Cum se configurează smartphone-uri și PC-uri. Portal informativ
  • Acasă
  • Recenzii
  • Porturile Pptp sunt un protocol de comunicare securizat. Conexiune PPTP - ce este

Porturile Pptp sunt un protocol de comunicare securizat. Conexiune PPTP - ce este

15.07.2019 Recenzii

PPTP(din engleză. Protocol de tunel punct la punct) este un protocol de tunelare punct la punct (nod la nod) care permite unui computer să stabilească o conexiune sigură cu un server prin crearea unui tunel într-o rețea nesigură.

PPTP încapsulează (încapsulează) cadre PPP în pachete IP pentru transmisie printr-o rețea IP globală, cum ar fi Internetul. PPTP poate fi folosit și pentru a stabili un tunel între două rețele locale. PPTP folosește o conexiune TCP suplimentară pentru a deservi tunelul.

Acest protocol este mai puțin sigur decât IPSec. PPTP funcționează prin stabilirea unei sesiuni PPP obișnuite cu partea opusă utilizând Encapsularea de rutare generică. A doua conexiune pe portul TCP 1723 este utilizată pentru a iniția și controla conexiunea GRE. PPTP este dificil de redirecționat dincolo de un firewall, deoarece necesită stabilirea a două sesiuni de rețea în același timp. Traficul PPTP poate fi criptat folosind MPPE. Pentru autentificarea clienților pot fi utilizate diferite mecanisme, cum ar fi MS-CHAPv2 și EAP-TLS.

Problema securității și fiabilității protocolului

  • MSCHAP-v1 este complet nesigur. Există utilitare pentru extragerea cu ușurință a hash-urilor de parole din schimbul MSCHAP-v1 interceptat;
  • MSCHAP-v2 este vulnerabil la un atac de dicționar asupra pachetelor de provocare-răspuns interceptate. Există programe care efectuează acest proces;
  • În 2012, s-a demonstrat că complexitatea ghicirii cheii MSCHAP-v2 echivalează cu ghicirea cheii de criptare DES și a fost prezentat un serviciu online care poate recupera cheia în 23 de ore;
  • Când utilizați MSCHAP-v1, MPPE utilizează aceeași cheie de sesiune RC4 pentru a cripta traficul în ambele direcții. Prin urmare, tehnica standard este de a XOR fluxuri din diferite direcții împreună, astfel încât criptoanalistul să poată afla cheia;
  • MPPE folosește fluxul RC4 pentru criptare. Nu există nicio metodă de autentificare a unui flux alfanumeric și, prin urmare, fluxul este vulnerabil la un atac de falsificare. Un atacator poate înlocui cu ușurință unii dintre biți pentru a schimba fluxul de ieșire fără riscul de a fi detectat. Această schimbare de biți poate fi rezolvată folosind protocoale care citesc sumele de verificare.

Structura

Figura 1 prezintă structura unui pachet PPTP. În general - nimic special, cadrul PPP și antetul GRE sunt încapsulate în pachetul IP.

Pe scurt despre GRE. Este un protocol de tunel care operează la nivelul 3 al modelului OSI. Funcția GRE - încapsularea pachetelor de nivel de rețea ale modelului de rețea OSI în pachete IP.

Tunnelarea implică trei protocoale:

  • pasager - protocol încapsulat (IP, CLNP, IPX, Apple Talk, DECnet Phase IV, XNS, VINES și Apollo);
  • Protocolul de încapsulare (GRE)
  • protocol de transport (IP).

Antetul are 4 octeți (Fig. 2) și este format din 2 părți:

1) 1-2 octeți- steaguri :

- ChecksumPresent- bitul 0, dacă este egal cu 1, atunci antetul GRE conține un câmp opțional sumă de control - Câmp sumă de control;

- Cheie Prezentă- bitul 2, dacă este egal cu 1, atunci antetul GRE conține un câmp opțional care conține câmpul Cheie;

- Numărul de secvență prezent- bitul 3, dacă este egal cu 1, atunci antetul GRE conține un câmp opțional de număr de secvență - SequenceNumberfield;

- Versiunea numarul- biții 13-15. Acest câmp indică versiunea implementării GRE. O valoare de 0 este utilizată de obicei pentru GRE. Protocolul Point-To-Point (PP2P) folosește versiunea 1.

