Τύποι συνδέσεων VPN (PPTP, L2TP, IPSec, SSL). PPTP VPN - τι είναι

PPTP(Point-to-Point Tunneling Protocol) είναι ένα πρωτόκολλο σήραγγας από σημείο σε σημείο που επιτρέπει σε έναν υπολογιστή να δημιουργήσει μια ασφαλή σύνδεση με έναν διακομιστή δημιουργώντας μια ειδική σήραγγα σε ένα τυπικό, μη ασφαλές δίκτυο.

Περιγραφή

Το πρωτόκολλο PPTP υποστηρίζει κρυπτογράφηση και ενθυλάκωση της κυκλοφορίας πολλαπλών πρωτοκόλλων χρησιμοποιώντας μια κεφαλίδα IP που θα σταλεί μέσω ενός δικτύου IP ή ενός δημόσιου δικτύου IP, όπως το Διαδίκτυο. Το PPTP μπορεί να χρησιμοποιηθεί για συνδέσεις μέσω τηλεφώνου και συνδέσεις VPN από τοποθεσία σε τοποθεσία. Όταν χρησιμοποιείτε το Διαδίκτυο ως δημόσιο δίκτυο για συνδέσεις VPN, ένας διακομιστής PPTP είναι ένας διακομιστής VPN με δυνατότητα PPTP με τη μία διεπαφή στο Διαδίκτυο και την άλλη στο intranet.

Το πρωτόκολλο PPTP ενσωματώνει πλαίσια PPP σε datagrams IP για μετάδοση μέσω του δικτύου. Το PPTP χρησιμοποιεί μια σύνδεση TCP για τον έλεγχο της σήραγγας και μια τροποποιημένη έκδοση του πρωτοκόλλου GRE για την ενθυλάκωση πλαισίων PPP για δεδομένα σήραγγας. Το ωφέλιμο φορτίο των ενθυλακωμένων πλαισίων PPP μπορεί να είναι κρυπτογραφημένο, συμπιεσμένο ή και τα δύο.

Ένα πλαίσιο PPP (IP, IPX ή Appletalk datagram) είναι τυλιγμένο με μια κεφαλίδα GRE (Generic Routing Encapsulation) και μια κεφαλίδα IP. Στην κεφαλίδα, οι διευθύνσεις IP προέλευσης και προορισμού αντιστοιχούν στον πελάτη VPN και στον διακομιστή VPN.

Η κεφαλίδα GRE αποτελείται από 2 μέρη των 2 byte: 1-2 bytes - σημαίες:

1. ChecksumPresent – ​​bit 0, αν ισούται με 1, τότε η κεφαλίδα GRE περιέχει ένα προαιρετικό πεδίο αθροίσματος ελέγχου – Checksumfield.
2. Key Present – ​​bit 2, αν ισούται με 1, τότε η κεφαλίδα GRE περιέχει ένα προαιρετικό πεδίο που περιέχει το πεδίο κλειδί – Key.
3. Sequence Number Present – ​​bit 3, αν ισούται με 1, τότε η κεφαλίδα GRE περιέχει ένα προαιρετικό πεδίο αριθμού ακολουθίας – SequenceNumberfield.
4. Αριθμός έκδοσης – bit 13–15. Αυτό το πεδίο υποδεικνύει την έκδοση υλοποίησης GRE. Μια τιμή 0 χρησιμοποιείται συνήθως για το GRE. Το πρωτόκολλο Point-to-Point (PP2P) χρησιμοποιεί την έκδοση 1.

3-4 byte, με τη σειρά τους, περιέχουν τον τύπο πρωτοκόλλου (αιθερότυπο) του ενθυλακωμένου πακέτου.

Το PPTP είναι το πιο συχνά χρησιμοποιούμενο πρωτόκολλο για VPN εδώ και πολλά χρόνια. Βασίζεται σε διάφορες μεθόδους ελέγχου ταυτότητας για την παροχή ασφάλειας (συνήθως MS-CHAP v.2). Είναι ένα τυπικό πρωτόκολλο σε όλα σχεδόν τα λειτουργικά συστήματα και συσκευές που υποστηρίζουν VPN. Το κύριο πλεονέκτημά του είναι ότι χρησιμοποιεί λιγότερους υπολογιστικούς πόρους και ως εκ τούτου έχει υψηλή ταχύτητα λειτουργίας.

