Функции VPN по защите данных
Подключение любой корпоративной сети к публичной вызывает два типа угроз:
несанкционированный доступ к ресурсам локальной сети, полученный в результате входа в эту сеть;несанкционированный доступ к данным при передаче трафика по публичной сети.
Для создания защищенного канала средства VPN используют процедуры шифрования, аутентификации и авторизации.
Шифрование. Методов шифрования довольно много, поэтому важно, чтобы на концах туннеля использовался один и тот же алгоритм шифрования. Кроме того, для успешного дешифрования данных источнику и получателю данных необходимо обменяться ключами шифрования. Следует отметить, что шифрование сообщений необходимо не всегда. Часто оно оказывается довольно дорогостоящей процедурой, требующей дополнительных приставок для маршрутизаторов, без которых они не могут одновременно с шифрованием обеспечивать приемлемый уровень быстродействия.
Аутентификация. Под аутентификацией понимается определение пользователя или конечного устройства. Аутентификация позволяет устанавливать соединения только между легальными пользователями и, соответственно, предотвращает доступ к ресурсам сети несанкционированных пользователей.
В процедуре участвуют две стороны: одна доказывает свою аутентичность, а другая ее проверяет и принимает решение.
Авторизация. Авторизация подразумевает предоставление абонентам различных видов услуг. Каждому пользователю предоставляются определенные администратором права доступа. Эта процедура выполняется после процедуры аутентификации и позволяет контролировать доступ санкционированных пользователей к ресурсам сети.
IPSec VPN
Internet Protocol Security относится к наиболее распространенным и популярным технологиям VPN. Стандарт IPSec обеспечивает высокую степень гибкости, позволяя выбирать нужный режим защиты, а также позволяет использовать различные алгоритмы аутентификации и шифрования данных. Режим инкапсуляции пакетов дает возможность изолировать адресные пространства клиента и провайдера за счет применения двух IP адресов – внешнего и внутреннего.
IPSec, как правило, применяется для создания VPN, поддерживаемых провайдером, – туннели в них строятся на базе устройств клиента, но конфигурируются они удаленно и управляются провайдером. Технология IPSec позволяет решать следующие задачи по установлению и поддержанию защищенного канала:
аутентификацию пользователей или компьютеров при инициализации канала; шифрование и аутентификацию передаваемых данных между конечными точками канала; автоматическое снабжение точек секретными ключами, необходимыми для работы протоколов аутентификации и шифрования данных.
Недостатком данной технологии является тот факт, что из всех свойств виртуальной сети технология IPSec реализует только защищенность и изолированность адресного пространства. Пропускную способность и другие параметры QoS она не поддерживает. Кроме того, минусом IPSec является и его ориентированность исключительно на IP-протокол.
MPLS TE
Для решения задачи TE технология MPLS использует расширения протоколов маршрутизации, работающих на основе алгоритма состояния связей. Сегодня такие расширения стандартизованы для протоколов OSPF и IS-IS. Данные протоколы, в отличие от дистанционно-векторных протоколов, к которым относится, например, RIP, дают маршрутизатору полную топологическую информацию о сети. Их объявления содержат информацию о маршрутизаторах и сетях, а также о физических связях между ними. Каждая связь характеризуется текущим состоянием работоспособности и метрикой, в качестве которой используется величина, обратная пропускной способности канала.
Для решения задачи TE в протоколы OSPF и IS-IS включены новые типы объявлений для распространения по сети информации о номинальной и незарезервированной (доступной для потоков TE) пропускной способности каждой связи. Таким образом, ребра результирующего графа сети, создаваемого в топологической базе каждого маршрутизатора, будут маркированы этими двумя дополнительными параметрами (см. рис. 13.1).
Рис. 13.1. Граф сети
Располагая таким графом, а также параметрами потоков, для которых нужно определить пути TE, маршрутизатор может найти рациональное решение, удовлетворяющее, например, одному из сформулированных выше ограничений на коэффициенты использования ресурсов сети, обеспечив тем самым ее сбалансированную загрузку. Для упрощения задачи оптимизации выбор путей для некоторого набора потоков может осуществляется по очереди, при этом в качестве ограничения выступает суммарная загрузка каждого ресурса сети. Обычно считается, что внутренней производительности маршрутизатора достаточно (в среднем) для обслуживания любого трафика, который способны принять интерфейсы маршрутизатора. Поэтому в качестве ограничений выступают только максимально допустимые значения коэффициентов загрузки каналов связи, устанавливаемые индивидуально или же имеющее общее значение. Решение задачи определения маршрута с учетом ограничений получило название Constrained-based Routing, а протокол OSPF с соответствующими расш ирениями – Constrained SPF, или CSPF.
