Veel gebruikers hebben waarschijnlijk wel eens gehoord van de term “PPTP-verbinding”. Wat het is, kunnen sommige mensen zich niet eens in de verste verte voorstellen. Als we echter de principes beschrijven van het tot stand brengen van een verbinding op basis van dit protocol in eenvoudige taal, het is helemaal niet moeilijk om ze te begrijpen.

PPTP-verbinding: wat is het?

Een dergelijke verbinding wordt gebouwd op basis van een gelijknamig protocol, waarvan de afkorting in de naam afkomstig is van het Engelse point-to-point tunneling protocol, dat letterlijk vertaald kan worden als “point-to-point tunnel protocol." Met andere woorden, het is een verbinding tussen twee abonnees door het verzenden van gecodeerde datapakketten via onveilige, op TCP/IP gebaseerde netwerken.

Met het verbindingstype PPTP kunt u zogenaamde PPP-frames omzetten in standaard IP-pakketten, die bijvoorbeeld via internet worden verzonden. En hoewel wordt aangenomen dat het PPTP-protocol qua beveiligingsniveau inferieur is aan sommige andere opties zoals IPSec, is het tegenwoordig vrij wijdverspreid, omdat de gebruiker in feite te maken heeft met een van de soorten VPN-verbindingen (draadloze verbinding).

PPTP-verbinding: waar wordt het voor gebruikt?

Het toepassingsgebied van dit protocol is zeer uitgebreid. Allereerst maakt dit type verbinding tussen twee gebruikers het niet alleen mogelijk om te beschermen doorgegeven informatie, maar bespaar ook aanzienlijk op langeafstandsgesprekken.

Bovendien is dit protocol vaak onmisbaar bij het waarborgen van de communicatie tussen twee lokale netwerken, juist door de overdracht van pakketten op internet via een beveiligde lijn (tunnel), zonder gebruik te maken van directe verbinding tussen hen. Dat wil zeggen dat de twee lokale netwerken geen direct contact hebben en de tunnel als tussenpersoon gebruiken.

Aan de andere kant kan op PPTP gebaseerde tunneling ook worden gebruikt om een ​​client-serververbinding tot stand te brengen, waarbij de gebruikersterminal via een beveiligd kanaal verbinding maakt met de server.

Implementatie van PPTP in verschillende besturingssystemen

Laten we nu een beetje afdwalen en de PPTP-verbinding van de andere kant bekijken. Wat dit is, hebben sinds de ontwikkeling van het protocol door Microsoft maar weinig mensen begrepen. En voor het eerst in een volledige versie werd het door Cisco geïmplementeerd.

Toch bleven de Microsoft-specialisten niet achter. Beginnend met Windows-versies 95 OSR2 verscheen de mogelijkheid om een ​​verbinding tot stand te brengen op basis van PPTP in latere softwareproducten, zelfs met ingebouwde tools voor het configureren van een PPTP-server. Hieronder zullen we als voorbeeld de PPTP-verbinding van Windows 7 beschouwen, vooral omdat dit systeem tegenwoordig nog steeds het populairst is onder de meeste gebruikers.

IN Linux-systemen Tot voor kort volledige ondersteuning deze technologie bestond niet. Het verscheen alleen in wijziging 2.6.13 en werd officieel aangekondigd in kernelversie 2.6.14.

FreeBSD- en Mac OS X-systemen worden geleverd met ingebouwde PPTP-clients. Palm PDA's die ondersteuning bieden draadloze verbinding Wi-Fi, uitgerust met Mergic-client.

Beginvoorwaarden voor een correcte aansluiting

Het gebruik van tunneling is vrij specifiek. Voor het opzetten van een PPTP-verbinding is het gebruik van TCP-poort 1723 en, zonder uitzondering, het IP GRE-protocol met nummer 47 vereist.

Hieruit volgt dat de eventuele instelling van de ingebouwde Windows-firewall zodanig moet zijn dat IP-pakketten vrij en zonder beperkingen kunnen worden doorgegeven. Dit geldt niet alleen voor gebruikersmachines of lokale netwerken. Een dergelijke vrije overdracht van getunnelde gegevens moet eveneens op het niveau van de aanbieder worden gewaarborgd.

Als NAT in de tussenfase van de gegevensoverdracht wordt gebruikt, moet de VPN-verwerking in dit segment dienovereenkomstig worden geconfigureerd.

Algemene principes van werking en aansluiting

We hebben heel kort naar de PPTP-verbinding gekeken. Wat dit is, begrijpen velen waarschijnlijk al een beetje. Volledige duidelijkheid over de kwestie zal worden gemaakt na het bekijken van de basisprincipes van de werking van het protocol en de daarop gebaseerde communicatie, evenals in de sectie waar het installatieproces stap voor stap zal worden getoond voor een PPTP GRE-verbinding.

De verbinding tussen twee punten wordt dus tot stand gebracht op basis van een reguliere PPP-sessie op basis van het GRE-protocol (encapsulation). De tweede verbinding direct op de TCP-poort is verantwoordelijk voor GRE-controle en -initiatie.

Het verzonden IPX-pakket zelf bestaat uit de gegevens zelf, ook wel de payload genoemd, en aanvullende gegevens controle informatie. Wat gebeurt er als er een pakketje wordt ontvangen aan de andere kant van de lijn? Het bijbehorende programma voor een PPTP-verbinding extraheert als het ware de informatie uit het gehele IPX-pakket en verzendt deze ter verwerking met behulp van middelen die overeenkomen met het eigen protocol van het systeem.

