Kako podesiti pametne telefone i računare. Informativni portal
  • Dom
  • Recenzije
  • Pptp portovi su siguran komunikacijski protokol. PPTP veza - šta je to

Pptp portovi su siguran komunikacijski protokol. PPTP veza - šta je to

15.07.2019 Recenzije

PPTP(sa engleskog. Protokol za tuneliranje od tačke do tačke) je protokol za tuneliranje od tačke do tačke (čvor do čvora) koji omogućava računaru da uspostavi sigurnu vezu sa serverom kreiranjem tunela u nesigurnoj mreži.

PPTP inkapsulira (enkapsulira) PPP okvire u IP pakete za prijenos preko globalne IP mreže kao što je Internet. PPTP se također može koristiti za uspostavljanje tunela između dvije lokalne mreže. PPTP koristi dodatnu TCP vezu za servisiranje tunela.

Ovaj protokol je manje siguran od IPSec-a. PPTP radi uspostavljanjem redovne PPP sesije sa suprotnom stranom koristeći generičku enkapsulaciju rutiranja. Druga veza na TCP portu 1723 koristi se za pokretanje i kontrolu GRE veze. PPTP je teško preusmjeriti izvan zaštitnog zida jer zahtijeva da se dvije mrežne sesije uspostave u isto vrijeme. PPTP saobraćaj se može šifrirati pomoću MPPE-a. Za autentifikaciju klijenata mogu se koristiti različiti mehanizmi, kao što su MS-CHAPv2 i EAP-TLS.

Pitanje sigurnosti i pouzdanosti protokola

  • MSCHAP-v1 je potpuno nepouzdan. Postoje uslužni programi za jednostavno izdvajanje heševa lozinki iz presretnute MSCHAP-v1 razmjene;
  • MSCHAP-v2 je ranjiv na napad iz rječnika na presretnute pakete izazov-odgovor. Postoje programi koji obavljaju ovaj proces;
  • 2012. godine pokazano je da je složenost pogađanja ključa MSCHAP-v2 ekvivalentna pogađanju ključa za šifriranje DES, a predstavljena je i online usluga koja može povratiti ključ za 23 sata;
  • Kada se koristi MSCHAP-v1, MPPE koristi isti ključ sesije RC4 za šifriranje prometa u oba smjera. Stoga je standardna tehnika da se XOR streamovi iz različitih smjerova zajedno tako da kriptoanalitičar može pronaći ključ;
  • MPPE koristi RC4 tok za enkripciju. Ne postoji metoda za provjeru autentičnosti alfanumeričkog toka, i stoga je tok ranjiv na napad lažnog bita. Napadač može lako zamijeniti neke od bitova kako bi promijenio odlazni tok bez rizika da bude otkriven. Ova zamjena bitova se može popraviti korištenjem protokola koji čitaju kontrolne sume.

Struktura

Slika 1 prikazuje strukturu PPTP paketa. Općenito - ništa posebno, PPP okvir i GRE zaglavlje su inkapsulirani u IP paketu.

Ukratko o GRE. To je tunelski protokol koji radi na sloju 3 OSI modela. GRE funkcija - enkapsulacija paketa mrežnog sloja OSI mrežnog modela u IP pakete.

Tuneliranje uključuje tri protokola:

  • putnički - inkapsulirani protokol (IP, CLNP, IPX, Apple Talk, DECnet Phase IV, XNS, VINES i Apollo);
  • Enkapsulacijski protokol (GRE)
  • transportni protokol (IP).

Zaglavlje zauzima 4 bajta (slika 2) i sastoji se od 2 dijela:

1) 1-2 bajta- zastave :

- ChecksumPresent- bit 0, ako je jednak 1, tada GRE zaglavlje sadrži opciono polje kontrolne sume - Checksumfield;

- Key Present- bit 2, ako je jednak 1, tada GRE zaglavlje sadrži opciono polje koje sadrži polje Ključ;

- Prisutan redni broj- bit 3, ako je jednak 1, tada GRE zaglavlje sadrži opciono polje s rednim brojem - SequenceNumberfield;

- Broj verzije- bitovi 13-15. Ovo polje označava verziju implementacije GRE. Vrijednost 0 se obično koristi za GRE. Point-to-point Protocol (PP2P) koristi verziju 1.