Понятно, что поиск путей TE по очереди снижает качество решения – при одновременном рассмотрении всех потоков можно найти более рациональную загрузку ресурсов. В примере, показанном на рис. 13.2, ограничением является максимально допустимое значение коэффициента использования ресурсов, равное 0,65.
В варианте 1 решение было найдено при очередности рассмотрения потоков 1 –> 2 –> 3. Для первого потока был выбран путь A-B-C, так как в этом случае он, с одной стороны, удовлетворяет ограничению (все ресурсы вдоль пути – каналы A-B, A-C и соответствующие интерфейсы маршрутизаторов оказываются загруженными на 0,5/1,5 = 0,33), а с другой – обладает минимальной метрикой (65 + 65 = 130). Для второго потока также был выбран путь A-B-C, так как и в этом случае ограничение удовлетворяется – результирующий коэффициент использования оказывается равным (0,5 + 0,4)/1,5 = 0,6. Третий поток направляется по пути A-D-E-C и загружает ресурсы каналов A-D, D-E и E-C на 0,3 (метод расчета метрик канала был описан в предыдущей лекции).
Рис. 13.2. Варианты загрузки ресурсов
Решение 1 можно назвать удовлетворительным, так как коэффициент использования любого ресурса в сети не превышает 0,6.
Однако существует лучший способ, представленный в варианте 2. Здесь по верхнему пути A-B-C были направлены потоки 2 и 3, а поток 1 – по нижнему пути A-D-E-C. Ресурсы верхнего пути оказываются загружены на 0,46, а нижнего – на 0,5, т. е. налицо более равномерная загрузка ресурсов, а максимальный коэффициент использования по всем ресурсам сети не превышает 0,5. Этот вариант может быть получен при одновременном рассмотрении всех трех потоков с учетом ограничения min (max Ki) или же при рассмотрении потоков по очереди в последовательности 2 –> 3 –> 1.
Тем не менее в производимом сегодня оборудовании применяется вариант MPLS TE с последовательным рассмотрением потоков. Он проще в реализации и ближе к стандартным для протоколов OSPF и IS-IS процедурам нахождения кратчайшего пути для одной сети назначения.
В технологии MPLS TE информация о найденном рациональном пути используется полностью – т. е. запоминается не только первый транзитный узел, как в основном режиме маршрутизации IP, а все промежуточные узлы пути вместе с начальным и конечным, т. е. маршрутизация производится от источника. Поэтому достаточно, чтобы поиском путей занимались только пограничные LSR сети, а внутренние – лишь поставляли им информацию о текущем состоянии сети, которая необходима для принятия решений. Такой подход обладает несколькими преимуществами по сравнению с распределенной моделью поиска пути, лежащей в основе стандартных протоколов маршрутизации IP:
он позволяет использовать "внешние" решения, когда пути находятся какой-либо системой оптимизации сети в автономном режиме, а потом прокладываются в сети; каждый из пограничных LSR может работать по собственной версии алгоритма, в то время как при распределенном поиске на всех LSR необходим идентичный алгоритм, что усложняет построение сети с оборудованием разных производителей; такой подход разгружает внутренние LSR от работы по поиску путей.
После нахождения пути, независимо от того, найден он был пограничным LSR или внешней системой, его необходимо установить. Для этого в MPLS TE используется специальный протокол сигнализации, который умеет распространять по сети информацию о явном (explicit) маршруте. Сегодня в MPLS TE определено два таких протокола: RSVP с расширениями TE и CR-LDP (таблица 13.1).
При установлении нового пути в сообщении сигнализации наряду с последовательностью адресов пути указывается также и резервируемая пропускная способность. Каждый LSR, получив такое сообщение, вычитает запрашиваемую пропускную способность из пула свободной пропускной способности соответствующего интерфейса, а затем объявляет остаток в сообщениях протокола маршрутизации.