Bovendien is een van de belangrijke componenten van tunneltransmissie en ontvangst van basisinformatie vereiste voorwaarde gebruik maken van toegang met behulp van een login-wachtwoordcombinatie. Natuurlijk is het mogelijk om logins en wachtwoorden te hacken in de ontvangstfase, maar tijdens het verzenden van informatie via een beveiligde corridor (tunnel) is dit onmogelijk.

Verbindingsbeveiliging

Zoals reeds vermeld is tunneling op basis van het PPTP-protocol niet in alle opzichten veilig. Als we echter bedenken dat tools als EAP-TLS, MSCHAP-v2 of zelfs MPEE worden gebruikt, kunnen we spreken van een vrij hoge mate van bescherming.

Om het beveiligingsniveau te verhogen, kan soms gebruik worden gemaakt van retouroproepen (dials), waarbij de verzendende of ontvangende partij de verbinding en overdracht van informatie programmatisch bevestigt.

PPTP instellen met behulp van de eigen tools van Windows 7: netwerkadapterinstellingen

Het opzetten van een PPTP-verbinding op elk Windows-systeem is vrij eenvoudig. Zoals reeds vermeld nemen we de “zeven” als voorbeeld.

Eerst moet u naar het Netwerkcentrum gaan gedeelde toegang" Dit kan gedaan worden via het “Configuratiescherm”. Of vanuit het menu dat wordt opgeroepen door met de rechtermuisknop op het internet- of netwerkverbindingspictogram te klikken.

Aan de linkerkant van het menu bevindt zich een regel voor het wijzigen van de parameters van de netwerkadapter die u moet gebruiken. Klik vervolgens met de rechtermuisknop op de lokale netwerkverbinding om te bellen contextmenu en selecteer de eigenschappenregel.

Gebruik in een nieuw venster de eigenschappen van het TCP/IPv4-protocol. In het instellingenvenster moet u de parameters opgeven die door de provider worden verstrekt bij het verbinden (in de meeste gevallen is dit ingesteld automatische ontvangst adressen voor IP- en DNS-servers).

We slaan de wijzigingen op en keren terug naar de lokale netwerkverbinding, waar we moeten controleren of deze actief is dit moment. Gebruik hiervoor de rechtermuisknop. Als het maximaal is bovenste regel"Disconnect" wordt aangegeven, wat betekent dat de verbinding actief is. Schakel het anders in.

Maak en configureer VPN-instellingen

De volgende stap is het opzetten van een VPN-verbinding. Om dit te doen, gebruikt u in het gedeelte “Controlecentrum” aan de rechterkant van het venster de regel om een ​​nieuwe verbinding te maken.

Selecteer daarna verbinding maken met uw werkplek en selecteer vervolgens het gebruik van een bestaande internetverbinding.

Vervolgens stellen we het instellen van de internetverbinding uit en in het volgende venster geven we het internetadres van de VPN-operator aan en voeren we een willekeurige naam in (zorg ervoor dat u onderaan het vakje naast "Nu geen verbinding maken" aanvinkt) .

Voer hierna uw gebruikersnaam en wachtwoord in, indien deze zijn voorzien in de serviceovereenkomst, en klik op de knop "Aanmaken".

Op de lijst beschikbare verbindingen selecteer degene die u zojuist hebt gemaakt en klik in het nieuwe venster op de knop Eigenschappen. Vervolgens moet je uiterst voorzichtig handelen. Op het tabblad Beveiliging is het verplicht om de volgende parameters in te stellen:

• VPN-type: automatisch;
• gegevensversleuteling: optioneel;
• Protocolrechten: CHAP en CHAP versie 2.

We bevestigen de wijzigingen en gaan naar het venster voor het instellen van de verbinding, waar we op de verbindingsknop drukken. Als de instellingen correct zijn uitgevoerd, wordt u verbonden met internet.

Moet ik hulpprogramma's van derden gebruiken?

Gebruikers reageren verschillend op de vraag om extra PPTP-servers of -clients te installeren, maar de meesten zijn het erover eens dat het instellen en gebruiken van de ingebouwde Windows-module lijkt qua eenvoud veel beter.

Je kunt natuurlijk zoiets als pfSense installeren, wat een firewall-routerpakket is, maar de native Multilink PPP Daemon-client heeft veel problemen bij het gebruik van op PPTP gebaseerde Windows-servers wat betreft het verdelen van het gebruik van het authenticatieprotocol tussen de client en de server in, hoewel dergelijke problemen niet werden opgemerkt op terminals van thuisgebruikers. Dit hulpprogramma is, net als elk ander hulpprogramma, veel moeilijker te configureren en zonder speciale kennis kunt u dit specificeren juiste parameters of het is niet mogelijk om de permanente “verwijdering” van het IP-adres van de gebruiker te corrigeren.

U kunt een aantal andere client- of serverhulpprogramma's proberen die zijn ontworpen om een ​​PPTP-verbinding tot stand te brengen, maar wat heeft het voor zin om het systeem te laden? onnodige programma's Wanneer heeft een Windows-besturingssysteem native tools? Bovendien zijn sommige programma's niet alleen moeilijk te configureren, maar kunnen ze ook conflicten veroorzaken op software- en fysiek niveau. Het is dus beter om jezelf te beperken tot wat je hebt.

