PPTP VPN - มันคืออะไร? การป้องกันการเชื่อมต่อหมายถึง การใช้งาน PPTP ใน OS ต่างๆ

เมื่อวันที่ 1 พฤศจิกายน ได้มีการสั่งห้ามเลี่ยงการปิดกั้นด้วย ใช้ VPN- และบริษัทหลายแห่งรวมทั้งต่างชาติต่างสงสัยว่าจะทำอย่างไรกับองค์กรที่ใช้เทคโนโลยีเพื่อสร้างเครือข่ายองค์กร

ตามที่ตัวแทนของ State Duma กล่าว กฎหมายมีข้อกำหนดตามที่สามารถใช้การเข้ารหัสเครือข่ายได้ วัตถุประสงค์ขององค์กร- ซึ่งหมายความว่าบริษัทจะไม่ต้องเสียเงินจำนวนมากและติดตั้งเครือข่ายส่วนตัวระหว่างสำนักงานของตน เนื่องจากการตั้งค่าการเชื่อมต่อ VPN นั้นใช้งานได้จริง (และในบางกรณีก็สามารถทำได้) ฟรี ดังนั้นวันนี้เราจึงตัดสินใจดูสองวิธีในการจัดระเบียบการเชื่อมต่อ VPN เครือข่ายองค์กรและหลายโปรโตคอลที่ใช้สำหรับสิ่งนี้: PPTP, L2TP/IPsec, SSTP และ OpenVPN

มา “ตามค่าเริ่มต้น” บนแพลตฟอร์มที่รองรับ VPN และกำหนดค่าได้อย่างง่ายดายโดยไม่ต้องเพิ่มเติม ซอฟต์แวร์- ข้อดีอีกประการของ PPTP ก็คือประสิทธิภาพสูง แต่น่าเสียดายที่ PPTP ไม่ปลอดภัยเพียงพอ นับตั้งแต่มีการรวมระเบียบการเข้าไว้ใน องค์ประกอบของหน้าต่าง 95 OSR2 ในช่วงปลายยุค มีการเปิดเผยช่องโหว่หลายประการ

ที่ร้ายแรงที่สุดคือความสามารถในการตรวจสอบสิทธิ์แบบไม่ห่อหุ้มของ MS-CHAP v2 การหาประโยชน์นี้ทำให้สามารถถอดรหัส PPTP ได้ภายในสองวัน Microsoft “แก้ไข” ช่องโหว่โดยเปลี่ยนไปใช้โปรโตคอลการตรวจสอบสิทธิ์ PEAP แต่จากนั้นพวกเขาก็แนะนำให้ใช้โปรโตคอล L2TP/IPsec หรือ SSTP VPN อีกประเด็นหนึ่งคือการเชื่อมต่อ PPTP นั้นบล็อกได้ง่ายเนื่องจากโปรโตคอลใช้งานได้กับพอร์ตเดียวหมายเลข 1723 และใช้โปรโตคอล GRE

เมื่อสร้างอุโมงค์ VPN แล้ว PPTP รองรับข้อความที่ส่งสองประเภท: ควบคุมข้อความเพื่อรักษาและปิดใช้งานการเชื่อมต่อ VPN และแพ็กเก็ตข้อมูลเอง

L2TP และ IPsec

Layer 2 Tunneling Protocol หรือ L2TP มีอยู่ในเกือบทุกสมัยใหม่ ระบบปฏิบัติการโอ้ และมันใช้งานได้กับอุปกรณ์ทั้งหมดที่สามารถ "ยอมรับ" VPN ได้

L2TP ไม่สามารถเข้ารหัสการรับส่งข้อมูลที่ส่งผ่านได้ ดังนั้นจึงมักใช้ร่วมกับ IPsec อย่างไรก็ตาม สิ่งนี้นำไปสู่ผลกระทบเชิงลบ - การห่อหุ้มข้อมูลสองครั้งเกิดขึ้นใน L2TP/IPsec ซึ่งส่งผลเสียต่อประสิทธิภาพการทำงาน L2TP ยังใช้พอร์ต UDP 500 ซึ่งได้รับการบล็อกโดยไฟร์วอลล์อย่างง่ายดายหากคุณอยู่หลัง NAT

L2TP/IPsec สามารถทำงานร่วมกับการเข้ารหัส 3DES หรือ AES การโจมตีแบบแรกมีความเสี่ยงที่จะถูกโจมตีแบบพบปะตรงกลางและแบบหวาน 32 ดังนั้นจึงไม่ค่อยพบเห็นในทางปฏิบัติในปัจจุบัน ไม่มีช่องโหว่ที่สำคัญเมื่อทำงานกับการเข้ารหัส AES ดังนั้นตามทฤษฎีแล้วโปรโตคอลนี้ควรมีความปลอดภัย (หาก การใช้งานที่ถูกต้อง- อย่างไรก็ตาม John Gilmore ผู้ก่อตั้ง Electronic Frontier Foundation ระบุในโพสต์ของเขาว่า IPSec อาจอ่อนแอลงในลักษณะพิเศษ