Используемый транспортный протокол | TCP | Исходный IP |
Надежность операторского класса | Нет | Да |
Поддержка трафика "много точек – точка" | Да | Да |
Поддержка вещательной рассылки | Нет | Нет |
Поддержка слияния LSP | Да | Да |
Явная маршрутизация | Со строгими и нестрогими участками маршрута | Со строгими и нестрогими участками маршрута |
Ремаршрутизация LSP | Да | Да, путем записи маршрута |
Вытеснение потоков в LSP | Да, на основе приоритета | Да, на основе приоритета |
Средства безопасности | Да | Да |
Защита LSP | Да | Да |
Состояние LSP | Жесткое | Нежесткое |
Регенерация состояния LSP | Не требуется | Периодическая, по участкам |
Резервирование совместно используемых ресурсов | Нет | Да |
Обмен параметрами трафика | Да | Да |
Управление трафиком | В прямом направлении | В обратном направлении |
Авторизация пользователей | Неявная | Явная |
Индикация протокола уровня 3 | Нет | Да |
Ограничения в зависимости от класса ресурса | Да | Нет |
MPLS VPN
Технология MPLS в настоящее время является одной из наиболее перспективных технологий создания VPN.
Использование MPLS для построения VPN позволяет сервис-провайдерам быстро и экономично создавать защищенные виртуальные частныеи сети любого размера в единой инфраструктуре.
Сеть MPLS VPN делится на две области: IP-сети клиентов и внутренняя (магистральная) сеть провайдера, которая служит для объединения клиентских сетей. В общем случае у каждого клиента может быть несколько территориально обособленных сетей IP, каждая из которых в свою очередь может включать несколько подсетей, связанных маршрутизаторами. Такие территориально изолированные сетевые элементы корпоративной сети принято называть сайтами. Принадлежащие одному клиенту сайты обмениваются IP-пакетами через сеть провайдера MPLS и образуют виртуальную частную сеть этого клиента. Обмен маршрутной информацией в пределах сайта осуществляется по одному из внутренних протоколов маршрутизации IGP. Структура MPLS VPN предполагает наличие трех основных компонентов сети:
Customer Edge Router, CE – пограничный маршрутизатор клиента (Edge LSR в терминологии MPLS); Provider Router, P – внутренний маршрутизатор магистральной сети провайдера (LSR в терминологии MPLS); Provider Edge Router, PE – пограничный маршрутизатор сети провайдера.
увеличить изображение
Рис. 13.4. MPLS VPN
Пограничные маршрутизаторы клиента служат для подключения сайта клиента к магистральной сети провайдера. Эти маршрутизаторы принадлежат сети клиента и ничего не знают о существовании VPN. CE-маршрутизаторы различных сайтов не обмениваются маршрутной информацией непосредственно и даже могут не знать друг о друге. Адресные пространства подсетей, входящих в состав VPN, могут перекрываться, т.е. уникальность адресов должна соблюдаться только в пределах конкретной подсети. Этого удалось добиться преобразованием IP-адреса в VPN-IP-адрес и использованием протокола MP-BGP для работы с этими адресами. Считается, что CE-маршрутизатор относится к одному сайту, но сайт может принадлежать к нескольким VPN.
К PE- маршрутизатору может быть подключено несколько CE-маршрутизаторов, находящихся в разных сайтах и даже относящихся к разным VPN. Маршрутизаторы CE не обязаны поддерживать технологию многопротокольной коммутации, поддержка MPLS нужна только для внутренних интерфейсов PE маршрутизаторов и, конечно, для всех интерфейсов маршрутизаторов P. По функциональному построению более сложными являются пограничные маршрутизаторы сети провайдера. На них возлагается функция поддержки VPN, а именно, разграничение маршрутов и данных, поступающих от разных клиентов. Кроме того, эти маршрутизаторы служат оконечными точками путей LSP между сайтами заказчика.