In plaats van een nawoord

Dat is eigenlijk het enige dat te maken heeft met het PPTP-protocol, evenals het maken, configureren en gebruiken van een daarop gebaseerde tunnelverbinding. Wat het gebruik ervan betreft, het is niet gerechtvaardigd voor de gemiddelde gebruiker. Er bestaan ​​eenvoudigweg legitieme twijfels of iemand een beveiligd communicatiekanaal nodig heeft. Als u uw IP echt wilt beschermen, kunt u dit beter gebruiken anonieme proxyservers op internet of zogenaamde anonimisatoren.

Maar om interactie tussen lokale netwerken te garanderen commerciële ondernemingen of andere structuren, kan het opzetten van een PPTP-verbinding de gemakkelijkste uitweg zijn. En hoewel een dergelijke verbinding geen 100% veiligheid garandeert, blijft het aandeel toch behouden gezond verstand in zijn betrokkenheid is er.

Pptp-poorten zijn protocollen (een reeks communicatieregels) waarmee bedrijven hun eigen bedrijfsnetwerk kunnen uitbreiden via particuliere kanalen en het openbare internet. Dankzij deze methode bedrijf gebruikt Globaal netwerk als één groot lokaal netwerk. Het bedrijf hoeft voor breedband geen eigen lijnen te huren, maar kan op betrouwbare wijze gebruik maken van openbare netwerken. Dit type verbinding wordt genoemd

Pptp-poorten - wat zijn dat?

Dankzij PPTP, een uitbreiding van het Internet Point-to-Point Protocol (PPP), kan elke pc-gebruiker met ondersteuning voor PPP-clients onafhankelijke leverancier diensten (ISP) voor beveiligde verbinding naar een server op een andere locatie (dat wil zeggen via externe toegang). Pptp-poorten behoren tot de meest waarschijnlijke voorstellen als basis voor een nieuwe Internet Engineering Task Force (IETF)-standaard.

Beschrijving van de technologie

De specificatie werd voor het eerst vrijgegeven aan het publiek in juli 1999 en werd ontwikkeld door Microsoft-dochter Ascend Communications (tegenwoordig onderdeel van Alcatel-Lucent). PPTP is niet aangenomen of gestandaardiseerd door de Internet Engineering Task Force. Het protocol wordt tot stand gebracht door te communiceren met een peer op PPTP-poort 1723. Deze TCP-verbinding wordt vervolgens gebruikt om de peer te initiëren en te besturen.

Het PPTP GRE-pakketformaat is niet-standaard, inclusief een nieuw bevestigingsnummerveld dat het typische routeringsveld vervangt. Echter, net als bij een normale GRE-verbinding, worden deze gewijzigde GRE-pakketten direct ingekapseld in IP-pakketten en behandeld als protocol-IP-nummer 47. De GRE-tunnel wordt gebruikt om PPP-pakketten te transporteren. In de implementatie van Microsoft kan getunneld PPP-verkeer worden geverifieerd met behulp van PAP, CHAP, MS-CHAP v1/v2.

Pptp: welke poorten zijn het veiligst?

PPTP is het onderwerp geweest van veel beveiligingsonderzoeken en er zijn in het protocol ernstige beveiligingskwetsbaarheden geïdentificeerd die betrekking hebben op basisprotocollen PPP-authenticatie, ontwikkeling van MPPE-protocollen en integratie tussen MPPE- en PPP-authenticatie voor het opzetten van sessies.

PPTP kent een aantal bekende kwetsbaarheden. Het wordt niet langer als veilig beschouwd, omdat de oorspronkelijke MS-CHAPv2-authenticatie kan worden verbroken door een enkele 56-bits DES-sleutel te kraken. Het is gevoelig voor MITM-aanvallen, waarbij een aanvaller een aanval kan uitvoeren offline modus om de RC4-sleutel te verkrijgen en het verkeer te decoderen. PPTP is ook kwetsbaar voor bit-flipping-aanvallen. Een aanvaller kan PPTP-pakketten zonder detectie wijzigen. OpenVPN met AES-encryptie is een veel veiligere keuze.

Kwetsbaarheidsoverzicht set communicatieregels

MS-CHAP-v1 is fundamenteel onveilig. Er zijn bekende tools om op triviale wijze NT-wachtwoord-hashes uit een vastgelegde MSCHAP-v1-uitwisseling te extraheren.
MS-CHAP-v1 MPPE gebruikt dezelfde RC4-sessiesleutel voor codering in beide richtingen van de communicatiestroom. Hier kan cryptoanalyse worden uitgevoerd gebruik van standaardmethoden door stromen uit elke richting samen te XORen.
MS-CHAP-v2 is kwetsbaar voor woordenboekaanvallen op vastgelegde call response-pakketten. Bestaan basishulpmiddelen om dit proces snel te voltooien.

In 2012 werd ook een online dienst gedemonstreerd die kan ontsleutelen wachtwoordzin MS-CHAP-v2 MD4 in 23 uur. MPPE maakt gebruik van het RC4-streamcijfer. Er is geen manier om de cijfertekststroom te authenticeren, waardoor deze kwetsbaar is voor bit-flipping-aanvallen. Een aanvaller kan de stream tijdens de overdracht wijzigen en individuele bits aanpassen om de uitvoerstream zonder detectie te wijzigen. Deze bitflips kunnen door de protocollen zelf worden gedetecteerd controlesommen of andere middelen.

