L2TP (Layer 2 Tunnel Protocol) เป็นโปรโตคอล VPN แต่มีข้อเสียที่สำคัญคือไม่มีการเข้ารหัสใดๆ นั่นเป็นเหตุผลที่มันถูกนำไปใช้พร้อมกับ IPsec การเข้ารหัส
L2TP (Layer 2 Tunnel Protocol) เป็นโปรโตคอล VPN แต่มีข้อเสียที่สำคัญคือไม่มีการเข้ารหัสใดๆ นั่นเป็นเหตุผลว่าทำไมมันจึงถูกนำไปใช้กับ IPsec เพื่อให้ความปลอดภัยและการเข้ารหัสแบบ end-to-end
L2TP และ IPsec เป็นโปรโตคอลสองแบบที่แตกต่างกันซึ่งช่วยให้คุณรักษาความปลอดภัยข้อมูลของคุณได้ L2TP เป็นโปรโตคอลอุโมงค์ ซึ่งหมายความว่าจะสร้างการเชื่อมต่อแยกต่างหากเพื่อให้ข้อมูลเดินทางผ่าน การรักษาความปลอดภัยประเภทนี้เรียกว่า "ข้อมูลระหว่างทาง"
การใช้งานทั่วไปสำหรับการรักษาความปลอดภัยประเภทนี้คือ VPN (เครือข่ายส่วนตัวเสมือน). IPsec ให้การเข้ารหัสที่เลเยอร์เครือข่าย ดังนั้นการรับส่งข้อมูลทั้งหมดที่ทำงานบนเครือข่าย IP มีการป้องกันจากการดักฟังหรือแก้ไขแพ็กเก็ตโดยเครือข่ายอื่น
คำว่า "อุโมงค์" มักจะหมายถึงเส้นทางทั้งหมดระหว่างจุดปลายสองจุด โดยที่แพ็กเก็ตจะถูกห่อหุ้มไว้ภายในแพ็กเก็ตอื่นเพื่อส่งผ่านเครือข่ายประเภทต่างๆ ในขณะที่ "การขนส่ง" โดยทั่วไปหมายถึงลิงก์หรือการเชื่อมต่อเฉพาะครั้งละหนึ่งรายการระหว่างสองหน่วยงาน
L2TP/IPsec ทำงานอย่างไร
Layer 2 Tunneling Protocol (L2TP) เป็นโปรโตคอลทันเนลที่ใช้เพื่อรองรับเครือข่ายส่วนตัวเสมือน (VPN) ไม่ได้ให้การเข้ารหัสหรือการรักษาความลับใด ๆ ด้วยตัวเอง แต่อาศัยโปรโตคอลการเข้ารหัสที่ส่งผ่านภายในอุโมงค์เพื่อให้ความเป็นส่วนตัว
โปรโตคอล L2TP/IPsec มีความปลอดภัยมากกว่า PPTP L2TP/IPsec รวมคุณสมบัติที่ดีที่สุดของสองโปรโตคอล VPN ที่ได้รับความนิยมสูงสุด – L2F และ PPTP – โดยไม่มีข้อเสีย เพื่อมอบเทคโนโลยี VPN ที่ดีที่สุดที่มีอยู่ในปัจจุบัน
L2TP สรุป PPP ในบรรทัดเสมือนที่ทำงานบน IP ดังนั้นจึงต้องใช้โปรโตคอล IP (เช่น IPv4 หรือ IPv6) โดยตัวมันเอง โปรโตคอลนี้ไม่ปลอดภัยหรือเข้ารหัส ด้วยเหตุนี้ จึงต้องใช้โปรโตคอลการเข้ารหัสเพื่อให้ความเป็นส่วนตัว ซึ่งหมายความว่าโปรโตคอลอื่น "อยู่ด้านบน" ของ L2TP เพื่อให้มีฟังก์ชันการรักษาความปลอดภัยที่ต้องการ
ประโยชน์ของ L2TP/IPsec
IPsec ย่อมาจากความปลอดภัยของ Internet Protocol ที่ให้ผลประโยชน์เฉพาะกับผู้ให้บริการอินเทอร์เน็ตที่มีผู้ใช้และแพ็คเก็ตควบคุม IPsec โดยตัวมันเองไม่มีกลไกสำหรับการตรวจสอบสิทธิ์หรือการกระจายคีย์ IPsec สามารถใช้เพื่อจัดหาช่องทางที่ปลอดภัยโดยการเข้ารหัสและถอดรหัสแพ็กเก็ตที่ส่งผ่านเครือข่ายที่ไม่ปลอดภัยเท่านั้น IPsec ร่วมกับ L2TP ให้ประโยชน์ดังต่อไปนี้สำหรับโปรโตคอล VPN tunneling:
การตรวจสอบสิทธิ์ผ่าน EAP หรือบัญชีผู้ใช้ภายในสำหรับไคลเอนต์เครือข่ายส่วนตัวเสมือน
การตรวจสอบความถูกต้องของข้อความและการตรวจสอบความสมบูรณ์ช่วยให้มั่นใจได้ว่าข้อความจะไม่ถูกแก้ไขและแหล่งที่มานั้นเป็นของแท้
ผู้ให้บริการอินเทอร์เน็ตสามารถรับ การเข้ารหัสและถอดรหัสโดยใช้สมมาตร คีย์เซสชันสำหรับการเชื่อมต่อ VPN
