Come configurare smartphone e PC. Portale informativo
  • casa
  • Recensioni
  • Le porte Pptp sono un protocollo di comunicazione sicuro. Connessione PPTP - che cos'è

Le porte Pptp sono un protocollo di comunicazione sicuro. Connessione PPTP - che cos'è

15.07.2019 Recensioni

PPTP(dall'inglese. Protocollo di tunneling punto-punto) è un protocollo di tunneling punto-punto (nodo-nodo) che consente a un computer di stabilire una connessione sicura con un server creando un tunnel in una rete non sicura.

PPTP incapsula (incapsula) frame PPP in pacchetti IP per la trasmissione su una rete IP globale come Internet. PPTP può essere utilizzato anche per stabilire un tunnel tra due reti locali. PPTP utilizza una connessione TCP aggiuntiva per servire il tunnel.

Questo protocollo è meno sicuro di IPSec. PPTP funziona stabilendo una normale sessione PPP con il lato opposto utilizzando l'incapsulamento di routing generico. La seconda connessione sulla porta TCP 1723 viene utilizzata per avviare e controllare la connessione GRE. È difficile reindirizzare il PPTP oltre un firewall poiché richiede la creazione di due sessioni di rete contemporaneamente. Il traffico PPTP può essere crittografato utilizzando MPPE. È possibile utilizzare vari meccanismi per autenticare i client, come MS-CHAPv2 e EAP-TLS.

Il problema della sicurezza e dell'affidabilità del protocollo

  • MSCHAP-v1 è completamente inaffidabile. Esistono utilità per estrarre facilmente gli hash delle password dallo scambio MSCHAP-v1 intercettato;
  • MSCHAP-v2 è vulnerabile a un attacco del dizionario sui pacchetti di risposta di sfida intercettati. Ci sono programmi che eseguono questo processo;
  • Nel 2012 è stato dimostrato che la complessità di indovinare la chiave MSCHAP-v2 equivale a indovinare la chiave di crittografia DES ed è stato presentato un servizio online in grado di recuperare la chiave in 23 ore;
  • Quando si utilizza MSCHAP-v1, MPPE utilizza la stessa chiave di sessione RC4 per crittografare il traffico in entrambe le direzioni. Pertanto, la tecnica standard consiste nello XOR di flussi da diverse direzioni insieme in modo che il crittoanalista possa scoprire la chiave;
  • MPPE utilizza il flusso RC4 per la crittografia. Non esiste un metodo per autenticare un flusso alfanumerico e quindi il flusso è vulnerabile a un attacco di spoofing. Un utente malintenzionato può facilmente sostituire alcuni bit per modificare il flusso in uscita senza il rischio di essere rilevato. Questo scambio di bit può essere risolto utilizzando protocolli che leggono i checksum.

Struttura

La Figura 1 mostra la struttura di un pacchetto PPTP. In generale, niente di speciale, il frame PPP e l'intestazione GRE sono incapsulati nel pacchetto IP.

Brevemente su GRE. È un protocollo di tunneling che opera al livello 3 del modello OSI. Funzione GRE - incapsulamento dei pacchetti del livello di rete del modello di rete OSI in pacchetti IP.

Il tunneling prevede tre protocolli:

  • passeggeri - protocollo incapsulato (IP, CLNP, IPX, Apple Talk, DECnet Phase IV, XNS, VINES e Apollo);
  • Protocollo di incapsulamento (GRE)
  • protocollo di trasporto (IP).

L'intestazione occupa 4 byte (Fig. 2) ed è composta da 2 parti:

1) 1-2 byte- bandiere :

- ChecksumPresente- bit 0, se uguale a 1, allora l'intestazione GRE contiene un campo checksum opzionale - Checksumfield;

- chiave presente- bit 2, se uguale a 1, allora l'intestazione GRE contiene un campo facoltativo contenente il campo Chiave;

- Numero di sequenza presente- bit 3, se uguale a 1, allora l'intestazione GRE contiene un campo numero di sequenza opzionale - SequenceNumberfield;

- Numero della versione- bit 13-15. Questo campo indica la versione dell'implementazione GRE. Un valore 0 viene in genere utilizzato per GRE. Il protocollo Point-to-Point (PP2P) utilizza la versione 1.