Каждый PE-маршрутизатор должен поддерживать столько таблиц маршрутизации, сколько сайтов пользователей к нему подсоединено, то есть на одном физическом маршрутизаторе организуется несколько виртуальных. Причем маршрутная информация, касающаяся конкретной VPN, содержится только в PE маршрутизаторах, к которым подсоединены сайты данной VPN. Таким образом решается проблема масштабирования, неизбежно возникающая в случае наличия этой информации во всех маршрутизаторах сети оператора. Под каждый новый сайт клиента РЕ создает отдельную ассоциированную таблицу маршрутизации. Каждой ассоциированной таблице маршрутизации в маршрутизаторе PE присваивается один или несколько атрибутов RT, которые определяют набор сайтов, входящих в конкретную VPN. Помимо этого, маршрут может быть ассоциирован с атрибутом VPN of Origin, который однозначно идентифицирует группу сайтов и соответствующий маршрут, объявленный одним из маршрутизаторов этих сайтах; и с атрибутом Site of Origin, идентифицирующим сайт, от которого маршрутизатор РЕ получил информацию о данном маршруте. Через маршрутизаторы PE проходит невидимая граница между зоной клиентских сайтов и зоной ядра провайдера. По одну сторону располагаются интерфейсы, через которые PE взаимодействует с маршрутизаторами P, а по другую – интерфейсы, к которым подключаются сайты клиентов. С одной стороны на PE поступают объявления о маршрутах магистральной сети, с другой стороны – объявления о маршрутах в сетях клиентов.
Ограничение области распространения маршрутной информации пределами отдельных VPN изолирует адресные пространства каждой VPN, позволяя применять в ее пределах как публичные адреса Интернет, так и частные (private) адреса.
Всем адресам адресного пространства одной VPN добавляется префикс, называемый различителем маршрутов (Route Distinguisher, RD), который уникально идентифицирует эту VPN. В результате на маршрутизаторе PE все адреса, относящиеся к разным VPN, обязательно будут отличаться друг от друга, даже если они имеют совпадающую часть – адрес IP.
Обмен маршрутной информацией между сайтами каждой отдельной VPN выполняется под управлением протокола MP-BGP (Multiprotocol BGP).
MPLS не обеспечивает безопасность за счет шифрования и аутентификации, как это делает IPSec, но допускает применение данных технологий как дополнительных мер защиты. Провайдер MPLS может предлагать клиентам услуги гарантированного качества обслуживания при использовании методов Traffic Engineering или DiffServ.
Виртуальные сети VPN MPLS ориентированы на построение защищенной корпоративной сети клиента на базе частной сетевой инфраструктуры одной компании. Данный вариант организации сочетает в себе преимущества применения протокола IP с безопасностью частных сетей и предоставляемым качеством обслуживания, которые дает технология MPLS. Сети MPLS VPN больше всего подходят для создания корпоративного пространства для электронной коммерции, обеспечивающего единую сетевую среду для подразделений корпорации и организацию экстрасетей. Они также могут стать основой для электронной коммерческой деятельности предприятия.
Основы VPN
Виртуальная сеть – это выделенная сеть на базе общедоступной сети, поддерживающая конфиденциальность передаваемой информации за счет использования туннелирования и других процедур защиты. В основе технологии VPN лежит идея обеспечения доступа удаленных пользователей к корпоративным сетям, содержащим конфиденциальную информацию, через сети общего пользования.
Проводя сравнение между частными и виртуальными частными сетями, следует выделить несомненные преимущества VPN:
технология VPN позволяет значительно снизить расходы по поддержанию работоспособности сети: пользователь платит только абонентскую плату за аренду канала. Кстати, аренда каналов также не вызывает каких-либо затруднений вследствие широкомасштабности сети Интернет; удобство и легкость при организации и перестроении структуры сети.
Разработка единой модели обслуживания виртуальной частными сетями сети могла бы упростить сетевые операции, но такой подход не может удовлетворить различным требованиям клиентов, так как они уникальны. Каждый клиент предъявляет свои требования к безопасности, числу сайтов, сложности маршрутизации, критичным приложениям, моделям и объемам трафика. Все сети VPN условно можно разделить на три основных вида:
внутрикорпоративные VPN (Intranet VPN); межкорпоративные VPN (Extranet VPN): VPN с удаленным доступом (Remote Access VPN).
Интрасеть представляет собой наиболее простой вариант VPN, он позволяет объединить в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи.
Экстрасеть – вариант построения VPN "Экстрасеть", предназначенный для обеспечения доступа из сети одной компании к ресурсам сети другой, уровень доверия к которой намного ниже, чем к своим сотрудникам. Поэтому, когда несколько компаний принимают решение работать вместе и открывают друг для друга свои сети, они должны позаботиться о том, чтобы их новые партнеры имели доступ только к определенной информации.