ที่สุด ปัญหาร้ายแรงปัญหาของ L2TP/IPsec คือบริการ VPN จำนวนมากใช้งานไม่ดีพอ พวกเขาใช้คีย์แชร์ล่วงหน้า (PSK) ซึ่งสามารถดาวน์โหลดได้จากเว็บไซต์ PSK เป็นสิ่งจำเป็นในการสร้างการเชื่อมต่อ ดังนั้นแม้ว่าข้อมูลจะถูกบุกรุก แต่ก็ยังคงได้รับการปกป้องโดย AES แต่ผู้โจมตีสามารถใช้ PSK เพื่อเลียนแบบเซิร์ฟเวอร์ VPN จากนั้นดักฟังการรับส่งข้อมูลที่เข้ารหัส (แม้กระทั่งการแทรกโค้ดที่เป็นอันตราย)

สสส

Secure Socket Tunneling Protocol หรือ SSTP เป็นโปรโตคอล VPN ที่พัฒนาโดย บริษัทไมโครซอฟต์- มันใช้ SSL และเปิดตัวครั้งแรกในปี วินโดวส์วิสต้าเอสพี1. ปัจจุบันโปรโตคอลนี้พร้อมใช้งานสำหรับระบบปฏิบัติการเช่น RouterOS, Linux, SEIL และ Mac OS X แต่ยังคงพบแอปพลิเคชันหลักบน แพลตฟอร์มวินโดวส์- SSTP เป็นมาตรฐานที่เป็นกรรมสิทธิ์ของ Microsoft และรหัสดังกล่าวไม่ได้เปิดเผยต่อสาธารณะ

SSTP เองไม่มีฟังก์ชันการเข้ารหัสยกเว้นฟังก์ชันเดียว - เรากำลังพูดถึงเกี่ยวกับการเชื่อมโยงการเข้ารหัสที่ป้องกันการโจมตี MITM การเข้ารหัสข้อมูลดำเนินการโดย SSL คำอธิบายของขั้นตอนการสร้างการเชื่อมต่อ VPN สามารถดูได้จากเว็บไซต์ Microsoft

การบูรณาการอย่างแน่นหนากับ Windows ช่วยให้การใช้โปรโตคอลง่ายขึ้นและปรับปรุงความเสถียรบนแพลตฟอร์มนี้ อย่างไรก็ตาม SSTP ใช้ SSL 3.0 ซึ่งเสี่ยงต่อการโจมตี POODLE ซึ่งในทางทฤษฎีส่งผลต่อความปลอดภัยของโปรโตคอล VPN

ประเภทการเชื่อมต่อ VPN

ในบทความวันนี้เราจะพูดถึงการเชื่อมต่อ VPN สองประเภทที่ใช้บ่อยที่สุด เราจะพูดถึงการเข้าถึงเครือข่ายองค์กรจากระยะไกล (การเข้าถึงระยะไกล) และการเชื่อมต่อแบบจุดต่อจุด (ไซต์ต่อไซต์)

การเข้าถึงระยะไกลช่วยให้พนักงานของบริษัทสามารถเชื่อมต่อกับเครือข่ายของบริษัทผ่านทางอินเทอร์เน็ตได้อย่างปลอดภัย นี่เป็นสิ่งสำคัญอย่างยิ่งเมื่อพนักงานไม่ได้ทำงานในสำนักงานและเชื่อมต่อผ่านจุดเข้าใช้งานที่ไม่ปลอดภัย เช่น Wi-Fi ในร้านกาแฟ เพื่อจัดระเบียบการเชื่อมต่อนี้ อุโมงค์จะถูกสร้างขึ้นระหว่างไคลเอนต์บนอุปกรณ์ของผู้ใช้และเกตเวย์ VPN บนเครือข่ายของบริษัท เกตเวย์จะตรวจสอบสิทธิ์แล้วให้สิทธิ์ (หรือจำกัด) การเข้าถึงทรัพยากรเครือข่าย

เพื่อความปลอดภัยในการเชื่อมต่อ มักใช้บ่อยที่สุด โปรโตคอล IPsecหรือ SSL นอกจากนี้ยังสามารถใช้โปรโตคอล PPTP และ L2TP ได้อีกด้วย


/ วิกิมีเดีย / ฟิลิปป์ เบเลต์ / PD

PPTP(Point-to-Point Tunneling Protocol) เป็นโปรโตคอลช่องสัญญาณแบบจุดต่อจุดที่อนุญาตให้คอมพิวเตอร์สร้างการเชื่อมต่อที่ปลอดภัยกับเซิร์ฟเวอร์โดยการสร้างช่องสัญญาณพิเศษในเครือข่ายมาตรฐานที่ไม่ปลอดภัย PPTP ห่อหุ้ม เฟรม ปชปลงในแพ็กเก็ต IP เพื่อการส่งผ่าน เครือข่ายไอพีทั่วโลกเช่น อินเทอร์เน็ต PPTP สามารถใช้เพื่อสร้างอุโมงค์ระหว่างสองแห่งได้ เครือข่ายท้องถิ่น.