2) 3-4 byte. Contiene il tipo di protocollo (ethertype) del pacchetto incapsulato.

MTU

Una domanda altrettanto importante per il protocollo è la domanda MTU.

Poiché PPTP è payload + intestazione PPP + GRE + intestazione IP. Ethernet MTU = 1500 byte, intestazione IP = 20 byte, GRE = 4 byte. 1500-20-4 = 1476 byte.

Messaggi di controllo

La comunicazione PPTP si basa su una connessione di controllo PPTP, una sequenza di messaggi di controllo che stabiliscono e mantengono un tunnel. Una connessione PPTP completa è costituita da una sola connessione TCP/IP, che richiede la trasmissione di comandi echo per mantenerla aperta mentre le transazioni sono in corso. Di seguito, in Figura 3, sono indicati i messaggi di controllo e il loro significato.

Il 1° novembre in Russia è iniziato il divieto di aggirare il blocco utilizzando una VPN. E molte aziende, anche straniere, si sono chieste cosa fare per le organizzazioni che utilizzano la tecnologia per creare reti aziendali.

Secondo i rappresentanti della Duma di Stato, c'è una clausola nella legge, secondo la quale la crittografia delle reti può essere utilizzata per scopi aziendali. Ciò significa che le aziende non devono spendere cifre importanti e interporre reti private tra i loro uffici, poiché la creazione di una connessione VPN è praticamente (e in alcuni casi) gratuita. Pertanto, oggi abbiamo deciso di considerare due metodi per organizzare una connessione VPN in una rete aziendale e diversi protocolli utilizzati per questo: PPTP, L2TP / IPsec, SSTP e OpenVPN.

Viene fornito "di default" su qualsiasi piattaforma compatibile con VPN ed è facile da configurare senza software aggiuntivo. Un altro vantaggio di PPTP sono le sue alte prestazioni. Sfortunatamente, PPTP non è abbastanza sicuro. Da quando il protocollo è stato incorporato in Windows 95 OSR2 alla fine degli anni novanta, sono state esposte diverse vulnerabilità.

La più significativa è la capacità di autenticazione non incapsulata di MS-CHAP v2. Questo exploit ha permesso di craccare PPTP in due giorni. Microsoft ha corretto il buco passando al protocollo di autenticazione PEAP, ma poi loro stessi hanno suggerito di utilizzare i protocolli VPN L2TP / IPsec o SSTP. Un altro punto: le connessioni PPTP sono facili da bloccare, perché il protocollo funziona con un numero di porta 1723 e utilizza il protocollo GRE.

Quando viene stabilito un tunnel VPN, PPTP supporta due tipi di messaggi trasmessi: messaggi di controllo per mantenere e disconnettere la connessione VPN e i pacchetti di dati stessi.

L2TP e IPsec

Il protocollo di tunneling di livello 2, o L2TP, è presente anche in quasi tutti i sistemi operativi moderni e funziona con tutti i dispositivi compatibili con VPN.

L2TP non sa come crittografare il traffico che lo attraversa, quindi viene spesso utilizzato insieme a IPsec. Tuttavia, ciò porta alla comparsa di un effetto negativo: in L2TP / IPsec si verifica un doppio incapsulamento dei dati, che influisce negativamente sulle prestazioni. Anche L2TP utilizza la 500a porta UDP, che può essere facilmente bloccata da un firewall se sei dietro NAT.

L2TP / IPsec può funzionare con cifrari 3DES o AES. Il primo è vulnerabile ad attacchi come meet-in-the-middle e sweet32, quindi oggi è raramente visto nella pratica. Quando si lavora con il cifrario AES, non sono note importanti vulnerabilità, quindi, in teoria, questo protocollo dovrebbe essere sicuro (se implementato correttamente). Tuttavia, John Gilmore, fondatore della Electronic Frontier Foundation, ha indicato in un post che IPSec avrebbe potuto essere particolarmente indebolito.

