Андрей Смирнов
Время чтения: ~9 мин.
Просмотров: 0

Объяснения принципов работы протоколов vpn-безопасности: понимание pptp

PPTP VPN — что это?

PPTP (англ. Point-to-point tunneling protocol) — туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой, сети. PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например Интернет. PPTP может также использоваться для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение для обслуживания туннеля.

Спецификация

Спецификация протокола была опубликована как «информационный» RFC 2637 в 1999 году. Она не была ратифицирована IETF. Протокол считается менее безопасным, чем другие VPN-протоколы, например, IPSec. PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation. Второе соединение на TCP-порте 1723 используется для инициации и управления GRE-соединением. PPTP сложно перенаправлять за сетевой экран, так как он требует одновременного установления двух сетевых сессий.

PPTP-трафик может быть зашифрован с помощью MPPE. Для аутентификации клиентов могут использоваться различные механизмы, наиболее безопасные из них — MSCHAP-v2 и EAP-TLS.

Реализация PPTP

Cisco первой реализовала PPTP и позже лицензировала эту технологию корпорации Microsoft.

PPTP удалось добиться популярности благодаря тому что это первый VPN протокол, поддерживаемый корпорацией Microsoft. Все версии Microsoft Windows, начиная с Windows 95 OSR2, включают в свой состав PPTP-клиент, однако существует ограничение на два одновременных исходящих соединения. А сервис удалённого доступа для Microsoft Windows включает в себя PPTP сервер.

До недавнего времени в Linux-дистрибутивах отсутствовала полная поддержка PPTP из-за опасения патентных претензий по поводу протокола MPPE. Впервые полная поддержка MPPE появилась в Linux 2.6.13. Официально поддержка PPTP была начата с версии ядра Linux 2.6.14.

Операционная система FreeBSD поддерживает PPTP протокол, используя в качестве сервера PPTP порт mpd (/usr/ports/net/mpd), используя подсистему netgraph. В качестве клиента PPTP в системе FreeBSD может выступать либо порт pptpclient (/usr/ports/net/pptpclient), либо порт mpd, работающий в режиме клиента.

Mac OS X поставляется со встроенным PPTP клиентом. Cisco и Efficient Networks продают реализации PPTP клиента для более старых версий Mac OS. КПК Palm, имеющие поддержку Wi-Fi, поставляются с PPTP клиентом Mergic.

Microsoft Windows Mobile 2003 и более новые также поддерживают PPTP.

Пожалуйста, обратите внимание, что PPTP VPN сервис использует для своей работы порт TCP 1721/TCP и протокол IP GRE (номер 47). Такие пакеты должны проходить через Ваш Firewall/NAT (и соответственно, Firewall/NAT Вашего провайдера), а если по дороге до нашего сервера есть NAT, то он должен корректно обрабатывать VPN соединение в целом (как правило, это осуществляется с помощью модуля PPTP NAT helper)

Наши сервера поддерживают PPTP VPN c MPPE (Microsoft Point-to-Point Encryption) шифрованием и MPPC сжатием.

1996-2020 RussianProxy.ru — PPTP / L2TP / OpenVPN TCP / OpenVPN UDP VPN сервис, русский выделенный IP, безлимитные тарифы.

Автоматическое установление разорванного VPN соединения

Важным аспектом является способность клиентского ПО переустановить VPN соединение при пропадании действующего. Такое переустановление соединения может:

  • не происходить
  • происходить безусловно
  • происходить при появлении на маршрутизаторе или компьютере трафика, который предназначен для другой стороны туннеля (dial-on-demand)

Плюсы:

  • широко распространен
  • просто настраивается
  • есть шифрование и компрессия
  • быстрый

Минусы:

слабая устойчивость к атакам на авторизацию по протоколу MS-CHAPv2

PS: Для предотвращения атак взлома MS-CHAPv2, в системе VPNKI вы можете использовать возможность «Белый список». В этом случае, установление соединения будет возможно лишь с указанных в списке IP адресов.

Далее:

ДОПОЛНИТЕЛЬНО

Кроме базового функционала по объединению VPN туннелей с различными протоколами, в системе VPNKI вы можете воспользоваться удаленным доступом к компьютеру или камере, используя:

Доступ из Интернет через HTTP и SOCK5 прокси

Публикацию URL по которому вы будете попадать на свое домашнее устройство

Проброс порта TCP, который будет вести на устройство в вашей сети

Возможные ошибки и сбои

Что же касается появления ошибок и сбоев при установке подключения к интернету через созданное соединение, тут проблем может быть сколько угодно. Самая главная состоит в обычной невнимательности пользователя, который просто неправильно вписал адрес сервера или ввел недействительные логин и пароль.