ข้อกำหนดโปรโตคอลได้รับการเผยแพร่เป็น "ข้อมูล" RFC 2637 ในปี 1999 ยังไม่ได้รับการรับรองจาก IETF โปรโตคอลนี้ถือว่ามีความปลอดภัยน้อยกว่า IPSec - โปรโตคอลสำหรับปกป้องการรับส่งข้อมูลเครือข่ายในระดับ IP

PPTP ทำงานโดยการสร้างเซสชัน PPP ปกติกับฝ่ายตรงข้ามโดยใช้โปรโตคอล GRE tunnel บนพอร์ต 47 การเชื่อมต่อที่สองบนพอร์ต TCP 1723 ใช้เพื่อเริ่มต้นและควบคุมการเชื่อมต่อ GRE PPTP ยากที่จะเปลี่ยนเส้นทางหลังไฟร์วอลล์เนื่องจากต้องมีการสร้างเซสชันเครือข่ายสองเซสชันพร้อมกัน

การรับส่งข้อมูล PPTP สามารถเข้ารหัสได้โดยใช้ MPPE สามารถใช้กลไกต่างๆ ในการตรวจสอบสิทธิ์ไคลเอ็นต์ได้ ซึ่งกลไกที่ปลอดภัยที่สุดคือ MS-CHAPv2 และ EAP-TLS โปรโตคอล PPTP ไม่สามารถถือว่ายอมรับได้จากมุมมอง ความปลอดภัยของข้อมูลอย่างน้อยที่สุด โดยไม่ต้องใช้มาตรการเพิ่มเติมเพื่อรับรองความปลอดภัยของข้อมูลของช่องทางการสื่อสาร หรือไม่ใช้วิธีการปกป้องข้อมูลเพิ่มเติม (เช่น การเข้ารหัสเพิ่มเติม) ที่. ไม่ควรใช้ PPTP เครือข่ายสาธารณะ(อินเทอร์เน็ต เครือข่ายส่วนตัว (บ้าน)) เพื่อรับรองการรักษาความลับและ/หรือความปลอดภัย ความลับทางการค้า(และโดยเฉพาะอย่างยิ่งสำหรับการรักษาความลับของรัฐ)

PPTP - รองรับ Windows ในตัว

โปรดทราบว่า PPTP บริการวีพีเอ็นใช้พอร์ต TCP 1721/TCP และโปรโตคอล IP GRE (หมายเลข 47) สำหรับการดำเนินการ แพ็กเก็ตดังกล่าวจะต้องผ่านไฟร์วอลล์/NAT ของคุณ (และไฟร์วอลล์/NAT ของผู้ให้บริการของคุณตามลำดับ) และหากมี NAT ระหว่างทางไปยังเซิร์ฟเวอร์ของเรา จะต้องดำเนินการอย่างถูกต้อง การเชื่อมต่อวีพีเอ็นโดยทั่วไป (โดยปกติจะทำโดยใช้โมดูลตัวช่วย PPTP NAT)

การนำ PPTP ไปใช้

Cisco เป็นบริษัทแรกที่ใช้ PPTP และต่อมาได้ให้ลิขสิทธิ์เทคโนโลยีแก่ Microsoft PPTP ได้รับความนิยมเนื่องจากเป็นโปรโตคอลทันเนลตัวแรกที่ Microsoft รองรับ ทุกรุ่น ไมโครซอฟต์ วินโดวส์เริ่มต้นด้วย Windows 95 OSR2 รวมไคลเอนต์ PPTP แต่มีข้อ จำกัด ของการเชื่อมต่อขาออกพร้อมกันสองครั้ง และบริการ การเข้าถึงระยะไกลสำหรับ Microsoft Windows มีเซิร์ฟเวอร์ PPTP

จนกระทั่งเมื่อไม่นานมานี้ไม่มี การสนับสนุนอย่างเต็มที่ PPTP เนื่องจากความกังวลเกี่ยวกับการเรียกร้องสิทธิบัตรเหนือโปรโตคอล MPPE รองรับ MPPE เต็มรูปแบบครั้งแรกใน Linux 2.6.13 การสนับสนุน PPTP อย่างเป็นทางการเริ่มต้นด้วยเวอร์ชัน เคอร์เนลลินุกซ์ 2.6.14. อย่างไรก็ตาม ข้อเท็จจริงเพียงอย่างเดียวของการใช้ MPPE ใน PPTP ไม่ได้รับประกันความปลอดภัยของโปรโตคอล PPTP จริงๆ ระบบปฏิบัติการ FreeBSD รองรับโปรโตคอล PPTP โดยใช้พอร์ตการกำหนดค่า MPD 5 (/usr/ports/net/mpd) เป็นเซิร์ฟเวอร์ PPTP โดยใช้ระบบย่อย netgraph ในฐานะลูกค้า PPTP ใน ระบบฟรีบีเอสดีอาจเป็นพอร์ต pptpclient (/usr/ports/net/pptpclient) หรือพอร์ต mpd ที่ทำงานในโหมดไคลเอ็นต์ Mac OS X มาพร้อมกับไคลเอนต์ PPTP ในตัว Cisco และ Efficient Networks จำหน่ายการใช้งานไคลเอนต์ PPTP สำหรับรุ่นเก่า เวอร์ชัน Macระบบปฏิบัติการ ปาล์มพีดีเอด้วย รองรับ Wi-Fiมาพร้อมกับไคลเอนต์ Mergic PPTP