EAP-TLS wordt beschouwd als de beste keuze authenticatie voor PPTP. Dit vereist echter de implementatie van een publieke sleutelinfrastructuur voor client- en servercertificaten. Als zodanig is het mogelijk geen haalbare authenticatieoptie voor sommige instellingen voor externe toegang.

Gids voor probleemoplossing: Leid VPN's door NAT Firewalls

De populariteit van telecommunicatie blijft groeien, maar informatiebeveiligingskwesties verliezen hun relevantie niet. Dat is de reden waarom kleine en grote bedrijven virtuele particuliere netwerken (VPN's) gebruiken. Gelukkig, informatie afdelingen Bedrijven realiseren zich dat veel werknemers verbonden zijn via huurlijnen en breedbandverbindingen met behulp van routers van consumentenkwaliteit. IT-afdelingen kunnen het leven van gebruikers veel gemakkelijker maken door gebruik te maken van "NAT-vriendelijke" VPN-gateways en VPN-clients, waarvoor geen wijzigingen in de configuratie van thuisrouters nodig zijn voor installatie VPN-tunnel.

Als u niet zoveel geluk heeft, kunt u de situatie nog steeds corrigeren. Controleer eerst of uw router de PPTP- of IPSEC-passthrough-functie ondersteunt PPTP/IPsec "doorgeven." Soortgelijke functie alomtegenwoordig in routers Linksys, zodat u naar deze modellen kunt zoeken. Op Rijst. 1 onderkant van het scherm getoond filters Linksys BEFSR41, dat opties bevat om PPTP- of IPsec-pass-through afzonderlijk in te schakelen.

Rijst. 1. Linksys BEFSR41 VPN end-to-end.

Het enige dat u hoeft te doen, is ondersteuning inschakelen voor degene die u gebruikt. VPN-protocol, start de router opnieuw op. Als alles goed gaat, werkt je VPN direct.

Helaas hebben niet alle routers de mogelijkheid om VPN pass-through mogelijk te maken, maar het ontbreken van deze opties betekent niet dat alles voorbij is.

Werkt niet? Probeer dan een aantal poorten in de firewall van uw router te openen VPN-ondersteuning- verbindingen. U moet alleen poorten (en protocol) openen naar het IP-adres van de computer waarop de VPN-client draait. Houd er rekening mee dat de port forwarding-functie slechts met één computer tegelijk werkt. Als u meerdere VPN-clients moet ondersteunen die dit nodig hebben gelijktijdig werken op het netwerk moet uw router het VPN-protocol dat u gebruikt standaard ondersteunen.

Als u gebruikt Microsoft-protocol PPTP, dan moet u port forwarding configureren TCP-1723 voor het doorgeven van PPTP-verkeer. Op Rijst. 2 scherm getoond Omleiden/doorsturen Linksys BEFSR41-router, waarbij port forwarding is ingesteld op een client met een IP-adres 192.168.5.100 .

Rijst. 2. VPN Linksys BEFSR41 poort doorsturen.

PPTP vereist ook protocolondersteuning IP47(Generieke Routing Encapsulation) om te slagen VPN-verkeer. Houd er rekening mee dat ondersteuning nodig is. protocol, niet de haven. Ondersteuning voor dit protocol moet in de NAT-engine worden ingebouwd, zoals dat op de meeste moderne routers gebeurt.

De firewall openen, vervolg

Ter ondersteuning van VPN-gebaseerd IPsec VPN's moeten een poort openen UDP500 voor onderhandelingssleutel ISAKMP, protocollair IP50 voor verkeer Authenticatiekop(niet altijd gebruikt) en het protocol IP51 om de gegevens zelf over te dragen. Nogmaals, de enige poort die hier wordt doorgestuurd is UDP 500, waar we ook op hebben geprogrammeerd Rijst. 2 naar dezelfde clientmachine op het lokale netwerk; ondersteuning voor de protocollen 50 en 51 moet in uw router zijn ingebouwd.

Niet alle routers zijn hetzelfde! Sommige ondersteunen slechts het openen van één VPN-tunnel en enige cliënt. Anderen ondersteunen meerdere tunnels, maar slechts één client per tunnel. Helaas zijn de meeste fabrikanten in hun documentatie niet erg duidelijk over hoe hun producten VPN-pass-through en de service ondersteunen technische hulp beschikt vaak niet over de juiste kwalificaties om dit probleem op te lossen. In de meeste gevallen moet u de router op uw netwerk testen en retourneren als deze niet werkt.

Werkt niet?

Het kan bijna onmogelijk zijn om sommige routers te dwingen IPsec-gebaseerde VPN te ondersteunen zonder een sjamanistische dans met een tamboerijn te doen. Feit is dat fabrikanten graag hun eigen mechanismen voor deze ondersteuning implementeren. Naarmate de technologie echter volwassener wordt, wordt de IPsec-ondersteuning steeds dichter bij het ideaal gebracht en gebruikt uw bedrijf mogelijk oudere producten die zijn gemaakt zonder enige overweging van het bestaan ​​van NAT of waarvoor het openen van extra poorten in de firewall vereist is.