2) 3-4 octeți. Conține tipul de protocol (ethertype) al pachetului încapsulat.

MTU

O întrebare la fel de importantă pentru protocol este întrebarea MTU.

Deoarece PPTP este sarcină utilă + antet PPP + GRE + antet IP. Ethernet MTU = 1500 de octeți, IP antet = 20 de octeți, GRE = 4 octeți. 1500-20-4 = 1476 de octeți.

Mesajele de control

Comunicarea PPTP se bazează pe o conexiune de control PPTP, o secvență de mesaje de control care stabilesc și mențin un tunel. O conexiune PPTP completă constă dintr-o singură conexiune TCP/IP, care necesită transmiterea comenzilor echo pentru a o menține deschisă în timp ce tranzacțiile sunt în curs. Mai jos, în Figura 3, sunt indicate mesajele de control și semnificațiile acestora.

Pe 1 noiembrie, în Rusia a început o interdicție privind ocolirea blocării folosind un VPN. Și multe companii, inclusiv cele străine, s-au întrebat ce să facă pentru organizațiile care folosesc tehnologia pentru a crea rețele corporative.

Potrivit reprezentanților Dumei de Stat, există o clauză în lege, conform căreia criptarea rețelelor poate fi utilizată în scopuri corporative. Aceasta înseamnă că companiile nu trebuie să cheltuiască sume semnificative și să pună rețele private între birourile lor, deoarece configurarea unei conexiuni VPN este practic (și în unele cazuri este) gratuită. Prin urmare, astăzi am decis să luăm în considerare două metode de organizare a unei conexiuni VPN într-o rețea corporativă și mai multe protocoale utilizate pentru aceasta: PPTP, L2TP / IPsec, SSTP și OpenVPN.

Vine „în mod implicit” pe orice platformă compatibilă cu VPN și este ușor de configurat fără software suplimentar. Un alt avantaj al PPTP este performanța sa ridicată. Din păcate, PPTP nu este suficient de sigur. De când protocolul a fost încorporat în Windows 95 OSR2 la sfârșitul anilor 90, mai multe vulnerabilități au fost expuse.

Cea mai semnificativă este capacitatea de autentificare neîncapsulată MS-CHAP v2. Acest exploit a făcut posibilă spargerea PPTP în două zile. Microsoft a corectat gaura trecând la protocolul de autentificare PEAP, dar apoi ei înșiși au sugerat să folosească protocoalele L2TP / IPsec sau SSTP VPN. Încă un punct - conexiunile PPTP sunt ușor de blocat, deoarece protocolul funcționează cu un număr de port 1723 și utilizează protocolul GRE.

Când se stabilește un tunel VPN, PPTP acceptă două tipuri de mesaje transmise: mesaje de control pentru menținerea și deconectarea conexiunii VPN și pachetele de date în sine.

L2TP și IPsec

Layer 2 Tunneling Protocol, sau L2TP, este, de asemenea, prezent în aproape toate sistemele de operare moderne și funcționează cu toate dispozitivele compatibile cu VPN.

L2TP nu știe cum să cripteze traficul care trece prin el, așa că este adesea folosit împreună cu IPsec. Cu toate acestea, acest lucru duce la apariția unui efect negativ - în L2TP / IPsec are loc dubla încapsulare a datelor, care afectează negativ performanța. De asemenea, L2TP folosește al 500-lea port UDP, care este ușor blocat de un firewall dacă sunteți în spatele NAT.

L2TP / IPsec poate funcționa cu cifruri 3DES sau AES. Primul este vulnerabil la atacuri precum meet-in-the-middle și sweet32, așa că astăzi este rar întâlnit în practică. Când lucrați cu cifrul AES, nu sunt cunoscute vulnerabilități majore, prin urmare, în teorie, acest protocol ar trebui să fie sigur (dacă este implementat corect). Cu toate acestea, John Gilmore, fondatorul Electronic Frontier Foundation, a indicat într-o postare că IPSec ar fi putut fi slăbit în mod special.

