Kako postaviti pametne telefone i računala. Informativni portal
  • Dom
  • Recenzije
  • Pptp portovi su siguran komunikacijski protokol. PPTP veza - što je to

Pptp portovi su siguran komunikacijski protokol. PPTP veza - što je to

15.07.2019 Recenzije

PPTP(iz engleskog. Protokol za tuneliranje od točke do točke) je protokol za tuneliranje od točke do točke (od čvora do čvora) koji omogućuje računalu da uspostavi sigurnu vezu s poslužiteljem stvaranjem tunela u nesigurnoj mreži.

PPTP enkapsulira (enkapsulira) PPP okvire u IP pakete za prijenos preko globalne IP mreže kao što je Internet. PPTP se također može koristiti za uspostavljanje tunela između dvije lokalne mreže. PPTP koristi dodatnu TCP vezu za servisiranje tunela.

Ovaj protokol je manje siguran od IPSec-a. PPTP radi uspostavljanjem redovite PPP sesije sa suprotnom stranom koristeći Generičku enkapsulaciju usmjeravanja. Druga veza na TCP portu 1723 koristi se za pokretanje i kontrolu GRE veze. PPTP je teško preusmjeriti izvan vatrozida jer zahtijeva da se dvije mrežne sesije uspostave u isto vrijeme. PPTP promet može se šifrirati pomoću MPPE-a. Za provjeru autentičnosti klijenata mogu se koristiti različiti mehanizmi, kao što su MS-CHAPv2 i EAP-TLS.

Pitanje sigurnosti i pouzdanosti protokola

  • MSCHAP-v1 je potpuno nepouzdan. Postoje uslužni programi za jednostavno izdvajanje hashova lozinki iz presretnute MSCHAP-v1 razmjene;
  • MSCHAP-v2 je ranjiv na napade rječnika na presretnute pakete izazov-odgovor. Postoje programi koji izvode ovaj proces;
  • 2012. godine pokazalo se da je složenost pogađanja ključa MSCHAP-v2 ekvivalentna pogađanju ključa za šifriranje DES-a, a predstavljena je i online usluga koja može vratiti ključ za 23 sata;
  • Kada se koristi MSCHAP-v1, MPPE koristi isti ključ sesije RC4 za šifriranje prometa u oba smjera. Stoga je standardna tehnika da XOR struji iz različitih smjerova zajedno kako bi kriptoanalitičar mogao otkriti ključ;
  • MPPE koristi RC4 stream za enkripciju. Ne postoji metoda za provjeru autentičnosti alfanumeričkog streama i stoga je stream ranjiv na napad lažnog bita. Napadač može lako zamijeniti neke od bitova kako bi promijenio odlazni tok bez rizika da bude otkriven. Ova zamjena bitova se može popraviti korištenjem protokola koji čitaju kontrolne zbrojeve.

Struktura

Slika 1 prikazuje strukturu PPTP paketa. Općenito - ništa posebno, PPP okvir i GRE zaglavlje su inkapsulirani u IP paketu.

Ukratko o GRE. To je protokol za tuneliranje koji radi na sloju 3 OSI modela. GRE funkcija - enkapsulacija paketa mrežnog sloja OSI mrežnog modela u IP pakete.

Tuneliranje uključuje tri protokola:

  • putnički - inkapsulirani protokol (IP, CLNP, IPX, Apple Talk, DECnet Phase IV, XNS, VINES i Apollo);
  • Enkapsulacijski protokol (GRE)
  • transportni protokol (IP).

Zaglavlje zauzima 4 bajta (slika 2) i sastoji se od 2 dijela:

1) 1-2 bajta- zastave :

- Kontrolni zbrojPrisutan- bit 0, ako je jednak 1, tada GRE zaglavlje sadrži izborno polje kontrolnog zbroja - Checksumfield;

- Ključni poklon- bit 2, ako je jednak 1, tada GRE zaglavlje sadrži izborno polje koje sadrži polje Ključ;

- Prisutan redni broj- bit 3, ako je jednak 1, tada GRE zaglavlje sadrži izborno polje s rednim brojem - SequenceNumberfield;

- Broj verzije- bitovi 13-15. Ovo polje označava verziju GRE implementacije. Vrijednost 0 se obično koristi za GRE. Protokol od točke do točke (PP2P) koristi verziju 1.

