¿Es PPTP o IPSEC VPN más seguro que el otro para VPN 'dial in'? De ser así, ¿por qué?
¿Es PPTP o IPSEC VPN más seguro que el otro para VPN 'dial in'? De ser así, ¿por qué?
Respuestas:
PPTP es un protocolo de túnel como lo es L2TP: no proporciona seguridad.
PPTP usa MPPE para el cifrado que puede tener algunas desventajas en comparación con IPSEC (que se usa comúnmente con L2TP). IPSEC también se puede usar solo como un protocolo de túnel y esto es bastante común.
Una ventaja con IPSEC en general sería si se usa con certificados para autenticar a nivel de máquina además del nivel de usuario. L2TP hace cumplir esto, pero IPSEC solo podría usarse con solo una clave precompartida, al igual que el cifrado en PPTP, lo que reduce el nivel de seguridad a niveles similares en mi opinión.
La mayoría de las vulnerabilidades antiguas en PPTP se corrigen en estos días y puede combinarlo con EAP para mejorarlo y requerir certificados también. Diría que no hay un ganador claro, pero PPTP es más antiguo, más liviano, funciona en la mayoría de los casos y los clientes se preinstalan fácilmente, lo que le da la ventaja de que normalmente es muy fácil de implementar y configurar sin EAP.
Sin embargo, obtener algo más seguro mediante la autenticación a nivel de máquina podría dar a IPSEC una ventaja al estar diseñado para que esto comience (L2TP en particular) y, por lo tanto, posiblemente sea más fácil de implementar con ese requisito que hacer que PPTP funcione con EAP.
Si comparamos PPTP con L2TP directamente, L2TP gana bastante debido a los requisitos de autenticación decente en varios niveles, evitando varios escenarios que PPTP no evitará (en teoría).
La sabiduría actual es que IPSec es mejor, pero no existen exploits completos (conocidos) para PPTP, por lo que todavía se usa comúnmente. IPSec es ciertamente más nuevo y tiene más extras opcionales y un soporte más amplio (en mi humilde opinión).
Mucha gente critica que PPTP envía algunos paquetes de control sin cifrar, pero, nuevamente, esto no ha resultado en una gran vulnerabilidad, solo hace que la gente piense que DEBE haber uno allí en algún lugar. Creo que gran parte son solo uvas agrias residuales porque PPTP fue una iniciativa de Microsoft y la patente gravaba (recientemente permitieron implementaciones abiertas, por lo que esto no es tan preocupante).
Cabe señalar que un nuevo ataque en MS-CHAPv2 por Moxie Marlinspike y David Hulton hace que los túneles PPTP sean menos deseables. Basado en esto, iría con un túnel basado en VPN IPSEC o SSL para acceso remoto.
Más información:
Buenas respuestas, pero algo imprecisas. Pueden dar ideas erróneas sobre el papel de L2TP.
L2TP no usa IPsec. No está construido en IPSec. L2TP es el "Protocolo de túnel de nivel 2", que realiza una y solo una función: hacer un túnel con otros protocolos. No proporciona ningún tipo de seguridad, simplemente porque no está destinado a hacerlo. Y eso es exactamente por qué generalmente se usa junto con IPSec. Los dos protocolos que se usan juntos no significan que sean dependientes de ninguna manera. L2TP se puede usar sin IPSec, al igual que IPSec se puede usar sin L2TP. No tiene ningún sentido hablar de seguridad de L2TP; no hay ninguno. Cuando se habla de seguridad de IPSec / L2TP VPN, se habla de seguridad de IPSec.
Si está considerando microsoft PPTP, puede encontrar esto útil: PPTP FAQ
Además, PPTP vs. IPSec es un poco Fish vs. Bicycles: es posible que desee mirar L2TP en lugar de IPSec directo (L2TP está construido en IPSec, y es compatible con Windows al igual que PPTP, y tiene implementaciones decentes de código abierto).