Il problema più grande con L2TP / IPsec è che molte VPN non lo fanno abbastanza bene. Usano chiavi precondivise (PSK) che possono essere scaricate dal sito. Le PSK sono necessarie per stabilire una connessione, quindi anche se i dati vengono compromessi, rimangono sotto la protezione AES. Ma un utente malintenzionato può utilizzare la PSK per impersonare un server VPN e quindi intercettare il traffico crittografato (anche iniettando codice dannoso).

SSTP

Il Secure Socket Tunneling Protocol, o SSTP, è un protocollo VPN sviluppato da Microsoft. Si basa su SSL e viene lanciato per la prima volta in Windows Vista SP1. Oggi il protocollo è disponibile per sistemi operativi come RouterOS, Linux, SEIL e Mac OS X, ma trova ancora il suo utilizzo principale sulla piattaforma Windows. SSTP è uno standard proprietario di proprietà di Microsoft e il suo codice non è disponibile pubblicamente.

Lo stesso SSTP non ha funzionalità crittografiche ad eccezione di una funzione: stiamo parlando di un'associazione crittografica che protegge dagli attacchi MITM. La crittografia dei dati viene eseguita da SSL. Una descrizione della procedura per stabilire una connessione VPN è disponibile sul sito Web di Microsoft.

La stretta integrazione con Windows semplifica il lavoro con il protocollo e ne aumenta la stabilità su questa piattaforma. Tuttavia, SSTP utilizza SSL 3.0, che è vulnerabile a un attacco POODLE, che in teoria influisce sulla sicurezza del protocollo VPN.

Tipi di connessione VPN

Nel post di oggi parleremo dei due tipi di connessione VPN più comunemente utilizzati. Si tratterà di accesso remoto alla rete aziendale (accesso remoto) e connessione "point-to-point" (site-to-site)

L'accesso remoto consente ai dipendenti dell'azienda di connettersi in modo sicuro alla rete aziendale tramite Internet. Ciò è particolarmente importante quando il dipendente non lavora in ufficio e si connette tramite punti di accesso non protetti, ad esempio Wi-Fi in un bar. Per organizzare questa connessione, viene stabilito un tunnel tra il client sul gadget dell'utente e il gateway VPN nella rete aziendale. Il gateway esegue l'autenticazione e quindi concede (o limita) l'accesso alle risorse di rete.

I protocolli più comunemente usati per proteggere la connessione sono IPsec o SSL. È anche possibile utilizzare i protocolli PPTP e L2TP.


/ Wikimedia / Philippe Belet / PD

Benvenuti sul nostro sito web! In questo tutorial imparerai come configurare una connessione VPN PPTP per il sistema operativo Windows 7.

Ricordiamo che VPN (Virtual Private Network) è una tecnologia che viene utilizzata per accedere a una o più reti protette tramite l'Internet pubblica. Con un canale VPN, puoi proteggere le tue informazioni crittografandole e trasferendole all'interno di una sessione VPN. Inoltre, la VPN è un'alternativa economica a un costoso canale di comunicazione dedicato.

Per configurare VPN su PPTP per Windows 7, avrai bisogno di:

  • sistema operativo Windows 7;
  • l'indirizzo del server VPN a cui verrà effettuata la connessione utilizzando il protocollo PPTP;
  • login e password.

Con questo si conclude la parte teorica, passiamo alla pratica.