2) 3-4 bajta. Sadrži tip protokola (etertip) inkapsuliranog paketa.

MTU

Jednako važno pitanje za protokol je pitanje MTU.

Pošto je PPTP korisni teret + PPP zaglavlje + GRE + IP zaglavlje. Ethernet MTU = 1500 bajtova, IP zaglavlja = 20 bajtova, GRE = 4 bajta. 1500-20-4 = 1476 bajtova.

Kontrolne poruke

PPTP komunikacija se zasniva na PPTP kontrolnoj vezi, nizu kontrolnih poruka koje uspostavljaju i održavaju tunel. Potpuna PPTP veza se sastoji od samo jedne TCP/IP veze, koja zahtijeva prijenos eho komandi da bi bila otvorena dok su transakcije u toku. U nastavku, na slici 3, prikazane su kontrolne poruke i njihova značenja.

U Rusiji je 1. novembra počela zabrana zaobilaženja blokiranja korištenjem VPN-a. I mnoge kompanije, uključujući i strane, zapitale su se šta da urade za organizacije koje koriste tehnologiju za stvaranje korporativnih mreža.

Prema riječima predstavnika Državne dume, u zakonu postoji klauzula prema kojoj se šifriranje mreža može koristiti u korporativne svrhe. To znači da kompanije ne moraju trošiti značajne iznose i postavljati privatne mreže između svojih ureda, budući da je postavljanje VPN veze praktički (a u nekim slučajevima i jeste) besplatno. Stoga smo danas odlučili razmotriti dvije metode organiziranja VPN veze u korporativnoj mreži i nekoliko protokola koji se za to koriste: PPTP, L2TP / IPsec, SSTP i OpenVPN.

Dolazi "podrazumevano" na bilo kojoj VPN kompatibilnoj platformi i lako se konfiguriše bez dodatnog softvera. Još jedna prednost PPTP-a su njegove visoke performanse. Nažalost, PPTP nije dovoljno siguran. Otkako je protokol ugrađen u Windows 95 OSR2 kasnih devedesetih, otkriveno je nekoliko ranjivosti.

Najznačajnija je mogućnost nekapsulirane provjere autentičnosti MS-CHAP v2. Ovaj eksploat je omogućio razbijanje PPTP-a za dva dana. Microsoft je zakrpio rupu prelaskom na PEAP protokol za autentifikaciju, ali su potom sami predložili korištenje L2TP/IPsec ili SSTP VPN protokola. Još jedna stvar - PPTP veze se lako blokiraju, jer protokol radi sa jednim portom broj 1723 i koristi GRE protokol.

Kada se uspostavi VPN tunel, PPTP podržava dvije vrste poslanih poruka: kontrolne poruke za održavanje i prekid VPN veze i same pakete podataka.

L2TP i IPsec

Layer 2 Tunneling Protocol, ili L2TP, također je prisutan u gotovo svim modernim operativnim sistemima i radi sa svim uređajima koji podržavaju VPN.

L2TP ne zna kako da šifrira saobraćaj koji prolazi kroz njega, pa se često koristi u sprezi sa IPsec-om. Međutim, to dovodi do pojave negativnog efekta - u L2TP / IPsec dolazi do dvostruke enkapsulacije podataka, što negativno utiče na performanse. Takođe L2TP koristi 500. UDP port, koji se lako blokira od strane firewall-a ako ste iza NAT-a.

L2TP / IPsec može raditi sa 3DES ili AES šiframa. Prvi je ranjiv na napade poput susreta u sredini i slatkog32, tako da se danas rijetko viđa u praksi. Kada se radi sa AES šifrom, nisu poznate veće ranjivosti, stoga bi u teoriji ovaj protokol trebao biti siguran (ako se pravilno implementira). Međutim, John Gilmore, osnivač Electronic Frontier Foundation, naznačio je u objavi da je IPSec mogao biti posebno oslabljen.

