PPTP

Versiunea actuală a paginii nu a fost încă examinată de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită la 14 ianuarie 2022; verificările necesită 2 modificări .

PPTP ( Point-to-Point Tunneling Protocol ) este un protocol de tunelare punct la punct care permite unui computer să stabilească o conexiune sigură cu un server prin crearea unui tunel special într-o rețea standard, nesecurizată. PPTP încapsulează (încapsulează) cadre PPP în pachete IP pentru transmisie printr-o rețea IP globală, cum ar fi Internetul . PPTP poate fi folosit și pentru a tunel între două rețele LAN . PPTP utilizează o conexiune TCP suplimentară pentru a deservi tunelul.

Specificație

Specificația protocolului a fost publicată ca „informativă” RFC 2637 în 1999 . Nu a fost ratificat de IETF . Protocolul este considerat mai puțin sigur decât IPSec . PPTP funcționează prin stabilirea unei sesiuni PPP obișnuite cu cealaltă parte folosind protocolul Generic Routing Encapsulation . A doua conexiune pe portul TCP 1723 este utilizată pentru a iniția și gestiona conexiunea GRE. PPTP este dificil de redirecționat în spatele unui firewall , deoarece necesită stabilirea a două sesiuni de rețea în același timp.

Traficul PPTP poate fi criptat folosind MPPE . Pentru autentificarea clienților pot fi utilizate diferite mecanisme , dintre care cele mai sigure sunt MS-CHAPv2 și EAP-TLS .

Implementarea PPTP

Cisco a fost pionierul PPTP și ulterior a licențiat tehnologia Microsoft .

PPTP a câștigat popularitate datorită faptului că a fost primul protocol de tunel susținut de Microsoft Corporation . Toate versiunile de Microsoft Windows începând cu Windows 95 OSR2 includ un client PPTP, totuși există o limită la două conexiuni de ieșire simultane. Și serviciul de acces la distanță pentru Microsoft Windows include un server PPTP [1] .

De ceva timp , distribuțiile Linux au lipsit suport complet pentru PPTP din cauza preocupărilor legate de revendicările de brevet asupra protocolului MPPE. Suportul complet pentru MPPE a apărut pentru prima dată în Linux 2.6.13 (2005). Suportul PPTP a fost lansat oficial cu versiunea 2.6.14 a nucleului Linux. Cu toate acestea, simplul fapt că MPPE este utilizat în PPTP nu asigură de fapt securitatea protocolului PPTP.

Sistemul de operare FreeBSD acceptă protocolul PPTP folosind portul mpd (/usr/ports/net/mpd5) ca server PPTP folosind subsistemul netgraph ; puteți folosi și programul PoPToP (/usr/ports/net/poptop). Clientul PPTP pe un sistem FreeBSD poate fi fie portul pptpclient (/usr/ports/net/pptpclient) fie portul mpd pentru modul client.

Sistemele de operare Mac OS X și iOS au fost livrate cu un client PPTP încorporat, dar de la macOS Sierra și iOS 10, clientul încorporat a fost eliminat din motive de securitate [2] . Cisco și Efficient Networks vând implementări de client PPTP pentru versiuni mai vechi de Mac OS . PDA-urile Palm cu suport Wi-Fi vin cu clientul PPTP Mergic .

Microsoft Windows Mobile 2003 și versiunile ulterioare acceptă și PPTP.

Securitatea protocolului PPTP

PPTP a făcut obiectul a numeroase recenzii de securitate și au fost găsite diverse vulnerabilități grave în el. Remarcabile se referă la protocoalele de autentificare PPP utilizate, la designul protocolului MPPE și la integrarea dintre autentificările MPPE și PPP pentru a stabili o cheie de sesiune. O scurtă prezentare a acestor vulnerabilități:

MSCHAP-v1 este complet nesigur. Există utilitare pentru extragerea cu ușurință a hash -urilor de parole dintr-un schimb MSCHAP-v1 interceptat [3] .
MSCHAP-v2 este vulnerabil la un atac de dicționar asupra pachetelor de răspuns la provocare capturate. Există programe care efectuează acest proces [4] .
În 2012, s-a demonstrat că dificultatea de ghicire a cheii MSCHAP-v2 este echivalentă cu ghicirea cheii de criptare DES și a fost introdus un serviciu online care este capabil să recupereze cheia în 23 de ore [5] .
Când utilizați MSCHAP-v1, MPPE utilizează aceeași cheie de sesiune RC4 pentru a cripta traficul în ambele direcții. Prin urmare, metoda standard este de a XOR fluxuri din diferite direcții împreună, astfel încât criptoanalistul să poată afla cheia [6] .
MPPE folosește fluxul RC4 pentru criptare. Nu există nicio metodă de a autentificare a unui flux alfanumeric și, prin urmare, acest flux este vulnerabil la un atac de schimb de biți. Un atacator poate schimba cu ușurință fluxul în tranzit și poate schimba niște biți pentru a schimba fluxul de ieșire fără pericol de detectare. Acest bit spoofing poate fi detectat folosind protocoale care calculează sumele de control [3] .

Vezi și

PPPoE
L2TP

Note

↑ „PPTP - Point to Point Tunneling Protocol”, Bradley Mitchell, Actualizat 25 iunie 2016 . Consultat la 13 noiembrie 2016. Arhivat din original pe 13 noiembrie 2016. (nedefinit)
↑ Asistență Apple . Consultat la 12 iulie 2017. Arhivat din original la 27 septembrie 2016. (nedefinit)
↑ 1 2 Bruce Schneier, Cryptanalysis of Microsoft Point to Point Tunneling Protocol (PPTP) (link nu este disponibil) . Consultat la 21 decembrie 2010. Arhivat din original pe 4 iunie 2011. (nedefinit)
↑ Exploiting Cisco Leap Arhivat 26 iulie 2012. (ing.) (Accesat: 1 septembrie 2011)
↑ Divide and Conquer: Cracking MS-CHAPv2 cu o rată de succes de 100% Arhivat 16 martie 2016.
^ Bruce Schneier, Cryptanalysis of Microsoft's PPTP Authentication Extensions (MS-CHAPv2) , 19 octombrie 1999 . Consultat la 21 decembrie 2010. Arhivat din original la 3 aprilie 2015. (nedefinit)

Link -uri

RFC 2637
Întrebări frecvente despre găurile de securitate în implementarea Microsoft, Bruce Schneier, 1998
Poptop, server PPTP pentru Linux
Client PPTP, client Linux, FreeBSD și NetBSD
pptproxy - Linux pptp proxy
Configurarea unui client VPN PPTP în Windows (vista) (rus.)
De ce nu ar trebui să implementați PPTP

Protocoale de bază TCP /IP pe straturi ale modelului OSI
Fizic	ethernet RS-232 EIA-422 RS-449 RS-485
canalizat	ethernet PPPoE PPP L2F WiFi 802.11 WiFi 802.16 inel cu simboluri ARCNET FDDI HDLC ALUNECARE ATM POATE SA DTM X.25 releu cadru IEEE 802.1aq SMDS STP ERPS ARP
reţea	IPv4 IPv6 IPsec ICMP IGMP RARP RIP2 OSPF EIGRP GRE IPX
Transport	TCP ( criptă ) UDP SCTP DCCP RDP/ RUDP RTP SPX TLS 1.3
sesiune	ADSP H.245 iSNS NetBIOS PAP RPC L2TP PPTP RTCP SMPP SCP ZIP SDP
Reprezentare	XDR SSL TLS
Aplicat	BGP HTTP ( S ) DHCP IRC gopher deget SNMP DNS ( SEC ) NNTP XMPP ÎNGHIŢITURĂ IPP NTP SNTP E-mail SMTP POP3 IMAP4 _ Transfer de fișier FTP TFTP SFTP FTPS webdav SMB Acces de la distanță rlogin telnet SSH RDP
Altele aplicate	bitcoin OSCAR MTProto Multicast FTP FTP multisursă bittorrent Gnutella Skype
Lista de porturi TCP și UDP

Rețele private virtuale (VPN)
Tehnologie	IPsec L2TP PPTP Tunnel split Protocolul de redirecționare Layer 2 Acces direct
Software	Hamachi n2n manager de rețea NeoRouter openvpn rp-pppoe tcpcrypt Vyatta apărătoare de sârmă
Servicii VPN	1.1.1.1 ExpressVPN Hotspot Shield Mullvad NordVPN Proton VPN psifon Surfshark