PPTP (Point-to-Point Tunneling Protocol) - туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например Интернет. PPTP может также использоваться для организации туннеля между двумя локальными сетями.

Спецификация протокола была опубликована как «информационная» RFC 2637 в 1999 году. Она не была ратифицирована IETF. Протокол считается менее безопасным, чем IPSec - протокол защиты сетевого трафика на IP-уровне .

PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола GRE туннели по 47 порту. Второе соединение на TCP-порту 1723 используется для инициации и управления GRE-соединением. PPTP сложно перенаправлять за сетевой экран , так как он требует одновременного установления двух сетевых сессий.

PPTP-трафик может быть зашифрован с помощью MPPE. Для аутентификации клиентов могут использоваться различные механизмы, наиболее безопасные из них - MS-CHAPv2 и EAP-TLS. Протокол PPTP нельзя считать приемлемым, с точки зрения информационной безопасности, как минимум, без принятия дополнительных мер по обеспечению информационной безопасности каналов связи, либо без применения дополнительных средств защиты информации (например - дополнительного шифрования). Т.о. PPTP не следует применять в общедоступных сетях (Интернет, частные(домашние) сети) для обеспечения конфиденциальности и-или сохранности коммерческой тайны (и особенно - для сохранности государственной тайны).

PPTP - Поддержка встроена в Windows.

Пожалуйста, обратите внимание, что PPTP VPN сервис использует для своей работы порт TCP 1721/TCP и протокол IP GRE (номер 47). Такие пакеты должны проходить через Ваш Firewall/NAT (и соответственно, Firewall/NAT Вашего провайдера), а если по дороге до нашего сервера есть NAT, то он должен корректно обрабатывать VPN соединение в целом (как правило, это осуществляется с помощью модуля PPTP NAT helper).

Реализация PPTP

Cisco первой реализовала PPTP и позже лицензировала эту технологию корпорации Microsoft. PPTP удалось добиться популярности благодаря тому что это первый протокол тоннелирования, поддерживаемый корпорацией Microsoft. Все версии Microsoft Windows, начиная с Windows 95 OSR2, включают в свой состав PPTP-клиент, однако существует ограничение на два одновременных исходящих соединения. А сервис удалённого доступа для Microsoft Windows включает в себя PPTP сервер.

До недавнего времени в Linux-дистрибутивах отсутствовала полная поддержка PPTP из-за опасения патентных претензий по поводу протокола MPPE. Впервые полная поддержка MPPE появилась в Linux 2.6.13. Официально поддержка PPTP была начата с версии ядра Linux 2.6.14. Тем не менее, сам факт применения MPPE в PPTP фактически не обеспечивает безопасность протокола PPTP. Операционная система FreeBSD поддерживает PPTP протокол, используя в качестве сервера PPTP порт MPD 5 настройка (/usr/ports/net/mpd), используя подсистему netgraph. В качестве клиента PPTP в системе FreeBSD может выступать либо порт pptpclient (/usr/ports/net/pptpclient), либо порт mpd, работающий в режиме клиента. Mac OS X поставляется со встроенным PPTP клиентом. Cisco и Efficient Networks продают реализации PPTP клиента для более старых версий Mac OS . КПК Palm, имеющие поддержку Wi-Fi, поставляются с PPTP клиентом Mergic.

PPTP (от англ. Point-to-Point Tunneling Protocol ) - туннельный протокол типа точка-точка (узел-узел), позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания туннеля в незащищённой сети.

PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например Интернет. PPTP может также использоваться для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение для обслуживания туннеля.

Данный протокол менее безопасен, чем IPSec. PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation. Второе соединение на TCP-порте 1723 используется для инициации и управления GRE-соединением. PPTP сложно перенаправлять за сетевой экран, так как он требует одновременного установления двух сетевых сессий. PPTP-трафик может быть зашифрован с помощью MPPE. Для аутентификации клиентов могут использоваться различные механизмы, например - MS-CHAPv2 и EAP-TLS.