Najveći problem sa L2TP/IPsec-om je to što mnogi VPN-ovi to ne rade dovoljno dobro. Oni koriste unaprijed dijeljene ključeve (PSK) koji se mogu preuzeti sa stranice. PSK-ovi su potrebni za uspostavljanje veze, pa čak i ako su podaci ugroženi, oni ostaju pod AES zaštitom. Ali napadač može koristiti PSK za lažno predstavljanje VPN servera, a zatim prisluškivati ​​šifrirani promet (čak i ubacivanje zlonamjernog koda).

SSTP

Secure Socket Tunneling Protocol, ili SSTP, je VPN protokol koji je razvio Microsoft. Zasnovan je na SSL-u i prvi put je pokrenut u Windows Vista SP1. Danas je protokol dostupan za operativne sisteme kao što su RouterOS, Linux, SEIL i Mac OS X, ali svoju glavnu upotrebu i dalje nalazi na Windows platformi. SSTP je vlasnički standard u vlasništvu Microsofta i njegov kod nije javno dostupan.

Sam SSTP nema kriptografsku funkcionalnost sa izuzetkom jedne funkcije - govorimo o kriptografskom povezivanju koje štiti od MITM napada. Šifriranje podataka vrši se putem SSL-a. Opis procedure za uspostavljanje VPN konekcije možete pronaći na Microsoft web stranici.

Čvrsta integracija sa Windows-om pojednostavljuje rad sa protokolom i povećava njegovu stabilnost na ovoj platformi. Međutim, SSTP koristi SSL 3.0, koji je ranjiv na POODLE napad, što u teoriji utiče na sigurnost VPN protokola.

Vrste VPN veze

U današnjem postu ćemo govoriti o dvije najčešće korištene vrste VPN veze. Radit će se o udaljenom pristupu korporativnoj mreži (remote access) i povezivanju "point-to-point" (site-to-site)

Daljinski pristup omogućava zaposlenima kompanije da se bezbedno povežu na korporativnu mrežu putem Interneta. Ovo je posebno važno kada zaposlenik ne radi u kancelariji i povezuje se preko neosiguranih pristupnih tačaka, na primjer, Wi-Fi u kafiću. Za organizaciju ove veze uspostavlja se tunel između klijenta na korisnikovom gadgetu i VPN gateway-a u mreži kompanije. Gateway provjerava autentičnost, a zatim odobrava (ili ograničava) pristup mrežnim resursima.

Protokoli koji se najčešće koriste za osiguranje veze su IPsec ili SSL. Također je moguće koristiti PPTP i L2TP protokole.


/ Wikimedia / Philippe Belet / PD

Dobrodošli na našu web stranicu! U ovom vodiču ćete naučiti kako postaviti PPTP VPN vezu za Windows 7 operativni sistem.

Podsjetimo da je VPN (Virtual Private Network) tehnologija koja se koristi za pristup zaštićenim mrežama putem javnog Interneta. Uz VPN kanal, možete zaštititi svoje podatke tako što ćete ih šifrirati i prenijeti u okviru VPN sesije. Osim toga, VPN je jeftina alternativa skupom namjenskom komunikacijskom kanalu.

Da biste konfigurirali VPN preko PPTP-a za Windows 7, trebat će vam:

  • Windows 7 OS;
  • adresa VPN servera na koji će se uspostaviti veza pomoću PPTP protokola;
  • login i lozinka.

Ovim je teorijski dio završen, prijeđimo na praksu.

