PPTP

PPTP ( Point-to-Point Tunneling Protocol ) er  en punkt -til-punkt tunnelingsprotokol , der gør det muligt for en computer at etablere en sikker forbindelse med en server ved at skabe en speciel tunnel i et standard, usikret netværk. PPTP indkapsler (indkapsler) PPP -rammer i IP- pakker til transmission over et globalt IP-netværk såsom internettet . PPTP kan også bruges til at tunnelere mellem to LAN'er . PPTP bruger en ekstra TCP -forbindelse til at servicere tunnelen.

Specifikation

Protokolspecifikationen blev offentliggjort som "informativ" RFC 2637 i 1999 . Det er ikke blevet ratificeret af IETF . Protokollen anses for at være mindre sikker end IPSec . PPTP fungerer ved at etablere en almindelig PPP - session med den anden side ved hjælp af Generic Routing Encapsulation -protokollen . Den anden forbindelse på TCP -port 1723 bruges til at starte og administrere GRE-forbindelsen. PPTP er svært at omdirigere bag en firewall , fordi det kræver, at der etableres to netværkssessioner på samme tid.

PPTP-trafik kan krypteres ved hjælp af MPPE . Forskellige mekanismer kan bruges til at godkende klienter, hvoraf de mest sikre er MS-CHAPv2 og EAP-TLS .

Implementering af PPTP

Cisco var pionerer med PPTP og licenserede senere teknologien til Microsoft .

PPTP vandt popularitet på grund af det faktum, at det var den første tunnelprotokol, der blev understøttet af Microsoft Corporation . Alle versioner af Microsoft Windows siden Windows 95 OSR2 inkluderer en PPTP-klient, men der er en grænse for to samtidige udgående forbindelser. Og fjernadgangstjenesten til Microsoft Windows inkluderer en PPTP-server [1] .

I nogen tid manglede Linux -distributioner fuld understøttelse af PPTP på grund af bekymringer om patentkrav over MPPE-protokollen. Fuld understøttelse af MPPE dukkede først op i Linux 2.6.13 (2005). PPTP-understøttelse blev officielt lanceret med Linux-kerneversion 2.6.14. Alene det faktum, at MPPE bruges i PPTP, sikrer faktisk ikke PPTP-protokollens sikkerhed.

FreeBSD -operativsystemet understøtter PPTP-protokollen ved hjælp af mpd -porten (/usr/ports/net/mpd5) som PPTP-serveren ved hjælp af netgraph- undersystemet ; du kan også bruge programmet PoPToP (/usr/ports/net/poptop). PPTP-klienten på et FreeBSD-system kan enten være pptpclient-porten (/usr/ports/net/pptpclient) eller klienttilstandens mpd-port.

Mac OS X- og iOS -operativsystemer blev leveret med en indbygget PPTP-klient, men siden macOS Sierra og iOS 10 er den indbyggede klient blevet fjernet af sikkerhedsmæssige årsager [2] . Cisco og Efficient Networks sælger PPTP-klientimplementeringer til ældre versioner af Mac OS . Palm PDA'er med Wi-Fi-understøttelse leveres med Mergic PPTP-klienten .

Microsoft Windows Mobile 2003 og nyere understøtter også PPTP.

Sikkerhed for PPTP-protokollen

PPTP har været genstand for adskillige sikkerhedsgennemgange, og der er fundet forskellige alvorlige sårbarheder i den. Bemærkninger vedrører de anvendte PPP-godkendelsesprotokoller, designet af MPPE-protokollen og integrationen mellem MPPE og PPP-godkendelser for at etablere en sessionsnøgle. En kort oversigt over disse sårbarheder:

• MSCHAP-v1 er fuldstændig upålidelig. Der er hjælpeprogrammer til nemt at udtrække password- hash fra en opsnappet MSCHAP-v1-udveksling [3] .
• MSCHAP-v2 er sårbar over for et ordbogsangreb på indfangede udfordringssvarpakker. Der er programmer, der udfører denne proces [4] .
• I 2012 blev det vist, at MSCHAP-v2-nøglegætteproblemer svarer til DES-krypteringsnøglegætning, og der blev introduceret en onlinetjeneste, der er i stand til at gendanne nøglen på 23 timer [5] .
• Når du bruger MSCHAP-v1, bruger MPPE den samme RC4-sessionsnøgle til at kryptere trafikken i begge retninger. Derfor er standardmetoden at XOR streame fra forskellige retninger sammen, så kryptanalytikeren kan finde ud af nøglen [6] .
• MPPE bruger RC4-stream til kryptering. Der er ingen metode til at godkende en alfanumerisk stream, og derfor er denne stream sårbar over for et bit-swapping-angreb. En angriber kan nemt ændre strømmen under transit og ændre nogle bits for at ændre den udgående strøm uden fare for opdagelse. Denne bit-spoofing kan detekteres ved hjælp af protokoller, der beregner kontrolsummer [3] .

Se også

• PPPoE
• L2TP

Noter

1. ↑ "PPTP - Point to Point Tunneling Protocol", Bradley Mitchell, opdateret 25. juni 2016 . Hentet 13. november 2016. Arkiveret fra originalen 13. november 2016. (ubestemt)
2. ↑ Apple-support . Hentet 12. juli 2017. Arkiveret fra originalen 27. september 2016. (ubestemt)
3. ↑ 1 2 Bruce Schneier, Krypteringsanalyse af Microsofts Point to Point Tunneling Protocol (PPTP) (link ikke tilgængeligt) . Hentet 21. december 2010. Arkiveret fra originalen 4. juni 2011. (ubestemt) 
4. ↑ Udnytter Cisco Leap Arkiveret 26. juli 2012.  (eng.)  (Få adgang: 1. september 2011)
5. ↑ Divide and Conquer: Cracking MS-CHAPv2 med en 100 % succesrate Arkiveret 16. marts 2016.
6. ↑ Bruce Schneier, Cryptanalysis of Microsofts PPTP Authentication Extensions (MS-CHAPv2) , 19. oktober 1999 . Hentet 21. december 2010. Arkiveret fra originalen 3. april 2015. (ubestemt)

Links

• RFC 2637
• FAQ om sikkerhedshuller i Microsoft-implementeringen, Bruce Schneier, 1998
• Poptop, PPTP-server til Linux
• PPTP klient, Linux, FreeBSD og NetBSD klient
• pptpproxy - Linux pptp proxy
• Opsætning af en PPTP VPN-klient i Windows (vista)  (rus.)
•  Hvorfor du ikke bør implementere PPTP