Вопрос безопасности и надежности протокола

• MSCHAP-v1 совершенно ненадёжен. Существуют утилиты для лёгкого извлечения хэшей паролей из перехваченного обмена MSCHAP-v1;
• MSCHAP-v2 уязвим к словарной атаке на перехваченные challenge-response пакеты. Существуют программы, выполняющие данный процесс;
  
• В 2012 году было показано, что сложность подбора ключа MSCHAP-v2 эквивалентна подбору ключа к шифрованию DES, и был представлен онлайн-сервис, который способен восстановить ключ за 23 часа;
  
• При использовании MSCHAP-v1, MPPE применяет одинаковый RC4 сессионный ключ для шифрования информационного потока в обоих направлениях. Поэтому стандартным методом является выполнение XOR’а потоков из разных направлений вместе, благодаря чему криптоаналитик может узнать ключ;
  
• MPPE использует RC4 поток для шифрования. Не существует метода для аутентификации цифробуквенного потока, и поэтому данный поток уязвим к атаке, делающей подмену битов. Злоумышленник легко может заменить некоторые биты для изменения исходящего потока без опасности своего обнаружения. Данная подмена битов может быть зафиксирована с помощью протоколов, считающих контрольные суммы.

Структура

На рисунке 1 показано строение PPTP пакета. В целом - ничего особенного, в IP пакет инкапсулируется PPP кадр и GRE заголовок.

Кратко о GRE. Это протокол туннелирования, который работает на 3 уровне модели OSI. Функция GRE - инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP пакеты.

Туннелирование подразумевает три протокола:

• пассажир - инкапсулированный протокол (IP, CLNP, IPX, Apple Talk, DECnet Phase IV, XNS, VINES и Apollo);
• протокол инкапсуляции (GRE);
• транспортный протокол (IP).

Заголовок занимает 4 байта (рис. 2) и состоит из 2х частей:

1) 1-2 байты — flags:

- ChecksumPresent – бит 0, если равен 1, то в заголовке GRE присутствует необязательное поле контрольной суммы – Checksumfield;

- Key Present – бит 2, если равен 1, то в заголовке GRE присутствует необязательное поле, содержащее ключ – Key field;

- Sequence Number Present – бит 3, если равен 1, то в заголовке GRE присутствует необязательное поле порядкового номера – SequenceNumberfield;

- Version Number – биты 13–15. Данное поле обозначает версию реализации GRE. Значение 0 обычно используется для GRE. Point-To-Point протокол (PP2P) использует версию 1.

2) 3-4 байты. Содержат тип протокола (ethertype) инкапсулированного пакета.

MTU

Не менее важный вопрос для протокола - это вопрос MTU .

Так как PPTP - это полезная нагрузка + заголовок PPP+ GRE + заголовок IP. MTU Ethernet = 1500 байт, header IP = 20 байт, GRE = 4 байта. 1500-20-4 = 1476 байт.

Управляющие сообщения

В основе обмена данными по протоколу PPTP лежит управляющее соединение PPTP - последовательность управляющих сообщений, которые устанавливают и обслуживают туннель. Полное соединение PPTP состоит только из одного соединения TCP/IP, которое требует передачи эхо-команд для поддержания его открытым, пока выполняются транзакции. Ниже, на рисунке 3, указаны управляющие сообщения и их значения.

Приветствуем Вас на нашем сайте! В этой инструкции вы узнаете, как настроить VPN-подключение по протоколу PPTP для операционной системы Windows 7.

Напомним, VPN (Virtual Private Network) – это технология, которую используют для доступа к защищенной сети (сетям) посредством общедоступной сети Интернет. При помощи VPN-канала можно защитить свою информацию, зашифровав ее и передав внутри VPN-сессии. Кроме этого VPN является дешевой альтернативой дорогостоящему выделенному каналу связи.

Для настройки VPN по протоколу PPTP для ОС Windows 7 Вам понадобятся:

• ОС Windows 7;
• адрес VPN-сервера, к которому будет осуществляться подключение по протоколу PPTP;
• логин и пароль.

На этом теоретическая часть закончена, приступим к практике.

1. Открываем меню "Пуск " и переходим в "Панель управления " Вашим компьютером

2. Затем выбираем раздел "Сеть и Интернет"

3. В открывшемся окне выбираем "Центр управления сетями и общим доступом"

4. На следующем этапе выбираем пункт "Настройка нового подключения или сети"

5. Во вновь открывшемся окне выбираем пункт "Подключение к рабочему месту"

6. В новом окне выбираем пункт "Использовать мое подключение к Интернету (VPN)"

8. В открывшемся окне в поле "Интернет-адрес" вводим адрес вашего VPN-сервера, в поле "Имя местоназначения" вводим название подключения, которое можно выбрать произвольно

9. В следующем окне вводим логин и пароль, которые прописаны на сервере VPN. В поле "Запомнить этот пароль" ставим "галочку", что бы не вводить его при каждом подключении

10. После перечисленных действий подключение готово к использованию, нажимаем кнопку "закрыть"

11. После этого заходим снова в меню Пуск, затем в Панель управления, Сеть и Интернет, Управление сетями и общим доступом, где выбираем пункт "Изменение параметров адаптера"

12. Находим в этом окне наше VPN-подключение, кликаем по нему правой кнопкой мышки и переходим в его свойства

14. В этом же окне, только на вкладке «Сеть» убираем "галочки" напротив пунктов: "Клиент для сетей Microsoft" и "Служба доступа к файлам и принтерам сетей Microsoft"

На этом настройка VPN по протоколу PPTP для операционной системы Windows 7 завершена и VPN-соединение готово к использованию.