Als u Engels kent, raden wij u aan de handleidingen van Tin Bird te lezen IPsec En PPTP, die voor veel producten kant-en-klare configuraties bevatten. U kunt ook een kijkje nemen in onze Engelse sectie VPN-links en -hulpmiddelen voor meer informatie.

Wat is virtueel prive netwerk(VPN)? Wat is PPTP, L2TP, IPSec, SSL?

Wat is een virtueel particulier netwerk (VPN)?

Voorheen was er voor veilige gegevensoverdracht behoefte aan een speciale lijn die twee punten met elkaar verbond. De kosten voor het organiseren van dergelijke lijnen zijn behoorlijk hoog.
Een virtueel particulier netwerk geeft gebruikers veilige manier toegang krijgen tot bedrijfsnetwerkbronnen via internet of andere openbare of particuliere netwerken zonder dat een speciale lijn nodig is.

Een veilig particulier virtueel netwerk is een verzameling tunneling-, authenticatie-, toegangscontrole- en controletechnologieën/diensten die worden gebruikt om gegevens en verkeer via internet te beschermen.

Er zijn veel redenen om VPN's te gebruiken. De meest typische daarvan zijn:

Veiligheid(gegevensbescherming).
Met authenticatie kan een ontvanger van een bericht, die een VPN-gebruiker is, de bron van ontvangen pakketten traceren en de gegevensintegriteit garanderen.
Met gegevensbeschermingstools in virtuele particuliere netwerken wordt de vertrouwelijkheid van de originele gebruikersgegevens gegarandeerd.

Prijs(vermindering van het aantal toegangslijnen en vermindering van de kosten voore).
Door een virtueel particulier netwerk op te zetten, kan een bedrijf gegevens verzenden via internettoegangslijnen, waardoor de behoefte aan sommige van de bestaande lijnen wordt verminderd.
Bij het organiseren van een virtueel particulier netwerk worden de kosten voor interlokale telefonie verlaagd, omdat de gebruiker doorgaans diensten ontvangt van een lokale internetprovider, in plaats van langeafstandsgesprek om directe communicatie met het bedrijf tot stand te brengen.

Het is bekend dat netwerken die het IP-protocol gebruiken een "zwakke plek" hebben vanwege de structuur van het IP-protocol. Het was niet de bedoeling van de ontwerpers van IP om beveiligingsfuncties op IP-niveau te bieden, en de flexibiliteit van IP maakt slim gebruik van functies mogelijk van dit protocol om verkeerscontrole, toegangscontrole en andere beveiligingsmaatregelen te omzeilen. Daarom kunnen gegevens op een IP-netwerk gemakkelijk worden gemanipuleerd of onderschept.
Bij het tunnelen om protocolpakketten van het ene type netwerk over een netwerk te transporteren, worden ze ingevoegd of ingekapseld in protocolpakketten van een ander netwerk. Dit garandeert de veiligheid tijdens de gegevensoverdracht.

Protocollen voor het bouwen van een VPN-tunnel:

PPTP(Point-to-Point Tunneling Protocol) is een point-to-point tunnelprotocol waarmee een computer een veilige verbinding met een server tot stand kan brengen door een speciale tunnel te creëren in een standaard, onbeveiligd netwerk. Met het PPTP-protocol kunnen PPP-pakketten worden ingekapseld (verpakt of verborgen voor gebruik) in pakketten Internet Protocol Protocol (IP) en verzend deze via IP-netwerken (inclusief internet).

PPTP biedt veilige overdracht gegevens van de externe client naar aparte server bedrijven door een particulier TCP/IP-netwerk te creëren virtueel netwerk. PPTP kan ook worden gebruikt om een ​​tunnel tussen twee lokale netwerken tot stand te brengen. PPTP werkt door een regelmatige PPP-sessie met de andere partij tot stand te brengen met behulp van het Generic Routing Encapsulation (GRE)-protocol. Tweede verbinding met TCP-poort 1723 wordt gebruikt om een ​​GRE-verbinding te initiëren en te beheren. Het MPPE-protocol kan worden gebruikt om PPTP-verkeersgegevens te beschermen. Er kunnen verschillende mechanismen worden gebruikt om clients te authenticeren, waarvan MSCHAPv2 en EAP-TLS de veiligste zijn.

Om ervoor te zorgen dat de client het PPTP-protocol gebruikt, is het noodzakelijk om een ​​IP-verbinding tot stand te brengen met de PPTP-tunnelserver. Alle gegevens die via deze verbinding worden verzonden, kunnen worden beschermd en gecomprimeerd. De PPTP-tunnel kan gegevens overbrengen van verschillende netwerklaagprotocollen (TCP/IP, NetBEUI en IPX).

Voordelen van het PPTP-protocol:

• Een privé IP-adres gebruiken. De IP-adresruimte van het privénetwerk mag niet worden gecoördineerd met de globale (externe) adresruimte.
• Ondersteunt meerdere protocollen. U kunt toegang krijgen tot privénetwerken met behulp van verschillende combinaties van TCP/IP of IPX.
• Beveiliging van gegevensoverdracht. Beveiligingsprotocollen en -beleid voor externe toegang worden gebruikt om ongeautoriseerde verbindingen te voorkomen.
• De mogelijkheid om authenticatie en gegevensbescherming te gebruiken bij het verzenden van pakketten via internet.