Cea mai mare problemă cu L2TP / IPsec este că multe VPN-uri nu o fac suficient de bine. Ei folosesc chei pre-partajate (PSK) care pot fi descărcate de pe site. PSK-urile sunt necesare pentru a stabili o conexiune, așa că, chiar dacă datele sunt compromise, acestea rămân sub protecție AES. Dar un atacator poate folosi PSK pentru a uzurpa identitatea unui server VPN și apoi să asculte cu urechea traficul criptat (chiar și injectând cod rău intenționat).

SSTP

Secure Socket Tunneling Protocol, sau SSTP, este un protocol VPN dezvoltat de Microsoft. Se bazează pe SSL și a fost lansat pentru prima dată în Windows Vista SP1. Astăzi protocolul este disponibil pentru sisteme de operare precum RouterOS, Linux, SEIL și Mac OS X, dar își găsește în continuare utilizarea principală pe platforma Windows. SSTP este un standard proprietar deținut de Microsoft și codul său nu este disponibil public.

SSTP în sine nu are nicio funcționalitate criptografică cu excepția unei singure funcții - vorbim despre o legătură criptografică care protejează împotriva atacurilor MITM. Criptarea datelor este realizată prin SSL. O descriere a procedurii de stabilire a unei conexiuni VPN poate fi găsită pe site-ul Microsoft.

Integrarea strânsă cu Windows simplifică lucrul cu protocolul și crește stabilitatea acestuia pe această platformă. Cu toate acestea, SSTP folosește SSL 3.0, care este vulnerabil la un atac POODLE, care în teorie afectează securitatea protocolului VPN.

Tipuri de conexiune VPN

În postarea de astăzi, vom vorbi despre cele două tipuri de conexiuni VPN cele mai frecvent utilizate. Va fi vorba despre accesul de la distanță la rețeaua corporativă (acces la distanță) și conexiunea „point-to-point” (site-to-site)

Accesul de la distanță permite angajaților companiei să se conecteze în siguranță la rețeaua corporativă prin Internet. Acest lucru este deosebit de important atunci când angajatul nu lucrează la birou și se conectează prin puncte de acces nesecurizate, de exemplu, Wi-Fi într-o cafenea. Pentru a organiza această conexiune, se stabilește un tunel între clientul de pe gadgetul utilizatorului și gateway-ul VPN din rețeaua companiei. Gateway-ul se autentifică și apoi acordă (sau restricționează) accesul la resursele rețelei.

Cele mai frecvent utilizate protocoale pentru a securiza conexiunea sunt IPsec sau SSL. De asemenea, este posibil să utilizați protocoalele PPTP și L2TP.


/ Wikimedia / Philippe Belet / PD

Bine ati venit pe site-ul nostru! În acest tutorial, veți învăța cum să configurați o conexiune VPN PPTP pentru sistemul de operare Windows 7.

Amintiți-vă că VPN (Virtual Private Network) este o tehnologie care este utilizată pentru a accesa o rețea (re) securizate prin internetul public. Cu un canal VPN, vă puteți proteja informațiile criptându-le și transferându-le într-o sesiune VPN. În plus, VPN este o alternativă ieftină la un canal de comunicare dedicat costisitor.

Pentru a configura VPN prin PPTP pentru Windows 7, veți avea nevoie de:

  • OS Windows 7;
  • adresa serverului VPN la care se va face conexiunea folosind protocolul PPTP;
  • autentificare și parolă.

Așa se încheie partea teoretică, să trecem la practică.