Второй момент, на который следует обратить внимание, — свойства протокола IPv4. В его параметрах и настройках в обязательном порядке должно быть указано автоматическое получение всех адресов, включая и IP, и DNS

Кроме того, для локальных адресов должно быть отключено использование прокси. Имейте в виду, что со статическими IP беспроводные технологии работать не хотят. Единственный вариант – подключение нескольких терминалов, объединенных в локальную или виртуальную сеть через один L2TP-сервер (в этом случае логины и пароли присваиваются каждой машине).

Наконец, если и при такой постановке вопроса возникают ошибки, попробуйте использовать бесплатные DNS-адреса для предпочитаемого и альтернативного сервера, предоставляемые, например, Google (сочетания четверок и восьмерок).

Когда стоит задуматься о настройке VPN-роутера

Как мы уже упоминали выше, VPN-роутер может стать отличным решением, если вам нужна защита и конфиденциальность онлайн для большого количества устройств.

Мы хотим познакомить вас с нашим воображаемым другом Александром. Александр — владелец популярного кафе с несколькими сотнями посетителей в день, которых привлекают отличные напитки и супербыстрый Wi-Fi.

Александр не хочет, чтобы в его сети пировали хакеры и другие киберпреступники; он хочет, чтобы посетители были защищены в Интернете, потому что это хорошо сказывается на бизнесе.

Поэтому Александр решает вложить деньги в хороший VPN-роутер, который шифрует всю конфиденциальную информацию пользователей этой сети и дает посетителям возможность наслаждаться отличным кофе и вкусными смузи, спокойно просматривая веб-сайты.

С другой стороны, наша подруга Екатерина хочет запустить свой стартап. Прямо сейчас она не может себе позволить оплачивать работу целого отдела по кибербезопасности, так что она покупает для своей молодой компании VPN-роутер, который защитит все устройства организации в сети, а также все ее конфиденциальные данные.

Во всем мире множество таких условных Александров и Екатерин, и, может быть, даже вы находитесь в похожей ситуации! Если да, то вам точно стоит подумать над приобретением VPN-роутера для своего малого бизнеса или социальных мероприятий.

Мы не хотим никого обманывать, так что скажем, что вам может и не понадобиться онлайн-защита такого масштаба, в каком ее может предоставить VPN-роутер. Например, если вы пользуетесь VPN в основном самостоятельно, чтобы защитить только свои личные устройства. То же самое справедливо и в том случае, если вы пользуетесь VPN только время от времени и лишь для вполне тривиальных задач.

Также стоит отметить, что не все VPN-сервисы поддерживают необходимый функционал для роутеров. Если вы пользуетесь простым бесплатным VPN-провайдером, то, скорее всего, он не будет работать с роутером. Может получиться и еще хуже — вы сломаете в процессе настройки свой роутер и только добавите себе проблем.

Если вы серьезно настроены перейти на VPN-роутер (или просто хотите получить самые надежные VPN-услуги), советуем вам посмотреть предложения лучших VPN-провайдеров на рынке, а именно ExpressVPN и NordVPN. Благодаря их потрясающим возможностям и отличным скидкам, вы быстро поймете, почему они считаются премиум-провайдерами VPN, и вас совсем не смутит цена вопроса.

L2TP-соединение: что это?

Вам будет интересно:Что такое DLC? Лучшие примеры

Для начала рассмотрим, что собой представляет данный тип подключения к интернету или по сети с использованием именно такого типа доступа. На самом деле протокол L2TP является одной из разновидностей установки доступа в интернет на основе VPN с применением так называемого туннелирования.

Вам будет интересно:Восстановление системы через командную строку Windows 10: порядок действий

При подключении компьютеров к интернету таким способом обеспечивается максимально возможная конфиденциальность. И достигается это не только потому, что доступ к туннелю блокируется, но и потому, что все данные на входе и на выходе шифруются. Плюс ко всему – наличие проверочных ключей с обеих сторон. Иными словами, не зная автоматически генерируемых ключей, украсть или просмотреть информацию никто не может. К тому же, как уже понятно, она находится в зашифрованном виде.