PPTP(อังกฤษ: Point-to-point tunneling protocol) - โปรโตคอลช่องสัญญาณแบบจุดต่อจุดที่ช่วยให้คอมพิวเตอร์สร้างการเชื่อมต่อที่ปลอดภัยกับเซิร์ฟเวอร์โดยการสร้างช่องสัญญาณพิเศษในเครือข่ายมาตรฐานที่ไม่มีการป้องกัน PPTP ล้อม (ห่อหุ้ม) เฟรม PPP ลงในแพ็กเก็ต IP สำหรับการส่งผ่านเครือข่าย IP ทั่วโลก เช่น อินเทอร์เน็ต PPTP ยังสามารถใช้เพื่อสร้างช่องสัญญาณระหว่างเครือข่ายท้องถิ่นสองเครือข่าย PPTP ใช้การเชื่อมต่อ TCP เพิ่มเติมเพื่อรักษาทันเนล

ข้อมูลจำเพาะ

ข้อกำหนดโปรโตคอลได้รับการเผยแพร่เป็น "ข้อมูล" RFC 2637 ในปี 1999 ยังไม่ได้รับการรับรองจาก IETF โปรโตคอลนี้ถือว่ามีความปลอดภัยน้อยกว่าโปรโตคอล VPN อื่นๆ เช่น IPSec PPTP ทำงานโดยการสร้างเซสชัน PPP ปกติกับอีกฝ่ายโดยใช้โปรโตคอล Generic Routing Encapsulation การเชื่อมต่อที่สองบนพอร์ต TCP 1723 ใช้เพื่อเริ่มต้นและควบคุมการเชื่อมต่อ GRE PPTP เป็นเรื่องยากที่จะเปลี่ยนเส้นทางหลังไฟร์วอลล์เนื่องจากต้องมีการสร้างเซสชันเครือข่ายสองเซสชันพร้อมกัน

การรับส่งข้อมูล PPTP สามารถเข้ารหัสได้โดยใช้ MPPE สามารถใช้กลไกต่างๆ ในการตรวจสอบสิทธิ์ไคลเอ็นต์ได้ ซึ่งกลไกที่ปลอดภัยที่สุดคือ MSCHAP-v2 และ EAP-TLS

การนำ PPTP ไปใช้

Cisco เป็นบริษัทแรกที่ใช้ PPTP และต่อมาได้ให้ลิขสิทธิ์เทคโนโลยีแก่ Microsoft

PPTP ได้รับความนิยมเนื่องจากเป็นรายแรก โปรโตคอล VPNดูแลโดย Microsoft Corporation ทั้งหมด เวอร์ชันของไมโครซอฟต์ Windows ที่เริ่มต้นด้วย Windows 95 OSR2 จะมีไคลเอนต์ PPTP แต่การเชื่อมต่อขาออกพร้อมกันสองครั้งจะมีขีดจำกัด และบริการการเข้าถึงระยะไกลสำหรับ Microsoft Windows รวมถึงเซิร์ฟเวอร์ PPTP

จนกระทั่งเมื่อไม่นานมานี้ ลีนุกซ์ยังขาดการสนับสนุน PPTP อย่างเต็มรูปแบบ เนื่องจากความกังวลเกี่ยวกับการเรียกร้องสิทธิบัตรผ่านโปรโตคอล MPPE รองรับ MPPE เต็มรูปแบบครั้งแรกใน Linux 2.6.13 การสนับสนุน PPTP อย่างเป็นทางการเริ่มต้นด้วย Linux kernel เวอร์ชัน 2.6.14

ระบบปฏิบัติการ FreeBSD รองรับโปรโตคอล PPTP โดยใช้พอร์ต mpd (/usr/ports/net/mpd) เป็นเซิร์ฟเวอร์ PPTP โดยใช้ระบบย่อย netgraph ไคลเอนต์ PPTP บนระบบ FreeBSD อาจเป็นพอร์ต pptpclient (/usr/ports/net/pptpclient) หรือพอร์ต mpd ที่ทำงานในโหมดไคลเอนต์

Mac OS X มาพร้อมกับไคลเอนต์ PPTP ในตัว Cisco และ Efficient Networks จำหน่ายการใช้งานไคลเอนต์ PPTP สำหรับ Mac OS เวอร์ชันเก่า Palm PDA ที่รองรับ Wi-Fi มาพร้อมกับไคลเอนต์ Mergic PPTP

ไมโครซอฟต์ วินโดวส์โมบาย 2003 และใหม่กว่ายังรองรับ PPTP

โปรดทราบว่าบริการ PPTP VPN ใช้พอร์ต TCP 1721/TCP และโปรโตคอล IP GRE (หมายเลข 47) สำหรับการดำเนินการ แพ็กเก็ตดังกล่าวจะต้องผ่านไฟร์วอลล์/NAT ของคุณ (และไฟร์วอลล์/NAT ของผู้ให้บริการของคุณตามนั้น) และหากมี NAT ระหว่างทางไปยังเซิร์ฟเวอร์ของเรา ก็จะต้องประมวลผลการเชื่อมต่อ VPN โดยรวมอย่างถูกต้อง (ตามกฎ ซึ่งทำได้โดยใช้ตัวช่วยโมดูล PPTP NAT)

เซิร์ฟเวอร์ของเรารองรับ PPTP VPN พร้อมการเข้ารหัส MPPE (Microsoft Point-to-Point Encryption) และการบีบอัด MPPC