การตรวจสอบความถูกต้องร่วมกันทำให้มั่นใจได้ว่าเกตเวย์ IPsec กำลังพูดคุยกับไคลเอ็นต์ L2TP/IPsec ของแท้และไม่ใช่ผู้บุกรุกที่ปลอมแปลงเป็นหนึ่งเดียว
การปกป้องเครือข่ายส่วนตัวบนอินเทอร์เน็ต (VPN) เป็นการใช้งานหลักสำหรับ IPsec มาเป็นเวลานาน L2TP/IPsec ขยายความสามารถเหล่านั้นโดยทำให้การเข้าถึงระยะไกลเป็นเรื่องง่ายเหมือนที่เคยเป็นด้วยบริการต่างๆ เช่น DSL และการเข้าถึงอินเทอร์เน็ตด้วยเคเบิล
L2TP แตกต่างจาก PPTP อย่างไร
L2TP ใช้ข้อความ UDP ผ่านเครือข่าย IP สำหรับการบำรุงรักษาทันเนลและข้อมูลทันเนล PPTP มีการสร้างการเชื่อมต่อ TCP ซึ่งเข้ากันไม่ได้กับ NAT L2TP มีความสามารถในการส่งผ่านอุปกรณ์ NAT ได้ แต่ต้องกำหนดค่าไว้ที่ปลายทั้งสองด้านของการเชื่อมต่อ PPTP ใช้พอร์ต TCP 1723 และโปรโตคอล IP 47 Generic Routing Encapsulation (GRE)
ทั้ง L2TP และ PPTP ถูกนำไปใช้โดยกำเนิดในระบบปฏิบัติการ Windows ดังนั้นจึงมีไคลเอ็นต์ L2TP/IPsec ในตัวพร้อมใช้งาน ไฟร์วอลล์และเราเตอร์บางตัวรองรับโหมดพาสซีฟ L2TP ซึ่งทำให้การปรับใช้สำหรับระบบปฏิบัติการมือถือง่ายขึ้นมาก
IPSec NAT-T คืออะไร
NAT Traversal (NAT-T) เป็นกลไกที่ช่วยให้ IPSec peers สามารถเจรจาและสร้าง non-IPsec, UDP ห่อหุ้ม ESP SA ระหว่างกัน ซึ่งช่วยให้พวกเขาสามารถสื่อสารได้อย่างปลอดภัยโดยไม่ต้องให้แต่ละฝ่ายมีที่อยู่สาธารณะที่สามารถกำหนดเส้นทางได้ ข้อกำหนดในการปรับใช้เพียงอย่างเดียวคือมีหรือไฟร์วอลล์ที่รองรับพอร์ต UDP 4500
อัลกอริธึมการเข้ารหัส การรับรองความถูกต้อง และแฮชที่ IPSec สามารถใช้ได้คืออะไร
IPSec ใช้อัลกอริธึมการเข้ารหัสหลายแบบในโหมดต่างๆ เพื่อให้บริการเข้ารหัส โหมดที่พบบ่อยที่สุดคือ: โหมดการขนส่ง – เข้ารหัสเฉพาะส่วนข้อมูลของแพ็กเก็ต IP ไม่ใช่ส่วนหัว IP (ESP) หรือส่วนหัวการตรวจสอบ (AH) สามารถใช้เพื่อให้การปกป้องข้อมูลที่เป็นความลับ โหมดทันเนล – เข้ารหัสส่วนข้อมูลทั้งหมดของแพ็กเก็ต IP รวมถึงส่วนหัวและเพย์โหลด
Authentication Header (AH) ให้การรับรองความถูกต้อง ความสมบูรณ์ และการป้องกันการเล่นซ้ำสำหรับเนื้อหาแพ็กเก็ตทั้งหมด เมื่อรวมกับส่วนหัวของ ESP ทำให้สามารถรับรองความถูกต้องและความสมบูรณ์ของแพ็กเก็ต IP ตลอดจนป้องกันการโจมตีซ้ำ โปรโตคอลการเข้ารหัสที่รองรับ ได้แก่ Authentication Header (AH), Encapsulating Security Payload (ESP)
สรุป
L2TP/IPsec เป็นโปรโตคอลทันเนลที่พัฒนาโดย Cisco Systems, Inc. โปรโตคอลนี้ให้ความสามารถในการส่งข้อมูลผ่านเครือข่าย IP ได้อย่างปลอดภัย ซึ่งอาจรวมถึงเครือข่ายสาธารณะ เช่น อินเทอร์เน็ต โปรโตคอล L2TP/IPsec ใช้สำหรับการเชื่อมต่อ VPN การเข้าถึงระยะไกล เนื่องจากมีคุณสมบัติด้านความปลอดภัยและตัวเลือกการเข้ารหัสที่กำหนดค่าได้
โพสต์บล็อกนี้จะให้ภาพรวมของโปรโตคอล L2TP/IPsec L2TP/IPsec เป็นโปรโตคอล VPN ที่ให้ความปลอดภัยมากกว่า PPTP และ SSTP แต่มีความปลอดภัยน้อยกว่า OpenVPN. โดยทั่วไปจะใช้กับระบบปฏิบัติการ Microsoft Windows และ Mac OS X บนเครือข่ายส่วนตัว เช่น เครือข่ายในบ้านหรือสำนักงานขนาดเล็ก