1. Otvorite meni "Start" i idite na "Kontrolna tabla" vašeg računara

2. Zatim odaberite odjeljak "Mreža i Internet".

3. U prozoru koji se otvori odaberite "Centar za mrežu i dijeljenje"

4. U sljedećoj fazi odaberite stavku "Postavljanje nove veze ili mreže"

5. U novootvorenom prozoru odaberite stavku "Poveži se na radno mjesto"

6. U novom prozoru odaberite stavku "Koristi moju internet vezu (VPN)"

8. U prozoru koji se otvori, u polje "Internet adresa" unesite adresu vašeg VPN servera, u polje "Destination name" unesite naziv konekcije, koji se može birati proizvoljno

9. U sljedećem prozoru unesite login i lozinku koji su registrirani na VPN serveru. U polje "Zapamti ovu lozinku" stavite "kvačicu" kako je ne biste unosili svaki put kada se povežete

10. Nakon gore navedenih koraka, veza je spremna za upotrebu, kliknite na dugme "zatvori".

11. Nakon toga vratite se na Start meni, zatim na Control Panel, Network and Internet, Network and Sharing Management, gdje biramo stavku "Promjena postavki adaptera"

12. Pronađite našu VPN vezu u ovom prozoru, kliknite desnim tasterom miša na nju i idite na njena svojstva

14. U istom prozoru, samo na kartici "Mreža", poništite okvire pored stavki: "Klijent za Microsoft mreže" i "Usluga za pristup datotekama i štampačima za Microsoft mreže"

Ovim je završena PPTP VPN konfiguracija za Windows 7 operativni sistem i VPN veza je spremna za upotrebu.

Vodič za rješavanje problema: Usmjerite VPN kroz NAT zaštitni zid

Popularnost telekomunikacija i dalje raste, a pitanja informacione sigurnosti ne gube na aktuelnosti. Stoga male i velike kompanije koriste virtuelne privatne mreže (VPN). Srećom, informativni odjeli kompanija shvaćaju da mnogi zaposleni imaju iznajmljene linije i širokopojasne veze koristeći rutere za potrošače. IT odjeli mogu znatno olakšati život korisnicima korištenjem "NAT-friendly" VPN gateway-a i VPN klijenata koji ne zahtijevaju promjenu konfiguracije kućnog rutera za uspostavljanje VPN tunela.

Ako nemate sreće, još uvijek možete popraviti situaciju. Prvo, trebali biste provjeriti podržava li vaš ruter PPTP ili IPSEC prolaz. PPTP / IPsec "prolazi". Ova funkcija je sveprisutna u ruterima. Linksys, tako da možete tražiti ove modele. On Rice. 1 prikazan je donji deo ekrana filteri Linksys BEFSR41, koji sadrži opcije za odvojeno omogućavanje PPTP ili IPsec prolaza.

Rice. 1. VPN Linksys BEFSR41 prolaz.

Sve što trebate je omogućiti podršku za korišteni VPN protokol, restartovati ruter. Ako sve prođe dobro, vaš VPN će odmah proraditi.

Nažalost, nemaju svi ruteri funkciju omogućavanja VPN prolaza, ali izostanak ovih opcija ne znači da je sve gotovo.

Ne radi? Zatim biste trebali pokušati otvoriti neke portove u firewall-u vašeg rutera kako biste održali VPN vezu. Trebali biste otvoriti samo portove (i protokol) za IP adresu računala na kojem će VPN klijent raditi. Imajte na umu da funkcija prosljeđivanja portova radi samo na jednom računaru u isto vrijeme... Ako trebate podržati više VPN klijenata koji zahtijevaju istovremeni mrežni rad, vaš ruter mora izvorno podržavati korišteni VPN protokol.

Ako koristite Microsoft protokol PPTP, tada morate konfigurirati prosljeđivanje portova TCP 1723 da prođe PPTP saobraćaj. On Rice. 2 prikazan ekran Prosljeđivanje Linksys BEFSR41 ruter sa prosleđivanjem porta do klijenta sa IP adresom 192.168.5.100 .


Rice. 2. Prosljeđivanje portova VPN Linksys BEFSR41.

PPTP također zahtijeva podršku protokola IP 47(Generička enkapsulacija rutiranja) za VPN promet. Imajte na umu da je podrška potrebna protokol a ne luka. Podrška za ovaj protokol mora biti ugrađena u NAT motor, kao što se radi na većini modernih rutera.