PPTP(จากภาษาอังกฤษ โปรโตคอลการทันเนลแบบจุดต่อจุด) เป็นโปรโตคอลทันเนลแบบจุดต่อจุด (โหนดต่อโหนด) ที่ช่วยให้คอมพิวเตอร์สร้างการเชื่อมต่อที่ปลอดภัยกับเซิร์ฟเวอร์โดยการสร้างทันเนลในเครือข่ายที่ไม่ปลอดภัย

PPTP ล้อม (ห่อหุ้ม) เฟรม PPP ลงในแพ็กเก็ต IP สำหรับการส่งผ่านเครือข่าย IP ทั่วโลก เช่น อินเทอร์เน็ต PPTP ยังสามารถใช้เพื่อสร้างช่องสัญญาณระหว่างเครือข่ายท้องถิ่นสองเครือข่าย PPTP ใช้การเชื่อมต่อ TCP เพิ่มเติมเพื่อรักษาทันเนล

โปรโตคอลนี้มีความปลอดภัยน้อยกว่า IPSec PPTP ทำงานโดยการสร้างเซสชัน PPP ปกติกับอีกฝ่ายโดยใช้โปรโตคอล Generic Routing Encapsulation การเชื่อมต่อที่สองบนพอร์ต TCP 1723 ใช้เพื่อเริ่มต้นและควบคุมการเชื่อมต่อ GRE PPTP เป็นเรื่องยากที่จะเปลี่ยนเส้นทางหลังไฟร์วอลล์เนื่องจากต้องมีการสร้างเซสชันเครือข่ายสองเซสชันพร้อมกัน การรับส่งข้อมูล PPTP สามารถเข้ารหัสได้โดยใช้ MPPE สามารถใช้กลไกต่างๆ ในการตรวจสอบสิทธิ์ไคลเอ็นต์ได้ เช่น MS-CHAPv2 และ EAP-TLS

ปัญหาด้านความปลอดภัยและความน่าเชื่อถือของโปรโตคอล

  • MSCHAP-v1 ไม่น่าเชื่อถือโดยสิ้นเชิง มียูทิลิตี้เพื่อแยกแฮชรหัสผ่านจากการแลกเปลี่ยน MSCHAP-v1 ที่ถูกสกัดกั้นได้อย่างง่ายดาย
  • MSCHAP-v2 เสี่ยงต่อการถูกโจมตีด้วยพจนานุกรมในแพ็กเก็ตตอบสนองความท้าทายที่ถูกสกัดกั้น มีโปรแกรมที่ดำเนินการตามกระบวนการนี้
  • ในปี 2555 พบว่าความยากในการเดาคีย์ MSCHAP-v2 เทียบเท่ากับการเดาคีย์ที่จะ การเข้ารหัส DESและเปิดตัวบริการออนไลน์ที่สามารถกู้คืนกุญแจได้ภายใน 23 ชั่วโมง
  • เมื่อใช้ MSCHAP-v1 MPPE จะใช้คีย์เซสชัน RC4 เดียวกันเพื่อเข้ารหัสการไหลของข้อมูลในทั้งสองทิศทาง นั่นเป็นเหตุผล วิธีการมาตรฐานคือการสตรีม XOR จากทิศทางที่แตกต่างกันเข้าด้วยกัน เพื่อให้นักวิเคราะห์การเข้ารหัสสามารถค้นหากุญแจได้
  • MPPE ใช้สตรีม RC4 สำหรับการเข้ารหัส ไม่มีวิธีการตรวจสอบสตรีมตัวอักษรและตัวเลขดังนั้น กระแสนี้เสี่ยงต่อการถูกโจมตีเล็กน้อย ผู้โจมตีสามารถเปลี่ยนบิตบางส่วนได้อย่างง่ายดายเพื่อเปลี่ยนโฟลว์ขาออกโดยไม่ถูกตรวจพบ การทดแทนบิตนี้สามารถตรวจพบได้โดยใช้โปรโตคอลที่นับ เช็คซัม.

โครงสร้าง

รูปที่ 1 แสดงโครงสร้างของแพ็กเก็ต PPTP โดยทั่วไป ไม่มีอะไรพิเศษ เฟรม PPP และส่วนหัว GRE จะถูกห่อหุ้มไว้ในแพ็กเก็ต IP

สั้น ๆ เกี่ยวกับ GRE นี่คือโปรโตคอลทันเนลที่ทำงานที่เลเยอร์ 3 ของโมเดล OSI ฟังก์ชัน GRE - การห่อหุ้มแพ็คเก็ต เลเยอร์เครือข่าย โมเดลเครือข่าย OSI เป็นแพ็กเก็ต IP

การขุดอุโมงค์เกี่ยวข้องกับสามโปรโตคอล:

  • ผู้โดยสาร - โปรโตคอลแบบห่อหุ้ม (IP, CLNP, IPX, Apple Talk, DECnet Phase IV, XNS, VINES และ Apollo)
  • โปรโตคอลการห่อหุ้ม (GRE);
  • โปรโตคอลการขนส่ง (IP)

ส่วนหัวใช้เวลา 4 ไบต์ (รูปที่ 2) และประกอบด้วย 2 ส่วน:

1) 1-2 ไบต์— ธง :