Συνήθως χρησιμοποιείται με κρυπτογράφηση 128-bit, μια σειρά από τρωτά σημεία εντοπίστηκαν τα επόμενα χρόνια μετά την προσθήκη του πρωτοκόλλου στο Windows 95 OSR2 το 1999. Το πιο σοβαρό από τα οποία ήταν η ευπάθεια του πρωτοκόλλου ελέγχου ταυτότητας MS-CHAP v.2. Χρησιμοποιώντας αυτήν την ευπάθεια, το PPTP παραβιάστηκε μέσα σε 2 ημέρες. Η ίδια η Microsoft συνέστησε τη χρήση πρωτοκόλλων L2TP ή SSTP ως πρωτόκολλα VPN.

Εκτέλεση

Η Cisco ήταν η πρώτη που εφάρμοσε το PPTP και αργότερα έδωσε άδεια χρήσης της τεχνολογίας στη Microsoft.

Το PPTP πέτυχε δημοτικότητα λόγω του γεγονότος ότι είναι το πρώτο πρωτόκολλο VPN που υποστηρίζεται από τη Microsoft. Όλες οι εκδόσεις των Microsoft Windows από τα Windows 95 OSR2 περιλαμβάνουν έναν πελάτη PPTP, αλλά υπάρχει όριο δύο ταυτόχρονων εξερχόμενων συνδέσεων. Και η υπηρεσία απομακρυσμένης πρόσβασης για τα Microsoft Windows περιλαμβάνει έναν διακομιστή PPTP.

Μέχρι πρόσφατα, οι διανομές Linux δεν είχαν πλήρη υποστήριξη για το PPTP λόγω ανησυχιών σχετικά με αξιώσεις ευρεσιτεχνίας σχετικά με το πρωτόκολλο MPPE. Η πλήρης υποστήριξη MPPE εμφανίστηκε για πρώτη φορά στο Linux 2.6.13. Επίσημα, η υποστήριξη PPTP ξεκίνησε με την έκδοση 2.6.14 του πυρήνα Linux.

Το λειτουργικό σύστημα FreeBSD υποστηρίζει το πρωτόκολλο PPTP χρησιμοποιώντας τη θύρα mpd (/usr/ports/net/mpd) ως διακομιστή PPTP χρησιμοποιώντας το υποσύστημα netgraph. Ο πελάτης PPTP σε ένα σύστημα FreeBSD μπορεί να είναι είτε η θύρα pptpclient (/usr/ports/net/pptpclient) είτε η θύρα mpd που εκτελείται σε λειτουργία πελάτη.

Το Mac OS X συνοδεύεται από ενσωματωμένο πρόγραμμα-πελάτη PPTP. Η Cisco και η Efficient Networks πωλούν υλοποιήσεις πελατών PPTP για παλαιότερες εκδόσεις του Mac OS. Τα Palm PDA που υποστηρίζουν Wi-Fi συνοδεύονται από τον πελάτη Mergic PPTP.

Ρύθμιση (ξεχωριστά βήματα)

Ρύθμιση διακομιστή VPN

Οι διακομιστές VPN μπορούν να διαμορφωθούν χρησιμοποιώντας τον Οδηγό διαμόρφωσης διακομιστή δρομολόγησης και απομακρυσμένης πρόσβασης. Αυτός ο οδηγός σάς επιτρέπει να διαμορφώσετε τις ακόλουθες ρυθμίσεις:

1. βασικό τείχος προστασίας στην κοινή διεπαφή.
2. τη μέθοδο διευθυνσιοδότησης πελατών απομακρυσμένης πρόσβασης από τον διακομιστή VPN (είτε χρησιμοποιώντας διευθύνσεις που λαμβάνονται από τον διακομιστή VPN από διακομιστή DHCP, είτε χρησιμοποιώντας διευθύνσεις από ένα καθορισμένο εύρος διευθύνσεων που έχει διαμορφωθεί με μη αυτόματο τρόπο στον διακομιστή VPN).
3. προώθηση μηνυμάτων εξουσιοδότησης και ελέγχου ταυτότητας στον διακομιστή RADIUS (Remote Authentication Dial-In User Service), δηλαδή ρύθμιση του διακομιστή VPN ως πελάτη RADIUS.