2) 3-4 bajta. Sadrži tip protokola (ethertype) inkapsuliranog paketa.

MTU

Jednako važno pitanje za protokol je pitanje MTU.

Budući da je PPTP korisni teret + PPP zaglavlje + GRE + IP zaglavlje. Ethernet MTU = 1500 bajtova, IP zaglavlja = 20 bajtova, GRE = 4 bajta. 1500-20-4 = 1476 bajtova.

Kontrolne poruke

PPTP komunikacija temelji se na PPTP kontrolnoj vezi, nizu kontrolnih poruka koje uspostavljaju i održavaju tunel. Potpuna PPTP veza sastoji se od samo jedne TCP/IP veze, koja zahtijeva prijenos echo naredbi kako bi bila otvorena dok su transakcije u tijeku. U nastavku, na slici 3, prikazane su kontrolne poruke i njihova značenja.

U Rusiji je 1. studenog počela zabrana zaobilaženja blokiranja korištenjem VPN-a. I mnoge tvrtke, uključujući i strane, pitale su se što učiniti za organizacije koje koriste tehnologiju za stvaranje korporativnih mreža.

Prema riječima predstavnika Državne dume, u zakonu postoji klauzula prema kojoj se šifriranje mreža može koristiti u korporativne svrhe. To znači da tvrtke ne moraju trošiti značajne iznose i postavljati privatne mreže između svojih ureda, budući da je postavljanje VPN veze praktički (a u nekim slučajevima i jest) besplatno. Stoga smo danas odlučili razmotriti dvije metode organiziranja VPN veze u korporativnoj mreži i nekoliko protokola koji se za to koriste: PPTP, L2TP / IPsec, SSTP i OpenVPN.

Dolazi "prema zadanim postavkama" na bilo kojoj platformi kompatibilnoj s VPN-om i lako se konfigurira bez dodatnog softvera. Još jedna prednost PPTP-a je njegova visoka izvedba. Nažalost, PPTP nije dovoljno siguran. Otkako je protokol ugrađen u Windows 95 OSR2 kasnih devedesetih, otkriveno je nekoliko ranjivosti.

Najznačajnija je mogućnost nekapsulirane provjere autentičnosti MS-CHAP v2. Ovaj exploit omogućio je razbijanje PPTP-a u dva dana. Microsoft je zakrpao rupu prelaskom na PEAP autentifikacijski protokol, no tada su sami predložili korištenje L2TP/IPsec ili SSTP VPN protokola. Još jedna stvar - PPTP veze je lako blokirati, jer protokol radi s jednim portom broj 1723 i koristi GRE protokol.

Kada se uspostavi VPN tunel, PPTP podržava dvije vrste poslanih poruka: kontrolne poruke za održavanje i prekid VPN veze i same pakete podataka.

L2TP i IPsec

Layer 2 Tunneling Protocol, ili L2TP, također je prisutan u gotovo svim modernim operativnim sustavima i radi sa svim uređajima koji podržavaju VPN.

L2TP ne zna šifrirati promet koji prolazi kroz njega, pa se često koristi u sprezi s IPsec-om. Međutim, to dovodi do pojave negativnog učinka - u L2TP / IPsec dolazi do dvostruke enkapsulacije podataka, što negativno utječe na performanse. Također L2TP koristi 500. UDP port, koji je lako blokiran vatrozidom ako ste iza NAT-a.

L2TP / IPsec može raditi s 3DES ili AES šiframa. Prvi je ranjiv na napade kao što su meet-in-the-middle i sweet32, pa se danas rijetko viđa u praksi. Prilikom rada s AES šifrom nisu poznate veće ranjivosti, stoga bi u teoriji ovaj protokol trebao biti siguran (ako je ispravno implementiran). Međutim, John Gilmore, osnivač Electronic Frontier Foundation, naznačio je u objavi da je IPSec mogao biti posebno oslabljen.