- เช็คซัมปัจจุบัน– บิต 0 หากเท่ากับ 1 ส่วนหัว GRE จะมีฟิลด์ตรวจสอบผลรวมเผื่อเลือก – ฟิลด์เช็คซัม

- คีย์ปัจจุบัน– บิต 2 หากเท่ากับ 1 ส่วนหัว GRE จะมีฟิลด์ทางเลือกที่มีคีย์ – ฟิลด์คีย์

- หมายเลขลำดับปัจจุบัน– บิต 3 ถ้าเท่ากับ 1 ส่วนหัว GRE จะมีฟิลด์เผื่อเลือก หมายเลขซีเรียล– ลำดับหมายเลขฟิลด์;

- หมายเลขเวอร์ชัน– บิต 13–15 ฟิลด์นี้ระบุเวอร์ชันการใช้งาน GRE โดยทั่วไปจะใช้ค่า 0 สำหรับ GRE Point-To-Point Protocol (PP2P) ใช้เวอร์ชัน 1

2) 3-4 ไบต์ประกอบด้วยประเภทโปรโตคอล (ethertype) ของแพ็กเก็ตแบบห่อหุ้ม

มธ

ไม่น้อย คำถามสำคัญเพื่อบันทึกนี่คือคำถาม มธ.

เนื่องจาก PPTP เป็นเพย์โหลด + ส่วนหัว PPP+ GRE + ส่วนหัว IP MTU Ethernet = 1500 ไบต์, IP ส่วนหัว = 20 ไบต์, GRE = 4 ไบต์ 1500-20-4 = 1476 ไบต์

ควบคุมข้อความ

หัวใจสำคัญของการสื่อสาร PPTP คือการเชื่อมต่อการควบคุม PPTP ซึ่งเป็นลำดับของข้อความควบคุมที่สร้างและบำรุงรักษาช่องสัญญาณ การเชื่อมต่อ PPTP ที่สมบูรณ์ประกอบด้วยการเชื่อมต่อ TCP/IP เพียงการเชื่อมต่อเดียว ซึ่งจำเป็นต้องส่งคำสั่ง echo เพื่อเปิดไว้ในขณะที่ธุรกรรมกำลังดำเนินอยู่ ด้านล่าง ในรูปที่ 3 มีการระบุข้อความควบคุมและความหมาย

, และมันใช้ได้อย่างไร? จนถึงปัจจุบันมีเพียงไม่กี่คน ผู้ใช้สมัยใหม่รู้ว่ามันคืออะไร

นอกจากนี้ผู้ใช้บางคนที่ใช้งานอยู่บางครั้งก็ไม่สงสัยด้วยซ้ำว่าพวกเขาเป็นผู้ใช้ที่ใช้งานอยู่

และพวกเขาเรียนรู้เกี่ยวกับการมีอยู่ของมันโดยบังเอิญ โดยไม่ต้องรู้ว่ามันคืออะไรและเหตุใดจึงมีประโยชน์มาก

ความรู้เบื้องต้นเกี่ยวกับทฤษฎี PPTP

ชื่อของการเชื่อมต่อ PPTP หรือการเชื่อมต่อมาจากชื่อของโปรโตคอลตามที่สร้างการเชื่อมต่อดังกล่าว

การถอดรหัสตัวย่อภาษาอังกฤษแบบเต็มฟังดูคล้ายกับโปรโตคอลการทันเนลแบบจุดต่อจุด ซึ่งโดยพื้นฐานแล้วหมายถึงโปรโตคอลอุโมงค์แบบจุดต่อจุด

ในกรณีนี้ จุดแสดงถึงคู่ของสมาชิกที่สื่อสารโดยการส่งข้อมูลที่เข้ารหัสในแพ็กเก็ตและส่งผ่าน เครือข่ายที่ไม่มีการป้องกันสร้างขึ้นบนหลักการของ TCP/IP

สำหรับบางคน คำจำกัดความนี้อาจดูซับซ้อนเกินไป แต่นี่เป็นเพียงส่วนเล็กเท่านั้น

หากเราดูรายละเอียดเพิ่มเติมเกี่ยวกับการเชื่อมต่อ PPTP ปรากฎว่าอนุญาตให้แปลงเฟรม PPP เป็นแพ็กเก็ต IP ประเภทปกติได้

กล่าวคือ มีการส่งผ่านช่องทางการสื่อสาร เช่น ผ่านทางอินเทอร์เน็ตหรือการเชื่อมต่อแบบมีสายอื่นๆ เช่นกัน เครือข่ายไร้สาย.

สิ่งสำคัญคือแทบจะเรียกได้ว่า PPTP แทบจะเรียกได้ว่าไร้อุดมคติ และในบางกรณี วิธีการนี้จะสูญเสียไปเมื่อเปรียบเทียบกับรุ่นอื่น ๆ เช่น IPSec เนื่องจากมีระดับความปลอดภัยที่ต่ำกว่า

อย่างไรก็ตามสิ่งนี้ไม่ได้ป้องกันการใช้งานทุกที่และค่อนข้างแพร่หลาย คุณไม่ควรปฏิเสธสิ่งนี้ และตอนนี้เราจะมาดูว่าทำไม

ข้าว. 1 – การแสดงแผนผังของการเชื่อมต่อ PPTP

การเชื่อมต่อ PPTP ให้อะไร?