Otvaranje zaštitnog zida, nastavak

Za podršku baziranu na VPN-u IPsec VPN-ovi moraju otvoriti port UDP 500 za ključne pregovore ISAKMP, protokol IP 50 za saobraćaj Authentication Header(ne koristi se uvijek) i protokol IP 51 za prenos samih podataka. Opet, jedini proslijeđeni port ovdje je UDP 500, na koji smo također programirali Rice. 2 na isti klijentski stroj na lokalnoj mreži; podrška za protokole 50 i 51 bi trebala biti ugrađena u vaš ruter.

Nisu svi ruteri isti! Neki podržavaju otvaranje samo jednog VPN tunela i jednog klijenta. Drugi podržavaju više tunela, ali samo jednog klijenta po tunelu. Nažalost, većina dobavljača nije baš jasna u svojoj dokumentaciji o tome kako podržati VPN prolaz za svoje proizvode, a tehnička podrška često nije kvalificirana za rješavanje ovog problema. U većini slučajeva morat ćete testirati ruter na svojoj mreži i vratiti ga ako ne radi.

Ne radi?

Gotovo je nemoguće dobiti neke rutere da podržavaju IPsec VPN-ove bez šamanskog tambura. Poenta je da proizvođači vole da implementiraju sopstvene mehanizme za ovu podršku. Međutim, kako tehnologija "sazreva", podrška za IPsec postaje sve bliža idealnoj, a vaša kompanija može koristiti stare proizvode koji su kreirani bez obzira na postojanje NAT-a ili koji zahtijevaju otvaranje dodatnih portova u firewall-u.

Ako znate engleski, preporučujemo da pogledate vodiče za Tin Bird IPsec i PPTP koji sadrže gotove konfiguracije za mnoge proizvode. Također možete pogledati našu rubriku na engleskom jeziku. VPN veze i alati za više informacija.

U Rusiji je 1. novembra počela zabrana zaobilaženja blokiranja korištenjem VPN-a. I mnoge kompanije, uključujući i strane, zapitale su se šta da urade za organizacije koje koriste tehnologiju za stvaranje korporativnih mreža.

Prema riječima predstavnika Državne dume, u zakonu postoji klauzula prema kojoj se šifriranje mreža može koristiti u korporativne svrhe. To znači da kompanije ne moraju trošiti značajne iznose i postavljati privatne mreže između svojih ureda, budući da je postavljanje VPN veze praktički (a u nekim slučajevima i jeste) besplatno. Stoga smo danas odlučili razmotriti dvije metode organiziranja VPN veze u korporativnoj mreži i nekoliko protokola koji se za to koriste: PPTP, L2TP / IPsec, SSTP i OpenVPN.

Dolazi "podrazumevano" na bilo kojoj VPN kompatibilnoj platformi i lako se konfiguriše bez dodatnog softvera. Još jedna prednost PPTP-a su njegove visoke performanse. Nažalost, PPTP nije dovoljno siguran. Otkako je protokol ugrađen u Windows 95 OSR2 kasnih devedesetih, otkriveno je nekoliko ranjivosti.

Najznačajnija je mogućnost nekapsulirane provjere autentičnosti MS-CHAP v2. Ovaj eksploat je omogućio razbijanje PPTP-a za dva dana. Microsoft je zakrpio rupu prelaskom na PEAP protokol za autentifikaciju, ali su potom sami predložili korištenje L2TP/IPsec ili SSTP VPN protokola. Još jedna stvar - PPTP veze se lako blokiraju, jer protokol radi sa jednim portom broj 1723 i koristi GRE protokol.

Kada se uspostavi VPN tunel, PPTP podržava dvije vrste poslanih poruka: kontrolne poruke za održavanje i prekid VPN veze i same pakete podataka.

L2TP i IPsec

Layer 2 Tunneling Protocol, ili L2TP, također je prisutan u gotovo svim modernim operativnim sistemima i radi sa svim uređajima koji podržavaju VPN.