Μετά την ολοκλήρωση αυτού του οδηγού, οι ακόλουθες ρυθμίσεις δρομολόγησης και απομακρυσμένης πρόσβασης διαμορφώνονται αυτόματα:

1. διεπαφές δικτύου·
2. Θύρες PPTP και L2TP (πέντε ή 128 για κάθε πρωτόκολλο, ανάλογα με τις παραμέτρους που επιλέγονται στον οδηγό).
3. Υποστήριξη πολλαπλής εκπομπής με βάση το IGMP (Internet Group Management Protocol).
4. Δρομολόγηση IP;
5. εγκατάσταση ενός πράκτορα ρελέ DHCP.

Ρύθμιση μιας πολιτικής απομακρυσμένης πρόσβασης

Για να χρησιμοποιήσετε μια πολιτική απομακρυσμένης πρόσβασης για τον έλεγχο ταυτότητας και κρυπτογράφησης για εικονικές ιδιωτικές συνδέσεις, δημιουργήστε μια πολιτική απομακρυσμένης πρόσβασης και διαμορφώστε τις ιδιότητές της ως εξής:

1. Στο πεδίο Όνομα πολιτικής, εισαγάγετε ένα όνομα για την πολιτική, όπως πρόσβαση VPN.
2. Για το χαρακτηριστικό NAS-Port-Type, επιλέξτε τον τύπο Virtual (VPN) και για το χαρακτηριστικό Tunnel-Type, επιλέξτε τον τύπο Πρωτοκόλλου Tunneling Point-to-Point.
3. Στις ρυθμίσεις του προφίλ σας, επιλέξτε τις επιλογές ελέγχου ταυτότητας και κρυπτογράφησης που θέλετε.

Στη συνέχεια είτε καταργήστε τις προεπιλεγμένες πολιτικές απομακρυσμένης πρόσβασης είτε τοποθετήστε τις μετά τη νέα πολιτική. Αυτή η πολιτική απομακρυσμένης πρόσβασης επιτρέπει σε όλους τους χρήστες με άδεια απομακρυσμένης πρόσβασης να δημιουργούν εικονικές ιδιωτικές συνδέσεις.

Για να κάνετε διαφοροποίηση μεταξύ χρηστών σύνδεσης δικτύου μέσω τηλεφώνου και χρηστών VPN μέσω τηλεφώνου, ακολουθήστε τα εξής βήματα: Δημιουργήστε μια ομάδα Active Directory της οποίας τα μέλη μπορούν να δημιουργήσουν εικονικές ιδιωτικές συνδέσεις στον διακομιστή VPN, για παράδειγμα, την ομάδα VPN_Users. Προσθέστε τους κατάλληλους λογαριασμούς χρηστών σε αυτήν τη νέα ομάδα Active Directory.

Δημιουργήστε μια νέα πολιτική απομακρυσμένης πρόσβασης και διαμορφώστε τις ιδιότητές της ως εξής.

1. Στο πεδίο Όνομα πολιτικής, εισαγάγετε ένα όνομα για τη νέα πολιτική, όπως Να επιτρέπεται η πρόσβαση VPN σε μέλη της ομάδας VPN_Users.
2. Για το χαρακτηριστικό Windows-Groups, επιλέξτε μια ομάδα όπως VPN_Users, για το NAS-Port-Type, επιλέξτε τον τύπο Virtual (VPN) και για το Tunnel-Type, επιλέξτε τον τύπο Πρωτοκόλλου Tunneling Point-to-Point.
3. Ρυθμίστε το κουμπί επιλογής σε Εκχώρηση δικαιωμάτων απομακρυσμένης πρόσβασης.
4. Τοποθετήστε τις προεπιλεγμένες πολιτικές απομακρυσμένης πρόσβασης μετά τη νέα πολιτική.

Οι προεπιλεγμένες επιλογές κρυπτογράφησης σάς επιτρέπουν να χρησιμοποιείτε όλα τα επίπεδα κρυπτογράφησης, συμπεριλαμβανομένης της μη κρυπτογράφησης. Για να απαιτήσετε τη χρήση κρυπτογράφησης, καταργήστε την επιλογή του πλαισίου ελέγχου Χωρίς κρυπτογράφηση και επιλέξτε τα επιθυμητά επίπεδα στην καρτέλα Κρυπτογράφηση στο παράθυρο Ρυθμίσεις προφίλ πολιτικής απομακρυσμένης πρόσβασης.