VPN с удаленным доступом. Принцип работы VPN с удаленным доступом прост: пользователи устанавливают соединения с местной точкой доступа к глобальной сети (PоP), после чего их вызовы туннелируются через Интернет, что позволяет избежать платы за междугородную и международную связь.
Затем все вызовы концентрируются на соответствующих узлах и передаются в корпоративные сети.
Важную роль при построении VPN играют отношения предприятия с провайдером, в частности, распределение между ними функций по конфигурированию и эксплуатации VPN-устройств. При создании защищенных каналов VPN-средства могут располагаться как в среде оборудования провайдера, так и в оборудовании предприятия. В зависимости от этого выделяют два варианта построения VPN:
пользовательская схема (Customer Provided VPN); провайдерская схема (Provider Provisioned VPN).
Кроме вышеперечисленной классификации, все варианты создания VPN можно разделить на две категории: программные и аппаратные.
Программные решения представляют собой готовые приложения, которые устанавливаются на подключенном к сети компьютере со стандартным программным обеспечением.
Аппаратные VPN-решения включают в себя компьютер, операционную систему, специальное программное обеспечение. Виртуальные частные сети можно считать полноценным видом транспорта для передачи трафика, только если есть гарантии на пропускную способность и другие параметры производительности, а также на безопасность передаваемых данных.
Применение туннелей для VPN
Протоколы защищенного канала, как правило, используют в своей работе механизм туннелирования. С помощью данной методики пакеты данных транслируются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой "отправитель – получатель данных" устанавливается своеобразный туннель – безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого.
Технология туннелирования позволяет зашифровать исходный пакет целиком, вместе с заголовком, а не только его поле данных. Такой зашифрованный пакет помещается в другой пакет с открытым заголовком. Этот заголовок используют для транспортировки данных на участке общей сети. В граничной точке защищенного канала извлекается зашифрованный заголовок, который будет использоваться для дальнейшей передачи пакета. Как правило, туннель создается только на участке сети общего пользования, где существует угроза нарушения конфиденциальности и целостности данных. Помимо защиты передаваемой информации, механизм туннелирования используют для обеспечения целостности и аутентичности. При этом защита потока реализуется более полно.
Туннелирование применяется также и для согласования разных транспортных технологий, если данные одного протокола транспортного уровня необходимо передать через транзитную сеть с другим транспортным протоколом. Следует отметить, что процесс туннелирования не зависит от того, с какой целью он применяется. Сам по себе механизм туннелирования не защищает данные от несанкционированного доступа или от искажений, он лишь создает предпосылки для защиты всех полей исходного пакета. Для обеспечения секретности передаваемых данных пакеты на транспортном уровне шифруются и передаются по транзитной сети.
Сравнительный анализ туннелей MPLS и обычных туннелей
Туннели MPLS позволяют передавать данные любого протокола вышестоящего уровня (например IP, IPX, кадры Frame Relay, ячейки ATM), так как содержимое пакетов вдоль всего пути следования пакета остается неизменным, меняются только метки. В отличие от них, туннели IPSec поддерживают передачу данных только протокола IP, а протоколы PPTP и L2TP позволяют обмениваться данными по протоколам IP, IPX или Net BEUI. Безопасность передачи данных в MPLS обеспечивается за счёт определённой сетевой политики, запрещающей принимать пакеты, снабжённые метками, и маршрутную информацию VPN-IP от непроверенных источников. Она может быть повышена использованием стандартных средств аутентификации и/или шифрования (например шифрование IPSec). Для безопасной передачи данных в протокол IP Security включены определенные процедуры шифрования IP-пакетов, аутентификации, обеспечения защиты и целостности данных пр и транспортировке, вследствие чего туннели IPSec обеспечивают надежную доставку информационного трафика. Протокол L2TP поддерживает процедуры аутентификации и туннелирования информационного потока, а PPTP помимо данных функций снабжен и функциями шифрования. Применение меток MPLS позволяет реализовать ускоренное продвижение пакетов по сети провайдера. Транспорт MPLS не считывает заголовки транспортируемых пакетов, поэтому используемая в этих пакетах адресация может носить частный характер. Содержимое пакетов не считывается и при передаче IP-пакетов по протоколам IPSec, PPTP и L2TP. Однако, в отличие от MPLS, традиционные протоколы туннелирования для транспортировки IP-пакетов используют традиционную IP-маршрутизацию. При выборе пути следования пакета в MPLS учитываются различные параметры, оказывающие влияние на выбор маршр ута. Совместная работа технологии многопротокольной коммутации и механизмов Traffic Engineering позволяет для каждого туннеля LSP предоставить требуемый уровень качества обслуживания за счет процедуры резервирования ресурсов на каждом маршрутизаторе вдоль пути следования пакета.
