PPTP

A PPTP ( Point-to-Point Tunneling Protocol )  egy pont-pont alagútkezelési protokoll , amely lehetővé teszi a számítógép számára, hogy biztonságos kapcsolatot létesítsen egy szerverrel egy speciális alagút létrehozásával egy szabványos, nem biztonságos hálózatban. A PPTP a PPP -kereteket IP -csomagokba foglalja (bekapszulázza) globális IP-hálózaton, például az interneten keresztül történő továbbításhoz . A PPTP két LAN közötti alagútra is használható . A PPTP egy további TCP -kapcsolatot használ az alagút kiszolgálására.

Specifikáció

A protokoll specifikációt "tájékoztató jellegű" RFC 2637 néven tették közzé 1999 -ben . Az IETF nem ratifikálta . A protokoll kevésbé biztonságos, mint az IPSec . A PPTP úgy működik, hogy az Általános Routing Encapsulation protokollt használva rendszeres PPP -munkamenetet hoz létre a másik oldallal . Az 1723-as TCP -porton lévő második kapcsolat a GRE-kapcsolat kezdeményezésére és kezelésére szolgál. A PPTP-t nehéz átirányítani a tűzfal mögé, mert ehhez két hálózati munkamenetet kell egyszerre létrehozni.

A PPTP-forgalom MPPE -vel titkosítható . Különféle mechanizmusok használhatók az ügyfelek hitelesítésére , amelyek közül a legbiztonságosabb az MS-CHAPv2 és az EAP-TLS .

PPTP megvalósítása

A Cisco úttörő volt a PPTP-ben, majd később licencelte a technológiát a Microsoftnak .

A PPTP népszerűsége annak köszönhető, hogy ez volt az első alagútkezelési protokoll, amelyet a Microsoft Corporation támogat . A Windows 95 OSR2 óta a Microsoft Windows összes verziója tartalmaz PPTP-klienst, azonban két egyidejű kimenő kapcsolat korlátozott. A Microsoft Windows távelérési szolgáltatása pedig tartalmaz egy PPTP-kiszolgálót [1] .

Egy ideig a Linux disztribúciók nem támogatták teljes mértékben a PPTP-t az MPPE protokollal kapcsolatos szabadalmi igények miatt. Az MPPE teljes támogatása először a Linux 2.6.13-ban (2005) jelent meg. A PPTP támogatás hivatalosan a Linux kernel 2.6.14-es verziójával indult. Azonban önmagában az a tény, hogy az MPPE-t a PPTP-ben használják, valójában nem biztosítja a PPTP protokoll biztonságát.

A FreeBSD operációs rendszer támogatja a PPTP protokollt az mpd port (/usr/ports/net/mpd5) használatával PPTP szerverként a netgraph alrendszer használatával ; használhatja a PoPToP programot is (/usr/ports/net/poptop). A PPTP kliens egy FreeBSD rendszeren vagy a pptpclient port (/usr/ports/net/pptpclient) vagy a kliens módú mpd port lehet.

A Mac OS X és iOS operációs rendszereket beépített PPTP klienssel szállították, de a macOS Sierra és az iOS 10 óta biztonsági okokból eltávolították a beépített klienst [2] . A Cisco és az Efficient Networks PPTP-kliens-megvalósításokat értékesít a Mac OS régebbi verzióihoz . A Wi-Fi-támogatással rendelkező Palm PDA -k a Mergic PPTP klienssel érkeznek .

A Microsoft Windows Mobile 2003 és újabb verziók szintén támogatják a PPTP-t.

A PPTP protokoll biztonsága

A PPTP-t számos biztonsági felülvizsgálatnak vetették alá, és számos komoly sérülékenységet találtak benne. Említésre méltóak a használt PPP hitelesítési protokollok, az MPPE protokoll kialakítása, valamint az MPPE és a PPP hitelesítések közötti integráció a munkamenetkulcs létrehozásához. Rövid áttekintés ezekről a sebezhetőségekről:

• Az MSCHAP-v1 teljesen megbízhatatlan. Vannak segédprogramok a jelszókivonatok egyszerű kinyerésére az elfogott MSCHAP-v1 cseréből [3] .
• Az MSCHAP-v2 sebezhető a rögzített kihívás-válaszcsomagok elleni szótári támadásokkal szemben. Vannak programok, amelyek végrehajtják ezt a folyamatot [4] .
• 2012-ben kimutatták, hogy az MSCHAP-v2 kulcs kitalálási nehézsége egyenértékű a DES titkosítási kulcs kitalálásával, és bevezettek egy online szolgáltatást, amely 23 óra alatt képes visszaállítani a kulcsot [5] .
• Az MSCHAP-v1 használatakor az MPPE ugyanazt az RC4 szekciókulcsot használja a forgalom titkosításához mindkét irányban. Ezért a standard módszer a különböző irányokból érkező streamek XOR-ja, így a kriptoanalizátor megtudhatja a kulcsot [6] .
• Az MPPE RC4 adatfolyamot használ a titkosításhoz. Nincs módszer egy alfanumerikus adatfolyam hitelesítésére, ezért ez az adatfolyam sebezhető a bitcsere támadásokkal szemben. A támadó az észlelés veszélye nélkül könnyen megváltoztathatja az adatfolyamot az átvitel során, és módosíthat néhány bitet a kimenő adatfolyam megváltoztatásához. Ez a bithamisítás ellenőrző összegeket számító protokollok segítségével észlelhető [3] .

Lásd még

• PPPoE
• L2TP

Jegyzetek

1. ↑ „PPTP – Pont-pont Tunneling Protocol”, Bradley Mitchell, Frissítve 2016. június 25-én . Letöltve: 2016. november 13. Az eredetiből archiválva : 2016. november 13.. (határozatlan)
2. ↑ Apple támogatás . Letöltve: 2017. július 12. Az eredetiből archiválva : 2016. szeptember 27.. (határozatlan)
3. ↑ 1 2 Bruce Schneier, A Microsoft Point to Point Tunneling Protocol (PPTP) kriptográfiai elemzése (a hivatkozás nem érhető el) . Letöltve: 2010. december 21. Az eredetiből archiválva : 2011. június 4.. (határozatlan) 
4. ↑ A Cisco Leap kihasználása Archiválva : 2012. július 26.  (eng.)  (Hozzáférés: 2011. szeptember 1.)
5. ↑ Oszd meg és uralkodj: Az MS-CHAPv2 feltörése 100%-os sikeraránnyal Archiválva : 2016. március 16.
6. ↑ Bruce Schneier, A Microsoft PPTP hitelesítési bővítményeinek (MS-CHAPv2) kriptográfiai elemzése , 1999. október 19 . Letöltve: 2010. december 21. Az eredetiből archiválva : 2015. április 3.. (határozatlan)

Linkek

• RFC 2637
• GYIK a biztonsági résekről a Microsoft implementációjában, Bruce Schneier, 1998
• Poptop, PPTP szerver Linuxhoz
• PPTP kliens, Linux, FreeBSD és NetBSD kliens
• pptpproxy – Linux pptp proxy
• PPTP VPN kliens beállítása Windows (Vista) rendszerben  (rus.)
•  Miért ne alkalmazza a PPTP-t ?