1. Apri il menu "Start" e vai al "Pannello di controllo" del tuo computer

2. Quindi selezionare la sezione "Rete e Internet"

3. Nella finestra che si apre, seleziona "Centro connessioni di rete e condivisione"

4. Nella fase successiva, seleziona la voce "Configurazione di una nuova connessione o rete"

5. Nella finestra appena aperta, seleziona la voce "Connetti al posto di lavoro"

6. Nella nuova finestra, seleziona la voce "Usa la mia connessione Internet (VPN)"

8. Nella finestra che si apre, nel campo "Indirizzo Internet", inserisci l'indirizzo del tuo server VPN, nel campo "Nome destinazione", inserisci il nome della connessione, che può essere selezionato arbitrariamente

9. Nella finestra successiva, inserisci il login e la password che sono registrati sul server VPN. Nel campo "Ricorda questa password" metti un "segno di spunta" per non inserirla ogni volta che ti colleghi

10. Dopo i passaggi precedenti, la connessione è pronta per l'uso, fare clic sul pulsante "chiudi"

11. Successivamente, torna al menu Start, quindi a Pannello di controllo, Rete e Internet, Gestione rete e condivisione, dove selezioniamo la voce "Modifica impostazioni scheda"

12. Trova la nostra connessione VPN in questa finestra, fai clic destro su di essa e vai alle sue proprietà

14. Nella stessa finestra, solo nella scheda "Rete", deselezionare le caselle accanto alle voci: "Client per reti Microsoft" e "Servizio di accesso a file e stampanti per reti Microsoft"

Questo completa la configurazione VPN PPTP per il sistema operativo Windows 7 e la connessione VPN è pronta per l'uso.

Guida alla risoluzione dei problemi: instradare VPN tramite firewall NAT

La popolarità delle telecomunicazioni continua a crescere, mentre i temi della sicurezza delle informazioni non perdono la loro rilevanza. Pertanto, le piccole e grandi aziende utilizzano reti private virtuali (VPN). Fortunatamente, i dipartimenti informativi delle aziende si stanno rendendo conto che molti dipendenti hanno linee affittate e connessioni a banda larga utilizzando router di livello consumer. I reparti IT possono rendere la vita molto più semplice per gli utenti utilizzando gateway VPN "NAT-friendly" e client VPN che non richiedono modifiche alla configurazione del router domestico per stabilire il tunnel VPN.

Se non sei così fortunato, puoi comunque sistemare la situazione. Innanzitutto, dovresti verificare se il tuo router supporta il pass-through PPTP o IPSEC. PPTP / IPsec "passa attraverso". Questa funzione è onnipresente nei router. Linksys, quindi puoi cercare questi modelli. Sul Riso. uno viene mostrata la parte inferiore dello schermo filtri Linksys BEFSR41, che contiene opzioni per abilitare separatamente il pass-through PPTP o IPsec.

Riso. 1. Pass-through VPN Linksys BEFSR41.

Tutto ciò che serve è abilitare il supporto per il protocollo VPN utilizzato, riavviare il router. Se tutto va bene, la tua VPN funzionerà immediatamente.

Sfortunatamente, non tutti i router hanno la funzione di abilitare il pass-through VPN, ma l'assenza di queste opzioni non significa che sia tutto finito.

Non funziona? Quindi dovresti provare ad aprire alcune porte nel firewall del tuo router per mantenere la connessione VPN. Dovresti aprire solo le porte (e il protocollo) per l'indirizzo IP del computer su cui verrà eseguito il client VPN. Tieni presente che la funzione di port forwarding funziona solo con un computer alla volta... Se è necessario supportare più client VPN che richiedono operazioni di rete simultanee, il router deve supportare in modo nativo il protocollo VPN utilizzato.

Se stai usando il protocollo Microsoft PPTP, quindi devi configurare il port forwarding TCP 1723 per passare il traffico PPTP. Sul Riso. 2 schermata mostrata inoltro un router Linksys BEFSR41 con port forwarding a un client con un indirizzo IP 192.168.5.100 .


Riso. 2. Inoltro alla porta VPN Linksys BEFSR41.

PPTP richiede anche il supporto del protocollo IP47(Generic Routing Encapsulation) per il traffico VPN. Tieni presente che è necessario il supporto protocollo piuttosto che un porto. Il supporto per questo protocollo deve essere integrato nel motore NAT, come avviene sulla maggior parte dei router moderni.