Najveći problem s L2TP/IPsec-om je taj što mnogi VPN-ovi to ne rade dovoljno dobro. Koriste unaprijed dijeljene ključeve (PSK) koji se mogu preuzeti sa stranice. PSK-ovi su potrebni za uspostavljanje veze, pa čak i ako su podaci ugroženi, oni ostaju pod AES zaštitom. Ali napadač može koristiti PSK za lažno predstavljanje VPN poslužitelja, a zatim prisluškivati ​​šifrirani promet (čak i ubrizgavanje zlonamjernog koda).

SSTP

Secure Socket Tunneling Protocol, ili SSTP, je VPN protokol koji je razvio Microsoft. Temelji se na SSL-u i prvi put je pokrenut u sustavu Windows Vista SP1. Danas je protokol dostupan za operativne sustave kao što su RouterOS, Linux, SEIL i Mac OS X, ali svoju glavnu primjenu još uvijek nalazi na Windows platformi. SSTP je vlasnički standard u vlasništvu Microsofta i njegov kod nije javno dostupan.

Sam SSTP nema kriptografsku funkcionalnost s izuzetkom jedne funkcije – govorimo o kriptografskom povezivanju koje štiti od MITM napada. Šifriranje podataka vrši se SSL-om. Opis postupka za uspostavljanje VPN veze možete pronaći na web stranici Microsofta.

Čvrsta integracija sa sustavom Windows pojednostavljuje rad s protokolom i povećava njegovu stabilnost na ovoj platformi. Međutim, SSTP koristi SSL 3.0, koji je ranjiv na POODLE napad, što u teoriji utječe na sigurnost VPN protokola.

Vrste VPN veze

U današnjem postu ćemo govoriti o dvije najčešće korištene vrste VPN veze. Radit će se o daljinskom pristupu korporativnoj mreži (remote access) i povezivanju "point-to-point" (site-to-site)

Daljinski pristup omogućuje zaposlenicima tvrtke sigurno povezivanje s korporativnom mrežom putem interneta. To je posebno važno kada zaposlenik ne radi u uredu i povezuje se preko nezaštićenih pristupnih točaka, na primjer, Wi-Fi u kafiću. Za organiziranje ove veze uspostavlja se tunel između klijenta na korisnikovom gadgetu i VPN pristupnika u mreži tvrtke. Pristupnik provjerava autentičnost i zatim odobrava (ili ograničava) pristup mrežnim resursima.

Protokoli koji se najčešće koriste za osiguranje veze su IPsec ili SSL. Također je moguće koristiti PPTP i L2TP protokole.


/ Wikimedia / Philippe Belet / PD

Dobrodošli na našu web stranicu! U ovom vodiču naučit ćete kako postaviti PPTP VPN vezu za operacijski sustav Windows 7.

Podsjetimo da je VPN (Virtual Private Network) tehnologija koja se koristi za pristup zaštićenim mrežama putem javnog Interneta. S VPN kanalom možete zaštititi svoje podatke šifriranjem i prijenosom unutar VPN sesije. Osim toga, VPN je jeftina alternativa skupom namjenskom komunikacijskom kanalu.

Da biste konfigurirali VPN preko PPTP-a za Windows 7, trebat će vam:

  • OS Windows 7;
  • adresa VPN poslužitelja na koji će se veza uspostaviti pomoću PPTP protokola;
  • prijavu i lozinku.

Ovime je teoretski dio završen, prijeđimo na praksu.