1. Deschideți meniul „Start” și accesați „Panou de control” al computerului dvs

2. Apoi selectați secțiunea „Rețea și Internet”.

3. În fereastra care se deschide, selectați „Centrul de rețea și partajare”

4. În etapa următoare, selectați elementul „Configurarea unei noi conexiuni sau rețele”

5. În fereastra nou deschisă, selectați elementul „Conectați-vă la locul de muncă”

6. În fereastra nouă, selectați elementul „Utilizați conexiunea mea la Internet (VPN)”

8. În fereastra care se deschide, în câmpul „Adresă Internet”, introduceți adresa serverului dumneavoastră VPN, în câmpul „Nume destinație”, introduceți numele conexiunii, care poate fi selectată în mod arbitrar

9. În fereastra următoare, introduceți datele de conectare și parola care sunt înregistrate pe serverul VPN. În câmpul „Reține această parolă” pune un „bif” pentru a nu o introduce de fiecare dată când te conectezi

10. După pașii de mai sus, conexiunea este gata de utilizare, faceți clic pe butonul „închidere”.

11. După aceea, reveniți la meniul Start, apoi la Panou de control, Rețea și Internet, Gestionare rețea și partajare, unde selectam elementul „Modificați setările adaptorului”

12. Găsiți conexiunea noastră VPN în această fereastră, faceți clic dreapta pe ea și accesați proprietățile acesteia

14. În aceeași fereastră, doar în fila „Rețea”, debifați casetele de lângă articolele: „Client pentru rețele Microsoft” și „Serviciu pentru acces la fișiere și imprimante pentru rețele Microsoft”

Aceasta completează configurația PPTP VPN pentru sistemul de operare Windows 7 și conexiunea VPN este gata de utilizare.

Ghid de depanare: direcționați VPN prin firewall-uri NAT

Popularitatea telecomunicațiilor continuă să crească, în timp ce problemele securității informațiilor nu își pierd relevanța. Prin urmare, companiile mici și mari folosesc rețele private virtuale (VPN). Din fericire, departamentele de informare ale companiilor realizează că mulți angajați au închiriat linii și conexiuni în bandă largă folosind routere de calitate pentru consumatori. Departamentele IT pot face viața mult mai ușoară utilizatorilor utilizând gateway-uri VPN „compatibile cu NAT” și clienți VPN care nu necesită modificări de configurare a routerului de acasă pentru a stabili tunelul VPN.

Dacă nu ești atât de norocos, poți totuși să remediezi situația. În primul rând, ar trebui să verificați dacă routerul dvs. acceptă PPTP sau IPSEC pass-through. PPTP / IPsec „trece prin”. Această caracteristică este omniprezentă în routere. Linksys, astfel încât să puteți căuta aceste modele. Pe Orez. unu este afișată partea de jos a ecranului filtre Linksys BEFSR41, care conține opțiuni pentru a activa separat PPTP sau IPsec pass-through.

Orez. 1. Pass-through VPN Linksys BEFSR41.

Tot ce aveți nevoie este să activați suportul pentru protocolul VPN utilizat, să reporniți routerul. Dacă totul merge bine, VPN-ul tău va funcționa imediat.

Din păcate, nu toate routerele au funcția de a activa VPN pass-through, dar absența acestor opțiuni nu înseamnă că totul s-a terminat.

Nu funcționează? Apoi ar trebui să încercați să deschideți unele porturi în firewall-ul routerului pentru a menține conexiunea VPN. Ar trebui să deschideți doar porturi (și protocol) pentru adresa IP a computerului pe care va rula clientul VPN. Vă rugăm să rețineți că funcția de redirecționare a portului funcționează doar cu un computer odată... Dacă trebuie să acceptați mai mulți clienți VPN care necesită operarea concomitentă a rețelei, routerul dvs. trebuie să accepte în mod nativ protocolul VPN utilizat.

Dacă utilizați protocolul Microsoft PPTP, apoi trebuie să configurați redirecționarea portului TCP 1723 pentru a trece traficul PPTP. Pe Orez. 2 ecranul afișat Redirecționare un router Linksys BEFSR41 cu redirecționare porturi către un client cu o adresă IP 192.168.5.100 .


Orez. 2. Redirecționare porturi VPN Linksys BEFSR41.

PPTP necesită, de asemenea, suport pentru protocol IP 47(Generic Routing Encapsulation) pentru trafic VPN. Vă rugăm să rețineți că este nevoie de sprijin protocol mai degrabă decât un port. Suportul pentru acest protocol trebuie integrat în motorul NAT, așa cum se face pe majoritatea routerelor moderne.

