Podkast 23T5 VPN SSTP kontra VPN L2TP:IPSEC

WERSJA TEKSTOWA

Cześć. Witam Cię w dzisiejszym odcinku mojego podkastu. Dzisiejszy temat to porównanie protokołów VPN SSTP i L2TP z IPSEC. Zacznijmy może od SSTP czyli Security Socket Transport Protocol czyli protokół, który został stworzony przez Microsoft i zaimplementowany od Windowsa Visty. Ma już więc trochę lat.

Na początek może największe minusy. Jest to protokół zamknięty, czyli nie ma wglądu takiego powszechnego na temat tego jak Microsoft zaimplementował ten protokół. Jest on oparty na SSL 3.0, który jest już wiele lat nie używany i uznawany za niebezpieczny pod kątem połączeń przeglądarkowych. Znany atak na ten zestaw protokołu jest taki, że można pewne dane wstrzykiwać w odpowiednim momencie przy nawiązywaniu sesji SSL. W przypadku protokołu SSTP jest to o tyle trudne, że trzeba by mieć kontrole nad infrastrukturą. Czyli trzeba by mieć takiego przygotowanego Access Pointa co już bardzo ogranicza możliwość realnego ataku i wpływu na to bezpieczeństwo tego protokołu. Więc można to rozważyć, jeżeli ten typ użycia nie jest dla jakiś super krytycznych danych.

Przechodząc do zalet: największa jest taka, że klient jest w systemie Microsoft gotowy, stworzony i wystarczy go tylko skonfigurować. Poważnym minusem w protokole SSTP jest to, że możemy weryfikować certyfikat serwera ale serwer już nie sprawdza tego certyfikatu klienta przynajmniej przy takiej typowej konfiguracji. Więc to jest coś co warto rozważyć.

Jeżeli chodzi o protokół L2TP – Layer 2 Tunneling Protocol – jest to protokół tunelowania ale uznaje się, że bez żadnego realnego poziomu zabezpieczenia. Krótko mówiąc jeżeli chcemy takie tunelowanie stworzyć sobie w zaufanej sieci to można to zrobić i jest to nawet często wykonywane przez operatorów. Jeśli ktoś kiedyś by używał lub nadal używa w oparciu o protokół PPP czyli np. takie połączenia wdzwaniane ADSL – najbardziej popularny przykład ze strony dużego operatora w Polsce to Neostrada. Odpowiednie ADSL’owe połączenia u innych operatorów działają w bardzo podobny sposób, czyli mamy po prostu konto, którym się logujemy i jest to najczęściej wykorzystywane w przypadku wykorzystania protokołu PPP.

Gdy mówimy o powiązaniu to L2TP możemy łączyć z protokołem PPP. Możemy stworzyć taką warstwę drugą razem z trybem Point-to-Point Protocol. Jeśli chodzi natomiast o dodatnie IP SEC’a to możemy to zrobić i oczywiście należy to robić bo jest to znaczne zwiększenie poziomu bezpieczeństwa. Jest taka możliwość od wielu lat, ten protokół jest bardzo szeroko zaimplementowany na różnych urządzeniach. Minusem jest wielokrotne przetwarzanie pakietu. Mamy dwa tunele w związku z tym wydajność tego tunelowania i VPN’a jest niska. Jeżeli porównamy to do Open VPN’a to wychodzą gorsze wyniki przepustowości niż w jego przypadku gdzie przypomnę Open VPN jest oparty o TLS’a. Czyli też na poziomie szyfrowania związanego z czwartą warstwą. To jest porównanie co można zrobić na którym protokole.