Обязательные условия для работы подключения

Но это были всего лишь краткие теоретические сведения, так сказать, для общего развития. Теперь перейдем к практическим действиям и рассмотрим использование L2TP-соединения. Что это за технология, думается, немного понятно, так что основные действия по созданию такого подключения от стандартной настройки VPN практически ничем отличаться не будут.

Однако перед тем, как заниматься подобными действиями, обратите внимание на несколько обязательных пунктов, без соблюдения которых создаваемое подключение не то что работать не будет, его даже создать не получится. Основные критерии таковы:

  • операционная система не ниже Windows Vista (рекомендуется), хотя в XP настройка тоже возможна;
  • наличие адреса корпоративного сервера, к которому предполагается произвести подключение;
  • наличие логина и пароля для входа в сеть.

Шифрование данных

В составе PPTP может использоваться (а может и не использовтаься) шифрование данных протоколом MPPE (Microsoft Point-to-Point Encryption). MPPE поддерживает 40, 56 и 128 битные ключи. Однако, далеко не все устройства, использующие PPTP умеют использовать шифрование. Многие старые модели модемов и домашних маршрутизаторов не поддерживают шифрование MPPE.

Стоит отметить, что при работе с VPNKI, для использования соединения с шифрованием вам необходимо в настройках соединения: — использовать авторизацию MS-CHAPv2 и указать что будет использоваться шифрование (MPPE)Для соединения без шифрования вам необходимо: — использовать авторизацию CHAP и указать, что шифрование использоваться не будет.

Начальный этап создания соединения

Итак, сначала необходимо войти в «Центр управления сетями и общим доступом» (вызвать данный раздел можно либо из стандартной «Панели управления», либо через меню ПКМ на значке сети в системном трее (слева от часов и даты).

Здесь необходимо использовать гиперссылку создания нового сетевого подключения и выбрать подключение к рабочему месту. Далее будет предложено использовать либо имеющееся подключение через VPN, либо прямой набор номера.

Выбирайте первый, поскольку использование второго имеет смысл только в том случае, если связь осуществляется через оператора мобильной связи с использованием модема.

Далее вопрос о том, как настроить L2TP-соединение, предполагает выбор отложенного подключения, а не немедленной установки связи (такое действие рекомендовано, но обязательным не является, и единого решения по этому поводу нет).

На следующем этапе будьте особо внимательны, поскольку точность ввода адреса сервера здесь играет первостепенную роль. Вписываете адрес, вводите произвольное название нового соединения (тип местоназначения), после чего в чекбоксе ставите флажок на запоминание введенных данных (это избавит вас от постоянного ввода информации при последующих входах). Далее просто нажимаете кнопку создания подключения, после чего оно появится в разделе сетевых настроек и в системном трее.

Безопасность протокола PPTP

PPTP был объектом множества анализов безопасности, в нём были обнаружены различные серьёзные уязвимости. Известные относятся к используемым протоколам аутентификации PPP, устройству протокола MPPE и интеграции между аутентификациями MPPE и PPP для установки сессионного ключа. Краткий обзор данных уязвимостей:

  • MSCHAP-v1 совершенно ненадёжен. Существуют утилиты для лёгкого извлечения хешей паролей из перехваченного обмена MSCHAP-v1.
  • MSCHAP-v2 уязвим для словарной атаки на перехваченные challenge response пакеты. Существуют программы, выполняющие данный процесс.
  • В 2012 году было показано, что сложность подбора ключа MSCHAP-v2 эквивалентна подбору ключа к шифрованию DES, и был представлен онлайн-сервис, который способен восстановить ключ за 23 часа.
  • При использовании MSCHAP-v1, MPPE использует одинаковый RC4 сессионный ключ для шифрования информационного потока в обоих направлениях. Поэтому стандартным методом является выполнение XOR’а потоков из разных направлений вместе, благодаря чему криптоаналитик может узнать ключ.
  • MPPE использует RC4 поток для шифрования. Не существует метода для аутентификации цифробуквенного потока и поэтому данный поток уязвим для атаки, делающей подмену битов. Злоумышленник легко может изменить поток при передаче и заменить некоторые биты, чтобы изменить исходящий поток без опасности своего обнаружения. Данная подмена битов может быть обнаружена с помощью протоколов, считающих контрольные суммы.
Рейтинг автора
5
Материал подготовил
Максим Иванов
Наш эксперт
Написано статей
129
Ссылка на основную публикацию
Похожие публикации