แม้จะมีข้อบกพร่องด้านความปลอดภัยอยู่บ้าง แต่การเชื่อมต่อ PPTP ก็ช่วยให้คุณจัดเตรียมได้ การป้องกันขั้นพื้นฐานข้อมูลและโปรโตคอลดังกล่าวจึงมีขอบเขตการใช้งานที่กว้างขวาง

โดยเฉพาะสามารถโทรทางไกลได้สำเร็จและประหยัดที่จับต้องได้

สิ่งนี้เกิดขึ้นเนื่องจากไม่จำเป็นต้องใช้โปรโตคอลนี้ การเชื่อมต่อโดยตรงระหว่างสมาชิกสองคน ดำเนินการผ่านสายที่ปลอดภัยบนอินเทอร์เน็ต ซึ่งเรียกว่าอุโมงค์

ส่วนอุโมงค์นั้นใช้เป็นตัวกลางเท่านั้น

ในขณะเดียวกัน PPTP ก็ใช้สำเร็จเมื่อสร้างการเชื่อมต่อไคลเอนต์และเซิร์ฟเวอร์ ในกรณีนี้ การเชื่อมต่อเกิดขึ้นค่อนข้างแตกต่างออกไป

ผู้สมัครสมาชิก เช่น ผู้ใช้เชื่อมต่อเทอร์มินัลซึ่งเป็นอุปกรณ์ที่ใช้งานได้กับเซิร์ฟเวอร์ผ่านช่องทางที่ปลอดภัยเดียวกัน

กฎพื้นฐานสำหรับการเชื่อมต่อ PPTP

แต่ก่อนที่คุณจะเริ่มทำงานกับการเชื่อมต่อ PPTP คุณควรกำหนดค่าและสังเกตบางประการ เงื่อนไขที่สำคัญ.

คุณสมบัติของการตั้งค่าอุโมงค์ที่ใช้มีดังต่อไปนี้:

  • พอร์ต TCP #1723;
  • หมายเลขพอร์ต IP GRE

เพื่อให้การตั้งค่าเหล่านี้ทำงานตามนั้น พารามิเตอร์ของไฟร์วอลล์ในตัว (หรือ ไฟร์วอลล์) ไม่ควรจำกัดการไหลของแพ็กเก็ต IP

การส่งและรับควรเป็นอิสระ

อย่างไรก็ตาม แม้ว่ากฎเหล่านี้จะปฏิบัติตามเมื่อตั้งค่าการเชื่อมต่อในเครื่อง แต่ก็ไม่ใช่ข้อเท็จจริงที่ PPTP จะทำงานได้อย่างถูกต้อง

สำคัญ: สำหรับ การดำเนินงานที่เหมาะสมผู้ให้บริการโปรโตคอลจะต้องรับประกันอิสระอย่างสมบูรณ์ในการส่งต่อข้อมูลทันเนล

รายละเอียดขั้นตอนการเชื่อมต่อ

ประเด็นที่กล่าวถึงข้างต้นเชื่อมโยงกันผ่านเซสชัน PPP ซึ่งสร้างขึ้นบนแพลตฟอร์มโปรโตคอล GRE

ตัวย่อย่อมาจาก Generic Routing Encapsulation

การเชื่อมต่อที่สองมีหน้าที่รับผิดชอบในการจัดการและการเริ่มต้น พอร์ต TCP.

ข้อมูลในรูปแบบของแพ็กเก็ต IPX ที่ส่งจากจุดหนึ่งไปยังอีกจุดหนึ่งเรียกว่าเพย์โหลดและเป็นส่วนเสริม ข้อมูลการจัดการ.

เมื่อแพ็กเก็ตนี้ไปถึงอีกปลายสาย แอปพลิเคชั่นพิเศษแยกข้อมูลที่มีอยู่แล้วส่งไปประมวลผลภายหลัง

หลังการประมวลผลดำเนินการโดยใช้เครื่องมือระบบในตัวตามโปรโตคอลที่ระบุ

เป็นที่น่าสังเกตว่าการแฮ็กข้อมูลสามารถทำได้ในระหว่างขั้นตอนการได้มาเท่านั้น การรักษาความปลอดภัยส่วนที่เหลือมั่นใจได้ด้วยอุโมงค์ - ทางเดินป้องกัน

ดังนั้นจึงเป็นสิ่งสำคัญที่จะต้องใช้การผสมผสานการเข้าสู่ระบบและรหัสผ่านที่คิดมาอย่างดี ซึ่งมีหน้าที่รับผิดชอบด้านความปลอดภัยในระหว่างกระบวนการส่ง/รับข้อมูล ไม่ใช่ในระหว่างกระบวนการถ่ายโอน

ข้าว. 4 – ช่องโหว่ PPTP

การรักษาความปลอดภัยการเชื่อมต่อ

ตามที่ระบุไว้ข้างต้น ข้อมูลจะถูกส่งในรูปแบบของแพ็กเก็ตที่เข้ารหัส

เพื่อเข้ารหัสมันเราใช้ วิธีพิเศษ, รายการทั้งหมดซึ่งสามารถดูได้ในการตั้งค่าการเชื่อมต่อ

เราจะเน้นสิ่งที่โดดเด่น ระดับสูงความปลอดภัย โดยเฉพาะ:

  • MSCHAP-v1;
  • MSCHAP-v2;
  • EAP-TLS;
  • เอ็มพีพีอี.

