PPTP与IPSec的安全性

对于“拨号” VPN，PPTP或IPSEC VPN是否比其他VPN更安全？为什么？

就像L2TP一样，PPTP是一种隧道协议-它不提供安全性。

PPTP使用MPPE进行加密，与IPSEC（L2TP常用）相比，它可能有一些缺点。IPSEC也可以单独用作隧道协议，这很普遍。

通常，IPSEC的一个优势是，如果它与用户级别之外的证书一起用于计算机级别的身份验证，则可以与IPSEC一起使用。L2TP强制执行此操作，但仅IPSEC可以与预共享密钥一起使用，就像PPTP中的加密可以使用一样-我认为将安全级别降低到相似的级别。

这些天来，PPTP中的大多数旧漏洞已得到修复，您可以将其与EAP结合使用，以增强它的安全性，使其也需要证书。我会说没有明确的赢家，但是PPTP较旧，重量更轻，在大多数情况下都可以使用，并且客户端很容易预装，这使其具有通常无需EAP即可非常容易部署和配置的优点。

但是，通过计算机级身份验证获得更安全的东西可能使IPSEC在开始时设计（特别是L2TP）具有优势-因此，与PPTP一起用于EAP相比，按要求进行部署可能更容易。

如果我们将PPTP与直接使用L2TP进行比较-由于在多个级别上对体面身份验证的要求，L2TP会获得可观的收益，从理论上讲，防止PPTP无法阻止多种情况。

当前的观点是IPSec更好，但是PPTP不存在（已知）完整的漏洞利用方法，因此它仍然很常用。IPSec当然是较新的，并且具有更多可选的附加功能，并且（IMHO）支持更广泛。

许多人批评PPTP发送一些未加密的控制数据包，但是，这并没有带来很大的利用，只是使人们认为某个地方必须有一个。我认为其中很多只是残留的酸葡萄，因为PPTP是Microsoft的一项举措，并且涉及专利（它们最近允许开放实施，因此，这并不是什么大问题。）

应当指出，Moxie Marlinspike和David Hulton对MS-CHAPv2的新攻击使PPTP隧道变得不那么理想。基于此，我将使用基于IPSEC或SSL VPN的隧道进行远程访问。

更多信息：

• 信息安全文章覆盖攻击
• IT安全文章涵盖攻击

好的答案，但有些不准确。他们可能对L2TP的作用给出错误的想法。

L2TP不使用IPsec。它不是基于IPSec构建的。L2TP是“第2级隧道协议”，它仅执行一项功能-隧道传输其他协议。它不提供任何种类的安全性，仅仅是因为它不是故意提供的。这就是为什么它通常与IPSec一起使用的原因。两种协议一起使用并不意味着它们以任何方式相互依赖。可以在不使用IPSec的情况下使用L2TP，就像可以在不使用L2TP的情况下使用IPSec一样。谈论L2TP的安全性没有任何意义-没有。当谈论IPSec / L2TP VPN的安全性时，他谈论的是IPSec的安全性。

如果您正在考虑使用Microsoft PPTP，则可能会发现以下有用：PPTP常见问题解答

此外，PPTP与IPSec有点像鱼与自行车-您可能想看看L2TP而不是纯IPSec（L2TP是建立在IPSec上的，并且在Windows中与PPTP一样受支持，并且具有不错的开源实现）。