Plusem jest jeszcze to, że L2TP razem z IP SEC’iem możemy tylko konfigurując klienta Windows możemy uruchomić taki tunel. To jest bez wątpienia duża zaleta jeśli nie chcemy dodatkowego klienta instalować na stacjach końcowych w naszym środowisku. Oba te protokoły są możliwe do zastosowania już od dawna. Są dobrze opisane jak je implementować. Na obu z nich jest ta sama duża zaleta, że mają gotowego klienta na systemach Microsoft. Można oczywiście w innych systemach też stosować tego typu implementacje ale jeśli ktoś planuje też na urządzeniach mobilnych takie tunele budować czy też w systemach jakiś Mac OS lub innych Linuxowych Systemach to i tak najczęściej musi doinstalować odpowiednio dodatkowego klienta a wtedy już cały plus tego, że jest to gotowe w systemie operacyjnym znika. Czyli w takim przypadku warto się zainteresować np. Open VPN’em. Tak to wygląda w przypadku wad i zalet.

Oba protokoły są już leciwe, z tą tylko różnicą, że w przypadku L2TP i IP SEC’a ten drugi jest pewnym framework’iem, który możemy wykorzystać i aktualizowane są tam algorytmy szyfrujące i sposoby np negocjacji klucza czyli protokół IKE, IKE w wersji drugiej. Są tam cały czas rozwijane pewne nowe funkcjonalności, które w ramach nowoczesnego połączenia VPN’owego się stosuje. Natomiast w przypadku SSTP ten protokół praktycznie już nie jest rozwijany i jest taki, jaki był w związku z tym jego poziom bezpieczeństwa należy traktować z dużym dystansem.

Co do IP SEC’a to w zasadzie jedyna rzecz, którą znalazłem budzi wątpliwości niektórych osób to to, że NSA czyli Narodowa Agencja Bezpieczeństwa w Stanach Zjednoczonych na podstawie tych danych, które Snowden przekazał, wykonywała pewne czynności czy naciski, które miałyby umożliwić tej agencji wgląd w rozwiązania oparte o szyfrowanie IP SEC’iem. Tak więc jeśli ktoś ma wątpliwości co do swoich danych i bardzo go to martwi, to jest to element do rozważenia w przypadku kontekstu IP SEC’a. Innym elementem, związanym bezpośrednio z IP SEC’iem jest L2TP, jest to, że kompleksowość implementacji IP SEC’a też jest pewnym minusem, który jest podkreślany w przypadku tej implementacji.

W związku z tym z tych dwóch protokołów SSTP i L2TP : IP SEC ci, którzy się wypowiadają na ten temat i moja opinia jest podobna (przynajmniej tych, których ja tam cenię). Mówią oni, że IP SEC z L2TP jest pod kontem bezpieczeństwa w porządku o ile zostanie właściwie zaimplementowany. Czyli krótko mówiąc opcje które wybierzemy są właściwe i sposób implementacji jest też bezbłędny przez tych, którzy używają tej implementacji. Tu mówimy najcześciej o jakiś gotowych bibliotekach bo tak to najczęściej jest implementowane, mało kto, nawet mało który z producentów pisze bezpośrednio od początku, od zera swoją wersję implementacji IP SEC’a, najczęściej jest to oparte o jakieś publiczne open sourcowe biblioteki. Uważam że ma to pewien plus bo jeżeli te biblioteki są publiczne i są często używane to najczęściej też są audytowane głównie przez te firmy, które wykorzystują produkcyjnie czy też w ramach swoich komercyjnych rozwiązań te biblioteki i testują swoje produkty i w ramach tych testów wychodzą pewne podatności to wtedy automatycznie jest to też zgłaszane i poprawiane w tych publicznych bibliotekach.

Ma to moim zdaniem duże plusy i jeżeli ja miałbym wybierać jeden z tych dwóch protokołów to wydaje mi się, że zdecydowanie L2Tp : IP SEC chyba, że byłby to problem wydajnościowy to wtedy bym myślał o innym trybie ale raczej jeżeli byłby to taki kłopot to szedłbym w stronę czystego IP SEC’a a nie SSTP. To tak z mojego doświadczenia. Ciekaw jestem co Ty myślisz o tym temacie więc jeśli masz jakiś komentarz do tego albo swoją opinię lub swoje doświadczenie to oczywiście napisz pod tym filmem. Chętnie przeczytam jak widzisz tą sytuację.

Na dziś dziękuję i do usłyszenia już za tydzień.