L2TP ne zna kako da šifrira saobraćaj koji prolazi kroz njega, pa se često koristi u sprezi sa IPsec-om. Međutim, to dovodi do pojave negativnog efekta - u L2TP / IPsec dolazi do dvostruke enkapsulacije podataka, što negativno utiče na performanse. Takođe L2TP koristi 500. UDP port, koji se lako blokira od strane firewall-a ako ste iza NAT-a.

L2TP / IPsec može raditi sa 3DES ili AES šiframa. Prvi je ranjiv na napade poput susreta u sredini i slatkog32, tako da se danas rijetko viđa u praksi. Kada se radi sa AES šifrom, nisu poznate veće ranjivosti, stoga bi u teoriji ovaj protokol trebao biti siguran (ako se pravilno implementira). Međutim, John Gilmore, osnivač Electronic Frontier Foundation, naznačio je u objavi da je IPSec mogao biti posebno oslabljen.

Najveći problem sa L2TP/IPsec-om je to što mnogi VPN-ovi to ne rade dovoljno dobro. Oni koriste unaprijed dijeljene ključeve (PSK) koji se mogu preuzeti sa stranice. PSK-ovi su potrebni za uspostavljanje veze, pa čak i ako su podaci ugroženi, oni ostaju pod AES zaštitom. Ali napadač može koristiti PSK za lažno predstavljanje VPN servera, a zatim prisluškivati ​​šifrirani promet (čak i ubacivanje zlonamjernog koda).

SSTP

Secure Socket Tunneling Protocol, ili SSTP, je VPN protokol koji je razvio Microsoft. Zasnovan je na SSL-u i prvi put je pokrenut u Windows Vista SP1. Danas je protokol dostupan za operativne sisteme kao što su RouterOS, Linux, SEIL i Mac OS X, ali svoju glavnu upotrebu i dalje nalazi na Windows platformi. SSTP je vlasnički standard u vlasništvu Microsofta i njegov kod nije javno dostupan.

Sam SSTP nema kriptografsku funkcionalnost sa izuzetkom jedne funkcije - govorimo o kriptografskom povezivanju koje štiti od MITM napada. Šifriranje podataka vrši se putem SSL-a. Opis procedure za uspostavljanje VPN konekcije možete pronaći na Microsoft web stranici.

Čvrsta integracija sa Windows-om pojednostavljuje rad sa protokolom i povećava njegovu stabilnost na ovoj platformi. Međutim, SSTP koristi SSL 3.0, koji je ranjiv na POODLE napad, što u teoriji utiče na sigurnost VPN protokola.

Vrste VPN veze

U današnjem postu ćemo govoriti o dvije najčešće korištene vrste VPN veze. Radit će se o udaljenom pristupu korporativnoj mreži (remote access) i povezivanju "point-to-point" (site-to-site)

Daljinski pristup omogućava zaposlenima kompanije da se bezbedno povežu na korporativnu mrežu putem Interneta. Ovo je posebno važno kada zaposlenik ne radi u kancelariji i povezuje se preko neosiguranih pristupnih tačaka, na primjer, Wi-Fi u kafiću. Za organizaciju ove veze uspostavlja se tunel između klijenta na korisnikovom gadgetu i VPN gateway-a u mreži kompanije. Gateway provjerava autentičnost, a zatim odobrava (ili ograničava) pristup mrežnim resursima.

Protokoli koji se najčešće koriste za osiguranje veze su IPsec ili SSL. Također je moguće koristiti PPTP i L2TP protokole.


/ Wikimedia / Philippe Belet / PD

Top srodni članci

Ažurirajte Android OS na Samsung telefonu Ažurirajte softver na Samsung telefonu
Ažurirajte Android OS na Samsung telefonu Ažurirajte softver na Samsung telefonu
Koji pametni telefoni će se nadograditi na Android 7
Koji pametni telefoni će se nadograditi na Android 7
Dizajn, materijali karoserije, dimenzije
Dizajn, materijali karoserije, dimenzije
Kategorije:
© 2021 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.