Pptp-порты — это протоколы (набор правил связи), которые позволяют корпорациям расширять собственную корпоративную сеть через частные каналы и общедоступный интернет. Благодаря данному методу корпорация использует Глобальную сеть в качестве одной большой локальной сети. Компания не нуждается в аренде собственных линий для широкополосной связи, но может надежно использовать общедоступные сети. Такой вид соединения называется

Pptp порты — что это?

Благодаря PPTP, который является расширением интернет-протокола «точка-точка» (PPP), любой пользователь ПК с поддержкой PPP-клиентов может использовать независимого поставщика услуг (ISP) для безопасного подключения к серверу в другом месте (то есть через удаленный доступ) . Pptp-порты являются одними из наиболее вероятных предложений в качестве основы для нового стандарта Internet Engineering Task Force (IETF).

Описание технологии

Спецификация впервые была представлена публике в июле 1999 года и разработана дочерней компанией Microsoft Ascend Communications (сегодня часть Alcatel-Lucent). PPTP не была принята и стандартизирована Целевой группой Internet Engineering. Протокол создается путем связи с одноранговым узлом по PPTP порту 1723. Это TCP-соединение затем применяется с целью инициирования и управления одноранговым узлом.

Формат пакета PPTP GRE не является стандартным, в том числе новое поле номера подтверждения, заменяющее типичное поле маршрутизации. Однако, как и в обычном соединении GRE, эти модифицированные GRE-пакеты напрямую инкапсулируются в IP-пакеты и рассматриваются как IP-номер 47 протокола. GRE-туннель используется для переноса PPP-пакетов. В реализации Microsoft туннелированный трафик PPP может быть аутентифицирован с помощью PAP, CHAP, MS-CHAP v1 / v2.

Pptp: какие порты наиболее безопасны?

PPTP был предметом многих анализов безопасности, и в протоколе были выявлены серьезные уязвимости безопасности, которые относятся к базовым протоколам проверки подлинности PPP, разработке протокола MPPE, а также к интеграции между аутентификацией MPPE и PPP для установления сеанса.

PPTP имеет ряд известных уязвимостей. Он более не считается безопасным, так как взломать первоначальную аутентификацию MS-CHAPv2 можно через взлом одного 56-битного ключа DES. Он подвержен атакам MITM, где злоумышленник может выполнить атаку в автономном режиме, чтобы получить ключ RC4 и расшифровать трафик. PPTP также уязвим для атак с переворачиванием бит. Злоумышленник может изменять пакеты PPTP без возможности обнаружения. OpenVPN с AES-шифрованием - гораздо более безопасный выбор.

Обзор уязвимостей набор правил связи

MS-CHAP-v1 принципиально небезопасен. Существуют известные инструменты для тривиального извлечения хэшей NT Password из захваченного обмена MSCHAP-v1.
MS-CHAP-v1 MPPE использует один и тот же ключ сеанса RC4 для шифрования в обоих направлениях потока связи. Здесь может быть проведет криптоанализ стандартными способами посредством XORing потоков из каждого направления вместе.
MS-CHAP-v2 уязвим для атак на словарях для захваченных пакетов ответа на вызов. Существуют базовые инструменты для быстрого выполнения этого процесса.

В 2012 году была также продемонстрирована онлайн-служба, которая способна дешифровать кодовую фразу MS-CHAP-v2 MD4 за 23 часа. MPPE использует шифр потока RC4. Нет способа аутентификации потока зашифрованного текста, и поэтому он оказывается уязвимым для атаки с переворачиванием бит. Злоумышленник может изменять поток в пути и настраивать отдельные биты для изменения выходного потока без возможности обнаружения. Эти битовые флипсы могут быть обнаружены самими протоколами посредством контрольных сумм или других средств.

EAP-TLS рассматривается как лучший выбор аутентификации для PPTP. Однако для этого требуется реализация инфраструктуры открытого ключа для сертификатов клиентов и серверов. Таким образом, он не может быть жизнеспособным вариантом аутентификации для некоторых установок удаленного доступа.