1. Otvorite izbornik "Start" i idite na "Upravljačka ploča" vašeg računala

2. Zatim odaberite odjeljak "Mreža i internet".

3. U prozoru koji se otvori odaberite "Centar za mrežu i dijeljenje"

4. U sljedećoj fazi odaberite stavku "Postavljanje nove veze ili mreže"

5. U novootvorenom prozoru odaberite stavku "Poveži se na radno mjesto"

6. U novom prozoru odaberite stavku "Koristi moju internetsku vezu (VPN)"

8. U prozoru koji se otvori, u polje "Internet adresa" unesite adresu vašeg VPN poslužitelja, u polje "Destination name" unesite naziv veze koji se može odabrati proizvoljno

9. U sljedećem prozoru unesite prijavu i lozinku koji su registrirani na VPN poslužitelju. U polje "Zapamti ovu lozinku" stavite "kvačicu" kako je ne biste unosili svaki put kada se povežete

10. Nakon gore navedenih koraka, veza je spremna za korištenje, kliknite gumb "zatvori".

11. Nakon toga vratite se na izbornik Start, zatim na Control Panel, Network and Internet, Network and Sharing Management, gdje odabiremo stavku "Promijeni postavke adaptera"

12. Pronađite našu VPN vezu u ovom prozoru, kliknite desnom tipkom miša na nju i idite na njena svojstva

14. U istom prozoru, samo na kartici "Mreža", poništite okvire pored stavki: "Klijent za Microsoftove mreže" i "Usluga za pristup datotekama i pisačima za Microsoftove mreže"

Time je dovršena konfiguracija PPTP VPN-a za operacijski sustav Windows 7 i VPN veza je spremna za korištenje.

Vodič za rješavanje problema: Usmjerite VPN kroz NAT vatrozide

Popularnost telekomunikacija i dalje raste, a pitanja informacijske sigurnosti ne gube na važnosti. Stoga male i velike tvrtke koriste virtualne privatne mreže (VPN). Srećom, informacijski odjeli tvrtki shvaćaju da mnogi zaposlenici imaju iznajmljene linije i širokopojasne veze koristeći usmjerivače potrošačke klase. IT odjeli mogu uvelike olakšati život korisnicima korištenjem "NAT-friendly" VPN pristupnika i VPN klijenata koji ne zahtijevaju promjene konfiguracije kućnog usmjerivača za uspostavljanje VPN tunela.

Ako nemate sreće, još uvijek možete popraviti situaciju. Najprije biste trebali provjeriti podržava li vaš usmjerivač PPTP ili IPSEC prolaz. PPTP / IPsec "prolazi". Ova je značajka sveprisutna u usmjerivačima. Linksys, tako da možete tražiti ove modele. Na Riža. 1 prikazan je donji dio zaslona filteri Linksys BEFSR41, koji sadrži opcije za odvojeno omogućavanje PPTP ili IPsec prolaza.

Riža. 1. VPN Linksys BEFSR41 prolaz.

Sve što trebate je omogućiti podršku za korišteni VPN protokol, ponovno pokrenuti usmjerivač. Ako sve bude u redu, vaš će VPN odmah raditi.

Nažalost, nemaju svi usmjerivači funkciju omogućavanja VPN prolaza, ali izostanak ovih opcija ne znači da je sve gotovo.

Ne radi? Zatim biste trebali pokušati otvoriti neke portove u vatrozidu vašeg usmjerivača kako biste održali VPN vezu. Trebali biste otvarati samo portove (i protokol) za IP adresu računala na kojem će VPN klijent raditi. Imajte na umu da značajka prosljeđivanja portova radi samo na jednom računalu... Ako trebate podržati više VPN klijenata koji zahtijevaju istovremeni mrežni rad, vaš usmjerivač mora izvorno podržavati korišteni VPN protokol.

Ako koristite Microsoftov protokol PPTP, tada morate konfigurirati prosljeđivanje portova TCP 1723 za prolaz PPTP prometa. Na Riža. 2 prikazan ekran Prosljeđivanje usmjerivač Linksys BEFSR41 s prosljeđivanjem porta na klijenta s IP adresom 192.168.5.100 .


Riža. 2. Prosljeđivanje portova VPN Linksys BEFSR41.

PPTP također zahtijeva podršku protokola IP 47(Generička enkapsulacija usmjeravanja) za VPN promet. Imajte na umu da je podrška potrebna protokol nego luka. Podrška za ovaj protokol mora biti ugrađena u NAT motor, kao što se radi na većini modernih usmjerivača.