เพื่อให้ ระดับที่เพิ่มขึ้นการป้องกันคุณสามารถใช้ตัวหมุนเพิ่มเติมได้ - ใช้งานรับสาย โดยทางโปรแกรม.

ช่วยให้คุณสามารถตรวจสอบได้ว่าแพ็กเก็ตข้อมูลถูกส่งไปโดยสมบูรณ์หรือไม่ หรือได้รับความเสียหายในระหว่างกระบวนการถ่ายโอนหรือไม่

ในระหว่างนี้ เรามาดูกันว่าอะไรที่ทำให้ตัวเลือกที่นำเสนอข้างต้นโดดเด่น

เป็นที่น่าสังเกตว่า MSCHAP-v1 ไม่น่าเชื่อถือเป็นพิเศษ

หากต้องการแยกแฮชรหัสผ่านออกคุณสามารถใช้ สาธารณูปโภคพิเศษขัดขวางการแลกเปลี่ยน

MSCHAP-v2 ในแง่นี้แตกต่างจากรุ่นก่อน แต่มีความเสี่ยงที่จะถูกโจมตีด้วยพจนานุกรมในแพ็กเก็ตข้อมูลที่ดักจับ ซึ่งก็ใช้ด้วยเช่นกัน โปรแกรมพิเศษซึ่งเป็นความเร็วของการประมวลผลข้อมูลที่สามารถใช้เวลาเพียงวันเดียวในการถอดรหัส

Cryptonalysts ยังสามารถถอดรหัสข้อมูลจาก MPPE ซึ่งขึ้นอยู่กับการใช้สตรีม RC4

ตัวอย่างเช่น คุณสามารถถอดรหัสได้โดยใช้วิธีการทดแทนบิต

อย่างไรก็ตาม หากต้องการ คุณสามารถตรวจพบช่องโหว่ดังกล่าวได้โดยใช้วิธีการที่เหมาะสมในการคำนวณผลรวมตรวจสอบ

ดังนั้นจึงชัดเจนว่าติดตั้งไว้ การป้องกัน PPTPสามารถข้ามได้ และนั่นคือเหตุผลที่คุณต้องใช้ เงินทุนเพิ่มเติมความปลอดภัย.

ข้าว. 5 – รูปแบบที่เรียบง่ายของช่อง PPTP ที่ปลอดภัย

คุณอาจสนใจ:

ตัวอย่างการตั้งค่าพารามิเตอร์ PPTP ใน OS MS WINDOWS 7

เพื่อทำความเข้าใจความซับซ้อนทั้งหมดของการเชื่อมต่อ PPTP คุณควรลองกำหนดค่าการเชื่อมต่อดังกล่าวด้วยตนเอง

เราจะดูว่ากระบวนการนี้เกิดขึ้นในระบบอย่างไรโดยเฉพาะในเวอร์ชันที่ 7 ยอดนิยม นี่เป็นเรื่องง่ายที่จะทำตามคำแนะนำของเรา

ในตอนแรกคุณจะต้องวิ่ง แผงควบคุม- วิธีที่ง่ายที่สุดในการทำเช่นนี้คือจากเมนูเริ่ม

คุณจะต้องเลือกหมวดหมู่ ศูนย์แบ่งปันเครือข่าย.

คุณสามารถไปที่นั่นได้โดยไม่ต้องผ่านสายโซ่ที่อธิบายไว้ ในกรณีนี้คุณควรเลือกจาก เมนูบริบทเกิดจาก การเชื่อมต่อเครือข่ายจุดเดียวกัน

คุณสามารถค้นหาได้ในพื้นที่แจ้งเตือนที่ด้านล่างขวาของหน้าจอ

หลังจากเปิดตัว Control Center คุณสามารถเปลี่ยนแปลงคุณสมบัติได้ อะแดปเตอร์เครือข่าย.

ในการดำเนินการนี้คุณจะต้องเลือกคำสั่งในพื้นที่ด้านซ้ายของหน้าต่าง การเปลี่ยนการตั้งค่าอะแดปเตอร์เครือข่าย.

จากนั้นคุณสามารถเรียกรายการคุณสมบัติจากเมนูบริบทสำหรับรายการที่มีอยู่ได้ การเชื่อมต่อท้องถิ่น.

ในเวลาเดียวกัน ผู้ให้บริการส่วนใหญ่อนุญาตให้คุณตั้งค่าที่อยู่ในเวิร์กสเตชันสำหรับเซิร์ฟเวอร์ DNS และ IP โหมดอัตโนมัติ.

เมื่อคุณเปลี่ยนแปลงการตั้งค่าเรียบร้อยแล้ว คุณจะต้องเปิดใช้งานการเชื่อมต่อ

ในการดำเนินการนี้ในหน้าต่างหลักของศูนย์ควบคุมคุณจะต้องเลือกการเชื่อมต่อที่กำหนดค่าไว้ก่อนหน้านี้และเรียกเมนูขึ้นมา คลิกขวาหนู

ในนั้นคุณควรเลือกเปิดใช้งาน



บทความที่เกี่ยวข้อง