Технологии создания виртуальных частных сетей
Среди технологий построения VPN можно назвать такие технологии, как: IPSec VPN, MPLS VPN, VPN на основе технологий туннелирования PPTP и L2TP. Во всех перечисленных случаях трафик посылается в сеть провайдера по протоколу IP, что позволяет провайдеру оказывать не только услуги VPN, но и различные дополнительные сервисы (контроль за работой клиентской сети, хостинг Web и почтовых служб, хостинг специализированных приложений клиентов).
На рис. 13.3 представлен общий вариант построения виртуальной частной сети на базе общедоступной сети провайдера. Сеть каждого клиента состоит из территориально распределенных офисов, которые связаны между туннелями, проложенными через сеть провайдера.
Рис. 13.3. Общий вариант построения виртуальной частной сети
Traffic Engineering
Под термином Traffic Engineering понимают методы и механизмы сбалансированной загрузки всех ресурсов сети за счет рационального выбора пути прохождения трафика через сеть. Механизм управления трафиком предоставляет возможность устанавливать явный путь, по которому будут передаваться потоки данных.
При традиционной маршрутизации IP-трафик маршрутизируется посредством его передачи от одной точки назначения к другой и следует до пункта назначения по пути, имеющему наименьшую суммарную метрику сетевого уровня.
Следует заметить, что при наличии в сети нескольких равноценных альтернативных маршрутов трафик делится между ними, и нагрузка на маршрутизаторы и каналы связи распределяется более сбалансированно. Но если маршруты не являются полностью равноценными, распределение трафика между ними не происходит.
Еще один существенный недостаток традиционных методов маршрутизации трафика в сетях IP заключается в том, что пути выбираются без учета текущей загрузки ресурсов сети. Если кратчайший путь уже перегружен, то пакеты все равно будут посылаться по этому пути. Налицо явная ущербность методов распределения ресурсов сети – одни из них работают с перегрузкой, а другие не используются вовсе. Никакие методы QoS данную проблему решить не могут: нужны качественно иные механизмы. Технология управления трафиком – достаточно эффективный механизм использования ресурсов сети.
Основным инструментом выбора и установления путей в ССП сегодня является технология MPLS. Она применяет и развивает концепцию виртуальных каналов в сетях X.25, Frame Relay и ATM, объединяя ее с техникой выбора путей на основе информации о топологии и текущей загрузке сети, получаемой с помощью протоколов маршрутизации сетей IP.
VPN на основе туннелирования через IP
Сюда входят все технологии для образования VPN, которые используют туннели через IP-сети. Применение туннеля позволяет изолировать адресное пространство клиента, что в свою очередь дает клиенту возможность переносить незашифрованный трафик (L2TP) или шифровать его (PPTP). Протокол PPTP поддерживает управление потоками данных и многопротокольное туннелирование на базе протокола IP. Удаленным пользователям протокол позволяет получать доступ к корпоративной сети, подключаясь по телефонной линии к местному поставщику услуг Интернет вместо прямого подключения к сети компании. PPTP обеспечивает соединение с нужным сервером, создавая для каждого удаленного клиента виртуальную сеть. Протокол решает многие проблемы сетевых администраторов, вынужденных обеспечивать поддержку множества удаленных пользователей, но желающих избежать создания и обслуживания относительно дорогой сети на выделенных каналах.
Спецификации L2TP разрабатывает IETF. Он ориентирован на поддержку многопротокольного туннелирования, но кроме этого обеспечивает совместимость всех L2TP-продуктов. К недостаткам протоколов PPTP и L2TP можно отнести отсутствие встроенных алгоритмов шифрования.