Apertura del firewall, continua

Per supportare basato su VPN IPsec Le VPN devono aprire la porta UDP 500 per la negoziazione chiave ISAKMP, protocollo IP 50 per il traffico Intestazione di autenticazione(non sempre utilizzato) e il protocollo IP51 trasferire i dati stessi. Ancora una volta, l'unica porta inoltrata qui è UDP 500, che abbiamo anche programmato su Riso. 2 allo stesso computer client sulla rete locale; il supporto per i protocolli 50 e 51 dovrebbe essere integrato nel router.

Non tutti i router sono uguali! Alcuni supportano l'apertura di un solo tunnel VPN e di un singolo client. Altri supportano più tunnel, ma solo un client per tunnel. Sfortunatamente, la maggior parte dei fornitori non è molto chiara nella propria documentazione su come supportare il pass-through VPN per i propri prodotti e il supporto tecnico spesso non è qualificato per affrontare questo problema. Nella maggior parte dei casi, dovrai testare il router sulla tua rete e restituirlo se non funziona.

Non funziona?

Ottenere alcuni router per supportare VPN IPsec senza tamburello sciamanico è quasi impossibile. Il punto è che i produttori amano implementare i propri meccanismi per questo supporto. Tuttavia, man mano che la tecnologia "matura", il supporto per IPsec diventa sempre più vicino all'ideale e la tua azienda può utilizzare vecchi prodotti che sono stati creati senza alcuna considerazione per l'esistenza del NAT o che richiedono l'apertura di porte aggiuntive nel firewall.

Se conosci l'inglese, ti consigliamo di consultare le guide di Tin Bird su IPsec e PPTP che contengono configurazioni già pronte per molti prodotti. Puoi anche dare un'occhiata alla nostra sezione in lingua inglese. Collegamenti e strumenti VPN per maggiori informazioni.

Il 1° novembre in Russia è iniziato il divieto di aggirare il blocco utilizzando una VPN. E molte aziende, anche straniere, si sono chieste cosa fare per le organizzazioni che utilizzano la tecnologia per creare reti aziendali.

Secondo i rappresentanti della Duma di Stato, c'è una clausola nella legge, secondo la quale la crittografia delle reti può essere utilizzata per scopi aziendali. Ciò significa che le aziende non devono spendere cifre importanti e interporre reti private tra i loro uffici, poiché la creazione di una connessione VPN è praticamente (e in alcuni casi) gratuita. Pertanto, oggi abbiamo deciso di considerare due metodi per organizzare una connessione VPN in una rete aziendale e diversi protocolli utilizzati per questo: PPTP, L2TP / IPsec, SSTP e OpenVPN.

Viene fornito "di default" su qualsiasi piattaforma compatibile con VPN ed è facile da configurare senza software aggiuntivo. Un altro vantaggio di PPTP sono le sue alte prestazioni. Sfortunatamente, PPTP non è abbastanza sicuro. Da quando il protocollo è stato incorporato in Windows 95 OSR2 alla fine degli anni novanta, sono state esposte diverse vulnerabilità.

La più significativa è la capacità di autenticazione non incapsulata di MS-CHAP v2. Questo exploit ha permesso di craccare PPTP in due giorni. Microsoft ha corretto il buco passando al protocollo di autenticazione PEAP, ma poi loro stessi hanno suggerito di utilizzare i protocolli VPN L2TP / IPsec o SSTP. Un altro punto: le connessioni PPTP sono facili da bloccare, perché il protocollo funziona con un numero di porta 1723 e utilizza il protocollo GRE.

Quando viene stabilito un tunnel VPN, PPTP supporta due tipi di messaggi trasmessi: messaggi di controllo per mantenere e disconnettere la connessione VPN e i pacchetti di dati stessi.

L2TP e IPsec

Il protocollo di tunneling di livello 2, o L2TP, è presente anche in quasi tutti i sistemi operativi moderni e funziona con tutti i dispositivi compatibili con VPN.