Deschiderea paravanului de protecție, a continuat

Pentru a sprijini VPN bazat IPsec VPN-urile trebuie să deschidă portul 500 UDP pentru negociere cheie ISAKMP, protocol IP 50 pentru trafic Antet de autentificare(nu este folosit întotdeauna) și protocolul IP 51 pentru a transfera datele în sine. Din nou, singurul port redirecționat aici este UDP 500, pentru care am programat și noi Orez. 2 la aceeași mașină client din rețeaua locală; suportul pentru protocoalele 50 și 51 ar trebui să fie încorporat în routerul dvs.

Nu toate routerele sunt la fel! Unii acceptă deschiderea unui singur tunel VPN și a unui singur client. Alții acceptă mai multe tuneluri, dar un singur client per tunel. Din păcate, majoritatea vânzătorilor nu sunt foarte clare în documentația lor cu privire la modul de a accepta transferul VPN pentru produsele lor, iar asistența tehnică nu este adesea calificată pentru a rezolva această problemă. În cele mai multe cazuri, va trebui să testați routerul în rețea și să-l returnați dacă nu funcționează.

Nu funcționează?

Obținerea unor routere care să accepte VPN-uri IPsec fără tamburine șamanică este aproape imposibilă. Ideea este că producătorilor le place să implementeze propriile mecanisme pentru acest suport. Cu toate acestea, pe măsură ce tehnologia „se maturizează”, suportul pentru IPsec devine din ce în ce mai aproape de ideal, iar compania dumneavoastră poate folosi produse vechi care au fost create fără nicio considerație pentru existența NAT sau care necesită deschiderea de porturi suplimentare în firewall.

Dacă știți engleza, vă recomandăm să consultați ghidurile Tin Bird IPsecși PPTP care conțin configurații gata făcute pentru multe produse. Puteți, de asemenea, să aruncați o privire la secțiunea noastră în limba engleză. Legături și instrumente VPN pentru mai multe informatii.

Pe 1 noiembrie, în Rusia a început o interdicție privind ocolirea blocării folosind un VPN. Și multe companii, inclusiv cele străine, s-au întrebat ce să facă pentru organizațiile care folosesc tehnologia pentru a crea rețele corporative.

Potrivit reprezentanților Dumei de Stat, există o clauză în lege, conform căreia criptarea rețelelor poate fi utilizată în scopuri corporative. Aceasta înseamnă că companiile nu trebuie să cheltuiască sume semnificative și să pună rețele private între birourile lor, deoarece configurarea unei conexiuni VPN este practic (și în unele cazuri este) gratuită. Prin urmare, astăzi am decis să luăm în considerare două metode de organizare a unei conexiuni VPN într-o rețea corporativă și mai multe protocoale utilizate pentru aceasta: PPTP, L2TP / IPsec, SSTP și OpenVPN.

Vine „în mod implicit” pe orice platformă compatibilă cu VPN și este ușor de configurat fără software suplimentar. Un alt avantaj al PPTP este performanța sa ridicată. Din păcate, PPTP nu este suficient de sigur. De când protocolul a fost încorporat în Windows 95 OSR2 la sfârșitul anilor 90, mai multe vulnerabilități au fost expuse.

Cea mai semnificativă este capacitatea de autentificare neîncapsulată MS-CHAP v2. Acest exploit a făcut posibilă spargerea PPTP în două zile. Microsoft a corectat gaura trecând la protocolul de autentificare PEAP, dar apoi ei înșiși au sugerat să folosească protocoalele L2TP / IPsec sau SSTP VPN. Încă un punct - conexiunile PPTP sunt ușor de blocat, deoarece protocolul funcționează cu un număr de port 1723 și utilizează protocolul GRE.

Când se stabilește un tunel VPN, PPTP acceptă două tipuri de mesaje transmise: mesaje de control pentru menținerea și deconectarea conexiunii VPN și pachetele de date în sine.

L2TP și IPsec

Layer 2 Tunneling Protocol, sau L2TP, este, de asemenea, prezent în aproape toate sistemele de operare moderne și funcționează cu toate dispozitivele compatibile cu VPN.

