Difference entre PPTP, L2TP et SSTP

On nous demande souvent quelles sont les différences entre les protocoles VPN. Voila ce que dit Microsoft sur le sujet :

Le tunneling autorise l’encapsulation d’un paquet d’un type de protocole dans le datagramme d’un protocole différent. Par exemple, VPN utilise le protocole PPTP pour encapsuler les paquets IP sur un réseau public tel qu’Internet. Une solution VPN basée sur le protocole PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer Two Tunneling Protocol ou SSTP (Secure Socket Tunneling Protocol) peut être configurée.

Les protocoles PPTP, L2TP et SSTP dépendent en grande partie des fonctionnalités spécifiées à l’origine pour le protocole PPP (Point-to-Point Protocol). Ce dernier a été conçu pour envoyer des données sur des connexions d’accès à distance ou des connexions point à point dédiées. Pour le protocole IP, le protocole PPP encapsule les paquets IP dans des trames PPP, puis transmet les paquets PPP encapsulés sur une liaison point à point. Le protocole PPP a été défini à l’origine comme protocole à utiliser entre un client d’accès à distance et un serveur d’accès à distance.

PPTP

Le protocole PPP autorise le chiffrement du trafic multiprotocole, puis son encapsulation dans un en-tête IP devant être envoyé sur un réseau IP ou un réseau public IP tel qu’Internet. Le protocole PPTP peut être utilisé pour les connexions d’accès à distance et VPN de site à site. Lors de l’utilisation d’Internet en tant que réseau public pour VPN, le serveur PPTP est un serveur VPN compatible PPTP avec une interface sur Internet et une autre interface sur l’intranet.

Encapsulation

Le protocole PPTP encapsule les trames PPP dans des datagrammes IP pour leur transmission sur le réseau. Il utilise une connexion TCP pour la gestion de tunnel et une version modifiée de GRE (Generic Routing Encapsulation) pour encapsuler les trames PPP pour les données tunnelées. Les charges utiles des trames PPP encapsulées peuvent être chiffrées, compressées ou les deux. La figure suivante illustre la structure d’un paquet PPTP contenant un datagramme IP.

Structure d’un paquet PPTP contenant un datagramme IP

Structure d'un paquet PPTP contenant un datagramme IP

Chiffrement

La trame PPP est chiffrée avec MPPE (Microsoft Point-to-Point Encryption) au moyen de clés de chiffrement générées à partir du processus d’authentification MS-CHAP v2 ou EAP-TLS. Les clients de réseau privé virtuel doivent utiliser le protocole d’authentification MS-CHAP v2 ou EAP-TLS pour que les charges utiles des trames PPP soient chiffrées. Le protocole PPTP tire parti du chiffrement PPP sous-jacent et encapsule une trame PPP précédemment chiffrée.

L2TP

Le protocole L2TP autorise le chiffrement du trafic multiprotocole, puis son envoi sur tout support prenant en charge la remise de datagramme point à point, tel qu’IP ou ATM (Asynchronous Transfer Mode). Le protocole L2TP est une combinaison de PPTP et de L2F (Layer 2 Forwarding), une technologie développée par Cisco Systems, Inc. L2TP représente les meilleures fonctionnalités de PPTP et L2F.

Contrairement à PPTP, l’implémentation Microsoft de L2TP n’utilise pas MPPE pour chiffrer les datagrammes PPP. Le protocole L2TP repose sur la sécurité IPsec (Internet Protocol security) en mode Transport pour les services de chiffrement. La combinaison de L2TP et IPsec porte le nom de L2TP/IPsec.

L2TP et IPsec doivent tous deux être pris en charge par le client VPN et le serveur VPN.

L2TP est installé avec le protocole TCP/IP.

Encapsulation

L’encapsulation des paquets L2TP/IPsec est constituée de deux couches :

Première couche : encapsulation L2TP

Une trame PPP (un datagramme IP) est enveloppée dans un en-tête L2TP et un en-tête UDP.

Structure d’un paquet L2TP contenant un datagramme IP

Structure d'un paquet L2TP contenant un datagramme IP

Deuxième couche : encapsulation IPsec

Le message L2TP résultant est ensuite enveloppé avec un en-tête et un code de fin ESP (Encapsulating Security Payload) IPsec, un code de fin d’authentification IPsec qui fournit l’intégrité de message et l’authentification, et un en-tête IP final. Dans l’en-tête IP se trouvent les adresses IP source et de destination qui correspondent au client VPN et au serveur VPN.