Otvaranje vatrozida, nastavak

Za podršku bazirane na VPN-u IPsec VPN-ovi moraju otvoriti port UDP 500 za ključne pregovore ISAKMP, protokol IP 50 za promet Zaglavlje provjere autentičnosti(ne koristi se uvijek) i protokol IP 51 za prijenos samih podataka. Opet, jedini proslijeđeni port ovdje je UDP 500, na koji smo također programirali Riža. 2 na isti klijentski stroj na lokalnoj mreži; podrška za protokole 50 i 51 trebala bi biti ugrađena u vaš usmjerivač.

Nisu svi usmjerivači isti! Neki podržavaju otvaranje samo jednog VPN tunela i jednog klijenta. Drugi podržavaju više tunela, ali samo jednog klijenta po tunelu. Nažalost, većina dobavljača nije baš jasno u svojoj dokumentaciji kako podržati VPN prolaz za svoje proizvode, a tehnička podrška često nije kvalificirana za rješavanje ovog problema. U većini slučajeva morat ćete testirati usmjerivač na svojoj mreži i vratiti ga ako ne radi.

Ne radi?

Gotovo je nemoguće postići da neki usmjerivači podržavaju IPsec VPN-ove bez šamanske tambure. Poanta je da proizvođači vole implementirati vlastite mehanizme za ovu podršku. Međutim, kako tehnologija "sazrijeva", podrška za IPsec postaje sve bliža idealnoj, a vaša tvrtka može koristiti stare proizvode koji su stvoreni bez obzira na postojanje NAT-a ili koji zahtijevaju otvaranje dodatnih portova u firewall-u.

Ako znate engleski, preporučamo da pogledate vodiče za Tin Bird IPsec i PPTP koji sadrže gotove konfiguracije za mnoge proizvode. Također možete pogledati našu rubriku na engleskom jeziku. VPN veze i alati za više informacija.

U Rusiji je 1. studenog počela zabrana zaobilaženja blokiranja korištenjem VPN-a. I mnoge tvrtke, uključujući i strane, pitale su se što učiniti za organizacije koje koriste tehnologiju za stvaranje korporativnih mreža.

Prema riječima predstavnika Državne dume, u zakonu postoji klauzula prema kojoj se šifriranje mreža može koristiti u korporativne svrhe. To znači da tvrtke ne moraju trošiti značajne iznose i postavljati privatne mreže između svojih ureda, budući da je postavljanje VPN veze praktički (a u nekim slučajevima i jest) besplatno. Stoga smo danas odlučili razmotriti dvije metode organiziranja VPN veze u korporativnoj mreži i nekoliko protokola koji se za to koriste: PPTP, L2TP / IPsec, SSTP i OpenVPN.

Dolazi "prema zadanim postavkama" na bilo kojoj platformi kompatibilnoj s VPN-om i lako se konfigurira bez dodatnog softvera. Još jedna prednost PPTP-a je njegova visoka izvedba. Nažalost, PPTP nije dovoljno siguran. Otkako je protokol ugrađen u Windows 95 OSR2 kasnih devedesetih, otkriveno je nekoliko ranjivosti.

Najznačajnija je mogućnost nekapsulirane provjere autentičnosti MS-CHAP v2. Ovaj exploit omogućio je razbijanje PPTP-a u dva dana. Microsoft je zakrpao rupu prelaskom na PEAP autentifikacijski protokol, no tada su sami predložili korištenje L2TP/IPsec ili SSTP VPN protokola. Još jedna stvar - PPTP veze je lako blokirati, jer protokol radi s jednim portom broj 1723 i koristi GRE protokol.

Kada se uspostavi VPN tunel, PPTP podržava dvije vrste poslanih poruka: kontrolne poruke za održavanje i prekid VPN veze i same pakete podataka.

L2TP i IPsec

Layer 2 Tunneling Protocol, ili L2TP, također je prisutan u gotovo svim modernim operativnim sustavima i radi sa svim uređajima koji podržavaju VPN.