L2TP non sa come crittografare il traffico che lo attraversa, quindi viene spesso utilizzato insieme a IPsec. Tuttavia, ciò porta alla comparsa di un effetto negativo: in L2TP / IPsec si verifica un doppio incapsulamento dei dati, che influisce negativamente sulle prestazioni. Anche L2TP utilizza la 500a porta UDP, che può essere facilmente bloccata da un firewall se sei dietro NAT.

L2TP / IPsec può funzionare con cifrari 3DES o AES. Il primo è vulnerabile ad attacchi come meet-in-the-middle e sweet32, quindi oggi è raramente visto nella pratica. Quando si lavora con il cifrario AES, non sono note importanti vulnerabilità, quindi, in teoria, questo protocollo dovrebbe essere sicuro (se implementato correttamente). Tuttavia, John Gilmore, fondatore della Electronic Frontier Foundation, ha indicato in un post che IPSec avrebbe potuto essere particolarmente indebolito.

Il problema più grande con L2TP / IPsec è che molte VPN non lo fanno abbastanza bene. Usano chiavi precondivise (PSK) che possono essere scaricate dal sito. Le PSK sono necessarie per stabilire una connessione, quindi anche se i dati vengono compromessi, rimangono sotto la protezione AES. Ma un utente malintenzionato può utilizzare la PSK per impersonare un server VPN e quindi intercettare il traffico crittografato (anche iniettando codice dannoso).

SSTP

Il Secure Socket Tunneling Protocol, o SSTP, è un protocollo VPN sviluppato da Microsoft. Si basa su SSL e viene lanciato per la prima volta in Windows Vista SP1. Oggi il protocollo è disponibile per sistemi operativi come RouterOS, Linux, SEIL e Mac OS X, ma trova ancora il suo utilizzo principale sulla piattaforma Windows. SSTP è uno standard proprietario di proprietà di Microsoft e il suo codice non è disponibile pubblicamente.

Lo stesso SSTP non ha funzionalità crittografiche ad eccezione di una funzione: stiamo parlando di un'associazione crittografica che protegge dagli attacchi MITM. La crittografia dei dati viene eseguita da SSL. Una descrizione della procedura per stabilire una connessione VPN è disponibile sul sito Web di Microsoft.

La stretta integrazione con Windows semplifica il lavoro con il protocollo e ne aumenta la stabilità su questa piattaforma. Tuttavia, SSTP utilizza SSL 3.0, che è vulnerabile a un attacco POODLE, che in teoria influisce sulla sicurezza del protocollo VPN.

Tipi di connessione VPN

Nel post di oggi parleremo dei due tipi di connessione VPN più comunemente utilizzati. Si tratterà di accesso remoto alla rete aziendale (accesso remoto) e connessione "point-to-point" (site-to-site)

L'accesso remoto consente ai dipendenti dell'azienda di connettersi in modo sicuro alla rete aziendale tramite Internet. Ciò è particolarmente importante quando il dipendente non lavora in ufficio e si connette tramite punti di accesso non protetti, ad esempio Wi-Fi in un bar. Per organizzare questa connessione, viene stabilito un tunnel tra il client sul gadget dell'utente e il gateway VPN nella rete aziendale. Il gateway esegue l'autenticazione e quindi concede (o limita) l'accesso alle risorse di rete.

I protocolli più comunemente usati per proteggere la connessione sono IPsec o SSL. È anche possibile utilizzare i protocolli PPTP e L2TP.


/ Wikimedia / Philippe Belet / PD

Principali articoli correlati

Scegliere una distribuzione Linux: consigli per un principiante Quale versione Linux è la migliore
Scegliere una distribuzione Linux: consigli per un principiante Quale versione Linux è la migliore
Come trovare un file su un computer Windows Configurazione delle opzioni di ricerca in Windows 7
Come trovare un file su un computer Windows Configurazione delle opzioni di ricerca in Windows 7
Come controllare un computer senza mouse?
Come controllare un computer senza mouse?
Categorie:
© 2021 bumotors.ru. Come configurare smartphone e PC. Portale informativo.