Chiffrement du trafic L2TP avec ESP IPsec

Chiffrement du trafic L2TP avec ESP IPsec

Chiffrement

Le message L2TP est chiffré avec DES (Data Encryption Standard) ou 3DES (Triple DES) au moyen de clés de chiffrement générées à partir du processus de négociation IKE (Internet Key Exchange).

SSTP

SSTP (Secure Socket Tunneling Protocol) est un nouveau protocole de tunneling qui utilise le protocole HTTPS sur le port TCP 443 pour faire passer le trafic à travers les pare-feu et les proxys Web qui peuvent bloquer le trafic PPTP et L2TP/IPsec. Le protocole SSTP fournit un mécanisme permettant d’encapsuler le trafic PPP sur le canal SSL du protocole HTTPS. L’utilisation de PPP permet la prise en charge de méthodes d’authentification fermes, telles qu’EAP-TLS. Le protocole SSL procure une sécurité de niveau transport avec une négociation de clés, un chiffrement et une vérification de l’intégrité améliorés.

Lorsqu’un client tente d’établir une connexion VPN SSTP, le protocole SSTP établit d’abord une couche HTTPS bidirectionnelle avec le serveur SSTP. Sur cette couche HTTPS, les paquets de protocole transitent en tant que charge utile de données.

Encapsulation

Le protocole SSTP encapsule les trames PPP dans des datagrammes IP pour leur transmission sur le réseau. SSTP utilise une connexion TCP (sur le port 443) pour la gestion de tunnel, ainsi que des trames de données PPP.

Chiffrement

Le message SSTP est chiffré avec le canal SSL du protocole HTTPS.

sécuriser internet

Choix parmi les protocoles VPN de tunneling

Lorsque vous choisissez parmi des solutions VPN d’accès à distance PPTP, L2TP/IPsec et SSTP, considérez les points suivants :

  • Le protocole PPTP peut être utilisé avec une large gamme de clients Microsoft, y compris Microsoft Windows 2000, Windows XP, Windows Vista et Windows 7, 8. Contrairement à L2TP/IPsec, PPTP ne nécessite pas l’utilisation d’une infrastructure à clé publique (PKI). Grâce au chiffrement, les connexions VPN PPTP assure la confidentialité des données (les paquets capturés ne peuvent pas être interprétés sans la clé de chiffrement). Les connexions VPN PPTP, en revanche, n’assurent pas l’intégrité des données (preuve que les données n’ont pas été modifiées en transit), ni l’authentification de l’origine des données (preuve que les données ont été envoyées par l’utilisateur autorisé).
  • Le protocole L2TP peut être utilisé uniquement avec les ordinateurs Windows 7, 8, Windows XP ou Windows Vista. L2TP prend en charge les certificats d’ordinateurs ou une clé prépartagée en guise de méthode d’authentification pour IPsec. L’authentification de certificat d’ordinateur, la méthode d’authentification recommandée, requiert une infrastructure PKI afin de délivrer des certificats à l’ordinateur serveur VPN et à tous les ordinateurs clients VPN. Grâce à IPsec, les connexions VPN L2TP/IPsec assurent la confidentialité, l’intégrité et l’authentification des données.Contrairement à PPTP et SSTP, L2TP/IPsec autorise l’authentification d’ordinateur au niveau de la couche IPsec et l’authentification utilisateur au niveau de la couche PPP.
  • Le protocole SSTP peut être utilisé uniquement avec les ordinateurs clients exécutant Windows Vista Service Pack 1 (SP1) ou Windows 7, 8. Grâce à SSL, les connexions VPN SSTP assurent la confidentialité, l’intégrité et l’authentification des données.
  • Les trois types de tunnels transportent les trames PPP par-dessus la pile de protocoles réseau. Par conséquent, les fonctionnalités communes de PPP, telles que les modèles d’authentification, la négociation IPv4 (Internet Protocol version 4) et IPv6 VPN (Internet Protocol version 6) et la protection d’accès réseau (NAP) demeurent identiques pour les trois types de tunnels.

Les commentaires sont fermés.