L2TP(Layer 2 Tunneling Protocol) - laag 2 tunnelingprotocol ( linklaag). Combineert het door Cisco ontwikkelde L2F-protocol (Layer 2 Forwarding) en het PPTP-protocol van Microsoft. Hiermee kunt u een VPN organiseren met gespecificeerde toegangsprioriteiten, maar het bevat geen tools voor gegevensbescherming en authenticatiemechanismen.

Het L2TP-protocol maakt gebruik van twee soorten berichten: controle- en informatieberichten. Controleberichten worden gebruikt om tunnels en oproepen tot stand te brengen, te onderhouden en te beëindigen. Om de levering te garanderen, gebruiken ze een betrouwbaar controlekanaal van het L2TP-protocol. Informatieve berichten worden gebruikt om PPP-frames in te kapselen die via de tunnel worden verzonden. Als een pakket verloren gaat, wordt het niet opnieuw verzonden.

De protocolstructuur beschrijft de verzending van PPP-frames en besturingsberichten via het besturingskanaal en het datakanaal van het L2TP-protocol. PPP-frames worden verzonden via een onbetrouwbare datalink, vooraf opgevuld met een L2TP-header, en vervolgens via pakkettransport zoals Frame Relay, geldautomaat, enz. Controleberichten worden verzonden via een betrouwbaar L2TP-controlekanaal, gevolgd door verzending via hetzelfde transport om pakketten door te sturen.

Alle controleberichten moeten bevatten serienummers, vroeger verstrekt betrouwbare bezorging via het controlekanaal. Informatieberichten kunnen volgnummers gebruiken om pakketten te ordenen en verloren pakketten te identificeren.

Voordelen van het L2TP-protocol:

Verscheidenheid aan protocollen. Omdat PPP-framing wordt gebruikt, kunnen externe gebruikers er gebruik van maken een groot aantal van verschillende protocollen zoals IP, IPX, enz.

Er worden tunnels in gemaakt diverse netwerken. L2TP kan zowel via IP-netwerken als via IP-netwerken werken ATM-netwerken, Framerelais, enz.

Beveiliging van gegevensoverdracht. In dit geval mag de gebruiker geen speciaal item hebben software.

Mogelijkheid tot gebruikersauthenticatie.

IPSec(IP-beveiliging) - een reeks protocollen die verband houden met het garanderen van gegevensbescherming tijdens het transport van IP-pakketten. IPSec omvat ook protocollen voor veilige sleuteluitwisseling via internet. IPSec-protocollen werken op netwerk niveau(OSI-laag 3).

Het Internet Protocol (IP) biedt geen enkele manier om verzonden gegevens te beschermen. Het kan zelfs niet garanderen dat de afzender is wie hij zegt dat hij is. IPSec is een poging om de situatie te verhelpen. Met IPSec kan al het verzonden verkeer worden beveiligd voordat het over het netwerk gaat. Bij gebruik van IPSec kan de ontvanger van een bericht de bron van ontvangen pakketten traceren en de integriteit van de gegevens verifiëren. U moet er zeker van zijn dat een transactie slechts één keer kan worden uitgevoerd (tenzij de gebruiker bevoegd is om deze te herhalen). Dit betekent dat het niet mogelijk moet zijn dat een transactie wordt vastgelegd en vervolgens in het record wordt herhaald, waardoor bij de gebruiker de indruk ontstaat dat er meerdere transacties hebben plaatsgevonden. Stel je voor dat een fraudeur informatie over verkeer heeft ontvangen en weet dat het doorgeven van dergelijk verkeer hem bepaalde voordelen kan opleveren (er wordt bijvoorbeeld geld naar zijn rekening overgemaakt). Het is noodzakelijk om de onmogelijkheid te garanderen heruitzending dergelijk verkeer.

Met behulp van een virtueel particulier netwerk (VPN) kunt u de volgende toepassingsproblemen oplossen:

• Virtueel particulier netwerk tussen organisaties
• Mobiele gebruiker
• Gebruiker SOHO

IPSec VPN is optimaal voor het verbinden van netwerken van verschillende kantoren via internet.

U kunt een VPN-verbinding tot stand brengen met behulp van het IPSec-protocol.

Voor gebruikers van het MKB/SOHO (klein bedrijf/klein kantoor/thuiskantoor):

• Economische efficiëntie
• Complete oplossing voor commercieel gebruik

Voor externe gebruikers:

• Geïntegreerde veilige oplossing
• Eenvoudig te configureren

Voor collectieve gebruikers:

• Economisch effectieve oplossing voor externe gebruikers en vestigingen
• Compatibel met de meeste aanbieders van VPN-oplossingen.

Er zijn twee soorten IPSec-protocollen: ESP(Encapsulation Security Payload, inkapseling van beschermde gegevens) en AH.(Authenticatieheader, Authenticatieheader). ESP en AH zijn nieuwe IP-protocollen. Het veld IP-headerprotocol geeft aan dat het pakket een ESP-pakket is als het 50 is, en voor een AH-pakket is het 51.