Руководство по решению проблем: прокладываем VPN через брандмауэры NAT

Популярность телекоммуникаций продолжает возрастать, при этом вопросы защиты информации не теряют свою актуальность. Поэтому маленькие и большие компании используют виртуальные частные сети (VPN). К счастью, информационные отделы компаний осознают, что многие сотрудники подключены по выделенным линиям и широкополосным соединениям с использованием маршрутизаторов потребительского уровня. ИТ-отделы могут намного облегчить жизнь пользователей, применяя "дружественные к NAT" шлюзы VPN и клиентов VPN, которые не требуют внесения изменений в конфигурацию домашних маршрутизаторов для установки туннеля VPN.

Если же вам не так повезло, вы всё-таки можете исправить ситуацию. Во-первых, следует проверить, поддерживает ли ваш маршрутизатор функцию сквозного прохождения PPTP или IPSEC PPTP/IPsec "pass through." Подобная функция повсеместно встречается в маршрутизаторах Linksys , так что можете поискать эти модели. На Рис. 1 показана нижняя часть экрана фильтров Linksys BEFSR41, которая содержит опции для раздельного включения сквозного прохождения PPTP или IPsec.

Рис. 1. Сквозное прохождение VPN Linksys BEFSR41.

Всё, что вам нужно, - включить поддержку используемого VPN протокола, перезагрузить маршрутизатор. Если всё пройдёт нормально, то ваша VPN сразу же заработает.

К сожалению, функцией включения сквозного прохождения VPN обладают не все маршрутизаторы, однако отсутствие этих опций отнюдь не означает, что всё кончено.

Не работает? Тогда следует попытаться открыть некоторые порты в брандмауэре вашего маршрутизатора для поддержки VPN-соединения. Вам следует открывать порты (и протокол) только для IP-адреса компьютера, на котором будет работать клиент VPN. Имейте в виду, что функция перенаправления портов работает только с одним компьютером одновременно . Если вам необходимо обеспечить поддержку нескольких клиентов VPN, которые требуют одновременной работы в сети, ваш маршрутизатор должен изначально поддерживать используемый VPN протокол.

Если вы используете протокол Microsoft PPTP , то необходимо настроить перенаправление порта TCP 1723 для прохождения трафика PPTP. На Рис. 2 показан экран Перенаправление/ Forwarding маршрутизатора Linksys BEFSR41, где выставлено перенаправление порта на клиента с IP-адресом 192.168.5.100 .

Рис. 2. Перенаправление портов VPN Linksys BEFSR41.

PPTP также требует поддержку протокола IP 47 (Generic Routing Encapsulation) для прохождения трафика VPN. Имейте в виду, что необходима поддержка протокола , а не порта. Поддержка этого протокола должна быть встроена в "движок" NAT, как это и сделано на большинстве современных маршрутизаторов.

Открываем брандмауэр, продолжение

Для поддержки VPN на базе IPsec VPNs необходимо открыть порт UDP 500 для переговоров ключа ISAKMP , протокол IP 50 для трафика Authentication Header (используется не всегда), и протокол IP 51 для передачи самих данных. И вновь единственный перенаправляемый порт здесь UDP 500, который мы тоже запрограммировали на Рис. 2 к той же клиентской машине в локальной сети; поддержка протоколов 50 и 51 должна быть встроена в ваш маршрутизатор.

Не все маршрутизаторы одинаковы! Некоторые поддерживают открытие только одного туннеля VPN и единственного клиента. Другие поддерживают несколько туннелей, но только одного клиента на туннель. К сожалению, большинство производителей не слишком ясно указывают в документации способ поддержки сквозного прохождения VPN своих продуктов, да и служба технической поддержки часто не обладает должной квалификацией для решения этого вопроса. В большинстве случаев вам придётся протестировать маршрутизатор в вашей сети и вернуть его, если он не заработает.

Не работает?

Заставить некоторые маршрутизаторы поддерживать VPN на базе IPsec без шаманской пляски с бубном бывает практически невозможно. Дело в том, что производители любят реализовывать свои собственные механизмы этой поддержки. Впрочем, по мере "взросления" технологии, поддержка IPsec становится всё более близкой к идеалу, и ваша компания может использовать старые продукты, которые создавались вообще без всякого учёта существования NAT или которые требуют открытия дополнительных портов в брандмауэре.

Если вы знаете английский, то мы рекомендуем ознакомиться с руководствами Тина Бёрда по IPsec и PPTP , которые содержат готовые конфигурации для многих продуктов. Также вы можете заглянуть и в нашу англоязычную секцию VPN Links & Tools , где приведена дополнительная информация.