L2TP ne zna šifrirati promet koji prolazi kroz njega, pa se često koristi u sprezi s IPsec-om. Međutim, to dovodi do pojave negativnog učinka - u L2TP / IPsec dolazi do dvostruke enkapsulacije podataka, što negativno utječe na performanse. Također L2TP koristi 500. UDP port, koji je lako blokiran vatrozidom ako ste iza NAT-a.

L2TP / IPsec može raditi s 3DES ili AES šiframa. Prvi je ranjiv na napade kao što su meet-in-the-middle i sweet32, pa se danas rijetko viđa u praksi. Prilikom rada s AES šifrom nisu poznate veće ranjivosti, stoga bi u teoriji ovaj protokol trebao biti siguran (ako je ispravno implementiran). Međutim, John Gilmore, osnivač Electronic Frontier Foundation, naznačio je u objavi da je IPSec mogao biti posebno oslabljen.

Najveći problem s L2TP/IPsec-om je taj što mnogi VPN-ovi to ne rade dovoljno dobro. Koriste unaprijed dijeljene ključeve (PSK) koji se mogu preuzeti sa stranice. PSK-ovi su potrebni za uspostavljanje veze, pa čak i ako su podaci ugroženi, oni ostaju pod AES zaštitom. Ali napadač može koristiti PSK za lažno predstavljanje VPN poslužitelja, a zatim prisluškivati ​​šifrirani promet (čak i ubrizgavanje zlonamjernog koda).

SSTP

Secure Socket Tunneling Protocol, ili SSTP, je VPN protokol koji je razvio Microsoft. Temelji se na SSL-u i prvi put je pokrenut u sustavu Windows Vista SP1. Danas je protokol dostupan za operativne sustave kao što su RouterOS, Linux, SEIL i Mac OS X, ali svoju glavnu primjenu još uvijek nalazi na Windows platformi. SSTP je vlasnički standard u vlasništvu Microsofta i njegov kod nije javno dostupan.

Sam SSTP nema kriptografsku funkcionalnost s izuzetkom jedne funkcije – govorimo o kriptografskom povezivanju koje štiti od MITM napada. Šifriranje podataka vrši se SSL-om. Opis postupka za uspostavljanje VPN veze možete pronaći na web stranici Microsofta.

Čvrsta integracija sa sustavom Windows pojednostavljuje rad s protokolom i povećava njegovu stabilnost na ovoj platformi. Međutim, SSTP koristi SSL 3.0, koji je ranjiv na POODLE napad, što u teoriji utječe na sigurnost VPN protokola.

Vrste VPN veze

U današnjem postu ćemo govoriti o dvije najčešće korištene vrste VPN veze. Radit će se o daljinskom pristupu korporativnoj mreži (remote access) i povezivanju "point-to-point" (site-to-site)

Daljinski pristup omogućuje zaposlenicima tvrtke sigurno povezivanje s korporativnom mrežom putem interneta. To je posebno važno kada zaposlenik ne radi u uredu i povezuje se preko nezaštićenih pristupnih točaka, na primjer, Wi-Fi u kafiću. Za organiziranje ove veze uspostavlja se tunel između klijenta na korisnikovom gadgetu i VPN pristupnika u mreži tvrtke. Pristupnik provjerava autentičnost i zatim odobrava (ili ograničava) pristup mrežnim resursima.

Protokoli koji se najčešće koriste za osiguranje veze su IPsec ili SSL. Također je moguće koristiti PPTP i L2TP protokole.


/ Wikimedia / Philippe Belet / PD

Vrhunski povezani članci

Ažurirajte OS Android na Samsung telefonu Ažurirajte softver na Samsung telefonu
Ažurirajte OS Android na Samsung telefonu Ažurirajte softver na Samsung telefonu
Koji pametni telefoni će se nadograditi na Android 7
Koji pametni telefoni će se nadograditi na Android 7
Dizajn, materijali karoserije, dimenzije
Dizajn, materijali karoserije, dimenzije
Kategorije:
© 2021 bumotors.ru. Kako postaviti pametne telefone i računala. Informativni portal.