In ESP- en AH-pakketten tussen de IP-header en de protocolgegevens hoogste niveau de ESP/AH-header is ingevoegd.
ESP kan zowel databeveiliging als authenticatie bieden, maar ook een variant van het ESP-protocol zonder databeveiliging of zonder authenticatie is mogelijk. Het is echter niet mogelijk om het ESP-protocol zowel zonder gegevensbescherming als zonder authenticatie te gebruiken, omdat in dit geval de veiligheid niet gegarandeerd is. Bij het beschermen van de verzonden gegevens wordt de ESP-header niet beschermd, maar worden de protocolgegevens van de bovenste laag en een deel van de ESP-trailer beschermd.
En in het geval van authenticatie worden de ESP-header, de protocolgegevens van de bovenste laag en het ESP-trailergedeelte geverifieerd.
Hoewel het AH-protocol alleen authenticatie kan bieden, doet het dit niet alleen voor de AH-header en protocolgegevens van de bovenste laag, maar ook voor de IP-header.

De IPSec-protocolfamilie kan worden gebruikt om de gehele payload van een IP-pakket te beschermen, of om de protocolgegevens van de bovenste laag in het payload-veld van het IP-pakket te beschermen. Dit verschil wordt bepaald door de keuze uit twee verschillende modi IPSec-protocol: vervoer mode of tunnelmodus.
De transportmodus wordt voornamelijk gebruikt door een IP-host om de gegevens die deze zelf genereert te beschermen, en de tunnelmodus wordt gebruikt door een beveiligingsgateway om IPSec-service te bieden aan andere machines die niet over IPSec-mogelijkheden beschikken. De functies van de IPSec-host en de beveiligingsgateway kunnen echter door dezelfde machine worden uitgevoerd. Beide IPSec-protocollen, AH en ESP, kunnen in transport- of tunnelmodus werken.

SSL-VPN

SSL(Secure Socket Layer) is een beveiligd sockets-protocol dat een veilige gegevensoverdracht via internet garandeert. Bij gebruik wordt er een beveiligde verbinding tot stand gebracht tussen de client en de server.

SSL maakt gebruik van openbare sleutelbeveiliging om de identiteit van de afzender en ontvanger te verifiëren. Behoudt de betrouwbaarheid van de gegevensoverdracht door het gebruik van correctiecodes en veilige hash-functies.

SSL maakt gebruik van RC4, MD5, RSA en andere algoritmen voor gegevensbeveiliging.
SSL gebruikt twee sleutels om gegevens te beschermen: publieke sleutel en een privé- of privésleutel die alleen bekend is bij de ontvanger van het bericht.

Tegenwoordig kunt u op internet veel sites vinden die het SSL-protocol gebruiken om de veiligheid van gebruikersgegevens te garanderen (bijvoorbeeld websites die commerciële en bankdiensten). Bijna alle populaire browsers, e-mailclients en internetapplicaties ondersteunen het werken ermee SSL-protocol. Om toegang te krijgen tot SSL-beveiligde pagina's, gebruikt de URL doorgaans het https-voorvoegsel (poort 443) in plaats van het gebruikelijke http-voorvoegsel om aan te geven dat er een SSL-verbinding zal worden gebruikt.
SSL kan ook beveiliging bieden voor applicatielaagprotocollen (OSI Layer 7), zoals POP3 of FTP. SSL vereist dat de server een SSL-certificaat heeft om te kunnen werken.
Beveiligde verbinding Tussen de client en de server vervult het bij gebruik van SSL twee functies: authenticatie en gegevensbescherming.

SSL bestaat uit twee lagen. Op lagere niveaus(niveaus 4-5) meerdere niveaus transportprotocol(bijv. TCP), het is een opnameprotocol en wordt gebruikt om verschillende protocollen in te kapselen (dat wil zeggen een pakket te vormen). Voor elk ingekapseld protocol biedt het de voorwaarden waaronder de server en de client hun identiteit aan elkaar kunnen bewijzen, de verzonden gegevens kunnen beveiligen en sleutels kunnen uitwisselen vóór het protocol. applicatieprogramma begint met het verzenden en ontvangen van gegevens.

Voordelen van het SSL-protocol:

• Makkelijk te gebruiken
• Geen extra software vereist
• Veilige toegang op afstand

SSL VPN is optimaal voor verbinding gebruikers op afstand naar lokale netwerkbronnen op kantoor via internet.

Achter Extra informatie Voor informatie over de werking van de PPTP-, L2TP-, IPSec- en SSL-protocollen kunt u de officiële website bezoeken van de IETF-organisatie (Internet Engineering Task Force), die betrokken is bij de ontwikkeling van internetprotocollen en -architectuur -http://www.ietf.org

Op 1 november geldt een verbod op het omzeilen van de blokkering met met behulp van VPN. En veel bedrijven, ook buitenlandse, hebben zich afgevraagd wat ze moeten doen voor organisaties die technologie gebruiken om bedrijfsnetwerken te creëren.

Zoals vertegenwoordigers van de Doema zeiden, bevat de wet een clausule op grond waarvan netwerkversleuteling voor bedrijfsdoeleinden kan worden gebruikt. Dit betekent dat bedrijven geen aanzienlijke bedragen hoeven uit te geven aan het installeren van privénetwerken tussen hun kantoren, aangezien het opzetten van een VPN-verbinding vrijwel (en in sommige gevallen) gratis is. Daarom hebben we vandaag besloten om te kijken naar twee manieren om een ​​VPN-verbinding op een bedrijfsnetwerk te organiseren en verschillende protocollen die hiervoor worden gebruikt: PPTP, L2TP/IPsec, SSTP en OpenVPN.