L2TP nu știe cum să cripteze traficul care trece prin el, așa că este adesea folosit împreună cu IPsec. Cu toate acestea, acest lucru duce la apariția unui efect negativ - în L2TP / IPsec are loc dubla încapsulare a datelor, care afectează negativ performanța. De asemenea, L2TP folosește al 500-lea port UDP, care este ușor blocat de un firewall dacă sunteți în spatele NAT.

L2TP / IPsec poate funcționa cu cifruri 3DES sau AES. Primul este vulnerabil la atacuri precum meet-in-the-middle și sweet32, așa că astăzi este rar întâlnit în practică. Când lucrați cu cifrul AES, nu sunt cunoscute vulnerabilități majore, prin urmare, în teorie, acest protocol ar trebui să fie sigur (dacă este implementat corect). Cu toate acestea, John Gilmore, fondatorul Electronic Frontier Foundation, a indicat într-o postare că IPSec ar fi putut fi slăbit în mod special.

Cea mai mare problemă cu L2TP / IPsec este că multe VPN-uri nu o fac suficient de bine. Ei folosesc chei pre-partajate (PSK) care pot fi descărcate de pe site. PSK-urile sunt necesare pentru a stabili o conexiune, așa că, chiar dacă datele sunt compromise, acestea rămân sub protecție AES. Dar un atacator poate folosi PSK pentru a uzurpa identitatea unui server VPN și apoi să asculte cu urechea traficul criptat (chiar și injectând cod rău intenționat).

SSTP

Secure Socket Tunneling Protocol, sau SSTP, este un protocol VPN dezvoltat de Microsoft. Se bazează pe SSL și a fost lansat pentru prima dată în Windows Vista SP1. Astăzi protocolul este disponibil pentru sisteme de operare precum RouterOS, Linux, SEIL și Mac OS X, dar își găsește în continuare utilizarea principală pe platforma Windows. SSTP este un standard proprietar deținut de Microsoft și codul său nu este disponibil public.

SSTP în sine nu are nicio funcționalitate criptografică cu excepția unei singure funcții - vorbim despre o legătură criptografică care protejează împotriva atacurilor MITM. Criptarea datelor este realizată prin SSL. O descriere a procedurii de stabilire a unei conexiuni VPN poate fi găsită pe site-ul Microsoft.

Integrarea strânsă cu Windows simplifică lucrul cu protocolul și crește stabilitatea acestuia pe această platformă. Cu toate acestea, SSTP folosește SSL 3.0, care este vulnerabil la un atac POODLE, care în teorie afectează securitatea protocolului VPN.

Tipuri de conexiune VPN

În postarea de astăzi, vom vorbi despre cele două tipuri de conexiuni VPN cele mai frecvent utilizate. Va fi vorba despre accesul de la distanță la rețeaua corporativă (acces la distanță) și conexiunea „point-to-point” (site-to-site)

Accesul de la distanță permite angajaților companiei să se conecteze în siguranță la rețeaua corporativă prin Internet. Acest lucru este deosebit de important atunci când angajatul nu lucrează la birou și se conectează prin puncte de acces nesecurizate, de exemplu, Wi-Fi într-o cafenea. Pentru a organiza această conexiune, se stabilește un tunel între clientul de pe gadgetul utilizatorului și gateway-ul VPN din rețeaua companiei. Gateway-ul se autentifică și apoi acordă (sau restricționează) accesul la resursele rețelei.

Cele mai frecvent utilizate protocoale pentru a securiza conexiunea sunt IPsec sau SSL. De asemenea, este posibil să utilizați protocoalele PPTP și L2TP.


/ Wikimedia / Philippe Belet / PD

Top articole similare

WordPress Login LockDown Security Plugin - Protecție împotriva pirateriei
WordPress Login LockDown Security Plugin - Protecție împotriva pirateriei
Schimburi de copywriting - cumpărare și vânzare de articole
Schimburi de copywriting - cumpărare și vânzare de articole
Creați un formular de listă personalizat folosind SharePoint Designer
Creați un formular de listă personalizat folosind SharePoint Designer
Categorii:
© 2022 bumotors.ru. Cum se configurează smartphone-uri și PC-uri. Portal informativ.