность.

PPTP использует MPPE для шифрования, что может иметь некоторые недостатки по сравнению с IPSEC (который обычно используется с L2TP). IPSEC также может использоваться сам по себе в качестве протокола туннелирования, и это довольно часто.

Преимущество IPSEC в целом заключается в том, что он используется с сертификатами для аутентификации на уровне компьютера в дополнение к уровню пользователя. L2TP обеспечивает это, но один IPSEC может использоваться только с предварительным общим ключом, так же как шифрование в PPTP - понижая уровень безопасности до аналогичных уровней, на мой взгляд.

Большинство старых уязвимостей в PPTP исправлены в наши дни, и вы можете объединить их с EAP, чтобы расширить их и потребовать сертификаты. Я бы сказал, что нет явного победителя, но PPTP более старый, более легкий, работает в большинстве случаев, и клиенты легко предустановлены, что дает преимущество в простоте развертывания и настройки без EAP.

Однако получение чего-то более безопасного с помощью проверки подлинности на уровне машины может дать IPSEC преимущество в том, что оно разработано для этого с самого начала (в частности, L2TP) - и, следовательно, возможно, будет проще для развертывания с этим требованием, чем заставить PPTP работать с EAP.

Если мы сравним PPTP с L2TP сразу - L2TP выигрывает на справедливой основе из-за требований для достойной аутентификации на нескольких уровнях, предотвращение нескольких сценариев PPTP не помешает (теоретически).


5

В настоящее время мудрость заключается в том, что IPSec лучше, но не существует (известных) полных эксплойтов для PPTP, поэтому он все еще широко используется. IPSec, безусловно, новее, имеет больше дополнительных возможностей и (IMHO) более широкую поддержку.

Многие критикуют, что PPTP отправляет некоторые незашифрованные контрольные пакеты, но, опять же, это не привело к большому использованию, а просто заставляет людей думать, что где-то там ДОЛЖЕН быть один. Я думаю, что во многом это просто остаточный кислый виноград, потому что PPTP был инициативой Microsoft, и патент обременен (недавно они разрешили открытые реализации, так что это не так уж и важно).


5

Следует отметить, что новая атака на MS-CHAPv2 Мокси Марлинспайком и Дэвидом Хултоном делает туннели PPTP менее желательными. Исходя из этого, я бы использовал туннель на основе IPSEC или SSL VPN для удаленного доступа.

Больше информации:


2

Хорошие ответы, но несколько неточные. Они могут дать неверные представления о роли L2TP.

L2TP не использует IPsec. Он не построен на IPSec. L2TP - это «Протокол туннелирования уровня 2», который выполняет одну и только одну функцию - туннелирование других протоколов. Он не обеспечивает никакой безопасности, просто потому, что не предназначен для этого. И именно поэтому он обычно используется вместе с IPSec. Два протокола, используемые вместе, не означают, что они зависят в любом случае. L2TP может использоваться без IPSec, также как IPSec может использоваться без L2TP. Говорить о безопасности L2TP бессмысленно - их нет. Когда кто-то говорит о безопасности IPSec / L2TP VPN, он говорит о безопасности IPSec.


1

Если вы рассматриваете Microsoft PPTP, вы можете найти это полезным: FAQ по PPTP

Кроме того, PPTP против IPSec - это что-то вроде Fish против Bicycles - вы можете захотеть взглянуть на L2TP, а не на прямой IPSec (L2TP построен на IPSec и поддерживается в Windows так же, как PPTP, и имеет достойные реализации с открытым исходным кодом).

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.