Что такое L2TP и IPSec протоколы
L2TP (Layer 2 Tunnelling Protocol) – использующийся при построения виртуальных частных сетей протокол второго уровня. L2TP включает в себя протоколы Layer 2 Forwarding (L2F) от компании Cisco и Point-to-Point Tunneling Protocol (PPTP) от Microsoft. В VPN cетях позволяет создавать туннели с необходимыми приоритетами доступа, однако, из-за отсутствия механизмов шифрования и аутентификации, используется совместно с шифрующим протоколом IPSec (IP-security).
Главным плюсом L2TP перед PPTP считается легкость в работе с брандмауэрами. Большинство из них адекватно воспринимают поток информации, поскольку L2TP пропускает данные и управляется через один порт UDP (User Datagram Protocol). Устаревший PPTP же, в свою очередь, отправляет пользовательскую информацию через GRE (Generic Routing Encapsulation), а управляющую через TCP. Кроме того, благодаря используемому протоколу IPSec, L2TP является более надежным в плане шифрования. Встроен во все современные операционные системы.
Преимущества L2TP протокола перед PPTP:
- Не блокируется брандмауэрами
- Обеспечивает более стабильное соединение
- Легче в настройке и работе
- Безопаснее благодаря дополнительным протоколам
- Не имеем серьезных уязвимостей
Однако, по сравнению с технологией OpenVPN протокол L2TP серьезно проигрывает в скорости работы, т.к. первый работает на базе открытого исходного кода и использует библиотеку SSL.
Что такое IPSec протокол
IPSec (IP Security) – созданный в середине 90-х протокол, включающий в себя более десятка стандартов повышающих безопасность в среде IP адресов. Чаще всего применяется для создания VPN соединений с определенным уровнем шифрования и аутентификации. По сути, работает на основе добавления уникальных заголовков к пакетам, передаваемым по виртуальной сети.
Немного о стандартах (дополнительных протоколах) включенных в сборку IPSec. RFC 2402 AH (Authentication Header) – протокол отвечающий за идентификацию. В зависимости от типа шифрования проверяет определенные части пакета на изменения, чем и гарантирует целостность. Однако иногда этот стандарт-протокол вызывает проблемы связанные с сетевым экраном, т.к. при прохождении через NAT во многих случаях изменяется IP адрес пакета. Соответственно, меняется и контрольная сумма, что приводит к «эффекту подмены».
RFC 2406 ESP (Encapsulating Security Protocol) – стандарт отвечающий за безопасность. В отличие от AH не отвечает как за целостность, так и за шифрование пакетов. Также работает по принципу инкапсуляции заголовка, что обязывает пользователя при использовании ESP/AH соответствующе настраивать свой FireWall.
RFC 2409 IKE (Internet Key Exchange protocol) – занимается обменом ключами между узлами VPN. Создает их автоматически, чем снимает проблему ручного создания и регулярной замены ключей. Использует 500 UDP порт, который и нужно добавлять в правила файерволла.
Подводя итоги можно сказать, что сам по себе L2TP, хотя и является обновленной версией PPTP, использовать можно только в связке с одним из способных шифровать трафик протоколов включенных в пакет IPSec. Сам же IPSec сочетает в себе более десяти протоколов-стандартов, которые появлялись и дорабатывались с течением времени. В целом, на сегодняшний день L2TP/IPSec иногда используются только в частных приватных сетях – анонимные VPN сервисы давно предпочитают универсальный OpenVPN, т.к. данная технология практически по всем параметрам, включая безопасность, превосходит любые другие протоколы и библиотеки.