L2tp ipsec
Автор Пользователь удален задал вопрос в разделе Интернет
В чем преимущества VPN соединения по L2TP протоколу перед соединением PPTP? и получил лучший ответ
Ответ от Карамышев Павел[гуру]
Если смотреть RFC2661, то можно видеть, что L2TP использует всего 1 порт для работы 1701 (TCP/UDP), а PPTP (RFC 2637) использует туннелирование GRE(IP протокол номер 47) да еще и порт TCP 1723. PPTP сложно перенаправлять за сетевой экран, так как он требует одновременного установления двух сетевых сессий. .
Механизм защиты IPSec L2TP гораздо лучше, чем CHAP (нешифрованный пароль) или MS-CHAP. Узнав пароль, все эти защиты бесполезны. Конечно, можно использовать что-то типа EAP-TLS.Но сертификаты не переносимы! И если пользователю понадобится позаимствовать чужой ноутбук или потребуется заменить вышедший из строя компьютер, осложнений не избежать, ведь для того, чтобы пользователь мог подключиться к VPN и войти в сеть, придется предварительно установить на его машине сертификат, созданный именно для этого пользователя.
L2TP - усиленная двухфакторная аутентификация, и шифрование, и целостность данных. Когда с помощью протокола L2TP выполняется подключение к серверу VPN, для аутентификации систем этот протокол использует сертификаты клиентских и серверных машин. После успешного завершения процедуры аутентификации L2TP устанавливает соединение по протоколу IP Security (IPSec) в режиме Encapsulating Security Payload (ESP). До этого момента L2TP зашифровывал все данные, проходящие через VPN в Internet, защитил соединение от «атак через посредника» и завершил первый уровень аутентификации. Если перспектива обеспечивать все компьютеры сети сертификатами напряжна, рекомендую воспользоваться одним из средств, разработанных Microsoft для решения этой проблемы, а также многих других задач, связанных с развертыванием VPN промышленного уровня с дистанционным доступом (скажем, Group Policy для автоматизации регистрации сертификатов или Connection Manager Administration Kit — CMAK — для автоматизации развертывания клиентов VPN).
Думаю, что Корбина рекомендует L2TP из-за частого несоединения по VPN ( у многих пользователей сетевые экраны плохо отрабатывают PPTP ). См. начало текста.
Источник: сайт мелкомягких, RFC
основной недостаток РРТР в том что он дает возможность выполнять процедуры аутентификации, основанные лишь на одном критерии (а именно на знании пользователем пароля) , соответсвенно если самое слабое звено (человек тоесть)) ) записал пароль на бумажке и потерял то злоумышленник с другого компьютера сможет получить доступ к сети организации. Существует возможность заменить пароль сертификатом, .для чего используется EAP-TLS, но ето неудобно, и есть еще пара косяков, например все равно однофакторная аудентификация.
у L2TP ряд плюсов как то: усиленная двухфакторная аутентификация с использованием сертификатов клиентских и серверных машин, и шифрование, и целостность данных.
плюс L2TP не требует связи по протоколу IP между клиентской рабочей станцией и сервером.
Более защищенный протокол авторизации