Het wordt “standaard” geleverd op elk VPN-compatibel platform en is eenvoudig te configureren zonder aanvullende software. Een ander voordeel van PPTP zijn de hoge prestaties. Maar helaas is PPTP niet veilig genoeg. Sinds de opname van het protocol in Windows 95 OSR2 eind jaren negentig zijn er verschillende kwetsbaarheden aan het licht gekomen.

Het ernstigste is de niet-ingekapselde authenticatiemogelijkheid van MS-CHAP v2. Deze exploit maakte het mogelijk om PPTP in twee dagen te kraken. Microsoft “repareerde” het gat door over te stappen op het PEAP-authenticatieprotocol, maar stelde toen zelf voor om de L2TP/IPsec- of SSTP VPN-protocollen te gebruiken. Een ander punt is dat PPTP-verbindingen eenvoudig te blokkeren zijn omdat het protocol werkt met één poortnummer 1723 en gebruik maakt van het GRE-protocol.

Wanneer een VPN-tunnel tot stand is gebracht, ondersteunt PPTP twee typen verzonden berichten: controleberichten om de VPN-verbinding in stand te houden en uit te schakelen, en de datapakketten zelf.

L2TP en IPsec

Layer 2 Tunneling Protocol, of L2TP, is ook aanwezig in vrijwel alle moderne besturingssystemen en werkt met alle apparaten die een VPN kunnen ‘waarnemen’.

L2TP kan het verkeer dat er doorheen gaat niet coderen en wordt daarom vaak gebruikt in combinatie met IPsec. Dit leidt echter tot een negatief effect: er vindt dubbele inkapseling van gegevens plaats in L2TP/IPsec, wat de prestaties negatief beïnvloedt. L2TP maakt ook gebruik van UDP-poort 500, die gemakkelijk wordt geblokkeerd door een firewall als je achter een NAT zit.

L2TP/IPsec kan werken met 3DES- of AES-coderingen. De eerste is kwetsbaar voor meet-in-the-middle- en sweet32-aanvallen, en wordt daarom in de praktijk zelden gezien. Er zijn geen grote kwetsbaarheden bekend bij het werken met de AES-codering, dus in theorie zou dit protocol veilig moeten zijn (indien correct geïmplementeerd). John Gilmore, oprichter van de Electronic Frontier Foundation, gaf in zijn bericht echter aan dat IPSec op een bijzondere manier verzwakt zou kunnen worden.

Het ernstigste probleem met L2TP/IPsec is dat veel VPN-diensten dit niet goed implementeren. Ze gebruiken vooraf gedeelde sleutels (PSK), die kunnen worden gedownload van de website. PSK is nodig om een ​​verbinding tot stand te brengen, dus zelfs als de gegevens in gevaar komen, blijven deze beschermd door AES. Maar een aanvaller kan PSK gebruiken om zich voor te doen als een VPN-server en vervolgens versleuteld verkeer afluisteren (zelfs kwaadaardige code injecteren).

SSTP

Secure Socket Tunneling Protocol, of SSTP, is een VPN-protocol ontwikkeld door Microsoft-bedrijf. Het is gebaseerd op SSL en werd voor het eerst gelanceerd in Windows Vista SP1. Tegenwoordig is het protocol beschikbaar voor besturingssystemen zoals RouterOS, Linux, SEIL en Mac OS X, maar het vindt zijn belangrijkste toepassing nog steeds op Windows-platform. SSTP is een eigen standaard die eigendom is van Microsoft en de code ervan is niet openbaar beschikbaar.

SSTP zelf heeft geen cryptografische functionaliteit behalve één functie: we praten over over cryptografische binding die beschermt tegen MITM-aanvallen. Gegevenscodering wordt uitgevoerd door SSL. Een beschrijving van de procedure voor het tot stand brengen van een VPN-verbinding vindt u op de website van Microsoft.

Nauwe integratie met Windows vereenvoudigt het gebruik van het protocol en verbetert de stabiliteit op dit platform. SSTP maakt echter gebruik van SSL 3.0, dat kwetsbaar is voor de POODLE-aanval, wat in theorie de veiligheid van het VPN-protocol aantast.

VPN-verbindingstypen

In het artikel van vandaag zullen we het hebben over de twee meest gebruikte soorten VPN-verbindingen. We zullen het hebben over externe toegang tot het bedrijfsnetwerk (remote access) en point-to-point-verbinding (site-to-site)

Met externe toegang kunnen bedrijfsmedewerkers via internet veilig verbinding maken met het bedrijfsnetwerk. Dit is vooral belangrijk wanneer een medewerker niet op kantoor werkt en verbinding maakt via onbeveiligde toegangspunten, bijvoorbeeld Wi-Fi in een café. Om deze verbinding te organiseren, wordt er een tunnel tot stand gebracht tussen de client op het gadget van de gebruiker en de VPN-gateway op het bedrijfsnetwerk. De gateway verifieert en verleent (of beperkt) vervolgens toegang tot netwerkbronnen.

Om de verbinding te beveiligen, worden ze het vaakst gebruikt IPsec-protocollen of SSL. Het is ook mogelijk om PPTP- en L2TP-protocollen te gebruiken.

/ Wikimedia / Philippe Belet / PD