PPTP(Αγγλικά: Point-to-point tunneling protocol) - ένα πρωτόκολλο σήραγγας από σημείο σε σημείο που επιτρέπει σε έναν υπολογιστή να δημιουργήσει μια ασφαλή σύνδεση με έναν διακομιστή δημιουργώντας μια ειδική σήραγγα σε ένα τυπικό, απροστάτευτο δίκτυο. Το PPTP αναδιπλώνει (ενθυλακώνει) πλαίσια PPP σε πακέτα IP για μετάδοση μέσω ενός παγκόσμιου δικτύου IP, όπως το Διαδίκτυο. Το PPTP μπορεί επίσης να χρησιμοποιηθεί για τη δημιουργία μιας σήραγγας μεταξύ δύο τοπικών δικτύων. Το PPTP χρησιμοποιεί μια πρόσθετη σύνδεση TCP για τη συντήρηση της σήραγγας.

Προσδιορισμός

Η προδιαγραφή πρωτοκόλλου δημοσιεύτηκε ως "πληροφοριακό" RFC 2637 το 1999. Δεν έχει επικυρωθεί από την IETF. Το πρωτόκολλο θεωρείται λιγότερο ασφαλές από άλλα πρωτόκολλα VPN, όπως το IPSec. Το PPTP λειτουργεί καθιερώνοντας μια τακτική συνεδρία PPP με το άλλο μέρος χρησιμοποιώντας το πρωτόκολλο Generic Routing Encapsulation. Η δεύτερη σύνδεση στη θύρα TCP 1723 χρησιμοποιείται για την εκκίνηση και τον έλεγχο της σύνδεσης GRE. Το PPTP είναι δύσκολο να ανακατευθυνθεί πίσω από ένα τείχος προστασίας επειδή απαιτεί δύο συνεδρίες δικτύου για να δημιουργηθούν ταυτόχρονα.

Η κίνηση PPTP μπορεί να κρυπτογραφηθεί χρησιμοποιώντας MPPE. Μπορούν να χρησιμοποιηθούν διάφοροι μηχανισμοί για τον έλεγχο ταυτότητας πελατών, οι πιο ασφαλείς από τους οποίους είναι ο MSCHAP-v2 και ο EAP-TLS.

Εφαρμογή PPTP

Η Cisco ήταν η πρώτη που εφάρμοσε το PPTP και αργότερα έδωσε άδεια χρήσης της τεχνολογίας στη Microsoft.

Το PPTP πέτυχε δημοτικότητα λόγω του γεγονότος ότι είναι το πρώτο πρωτόκολλο VPN που υποστηρίζεται από τη Microsoft. Όλες οι εκδόσεις των Microsoft Windows από τα Windows 95 OSR2 περιλαμβάνουν έναν πελάτη PPTP, αλλά υπάρχει όριο δύο ταυτόχρονων εξερχόμενων συνδέσεων. Και η υπηρεσία απομακρυσμένης πρόσβασης για τα Microsoft Windows περιλαμβάνει έναν διακομιστή PPTP.

Μέχρι πρόσφατα, οι διανομές Linux δεν είχαν πλήρη υποστήριξη για το PPTP λόγω ανησυχιών σχετικά με αξιώσεις ευρεσιτεχνίας σχετικά με το πρωτόκολλο MPPE. Η πλήρης υποστήριξη MPPE εμφανίστηκε για πρώτη φορά στο Linux 2.6.13. Επίσημα, η υποστήριξη PPTP ξεκίνησε με την έκδοση 2.6.14 του πυρήνα Linux.

Το λειτουργικό σύστημα FreeBSD υποστηρίζει το πρωτόκολλο PPTP χρησιμοποιώντας τη θύρα mpd (/usr/ports/net/mpd) ως διακομιστή PPTP χρησιμοποιώντας το υποσύστημα netgraph. Ο πελάτης PPTP σε ένα σύστημα FreeBSD μπορεί να είναι είτε η θύρα pptpclient (/usr/ports/net/pptpclient) είτε η θύρα mpd που εκτελείται σε λειτουργία πελάτη.

Το Mac OS X συνοδεύεται από ενσωματωμένο πρόγραμμα-πελάτη PPTP. Η Cisco και η Efficient Networks πωλούν υλοποιήσεις πελατών PPTP για παλαιότερες εκδόσεις του Mac OS. Τα Palm PDA που υποστηρίζουν Wi-Fi συνοδεύονται από τον πελάτη Mergic PPTP.

Τα Microsoft Windows Mobile 2003 και νεότερα υποστηρίζουν επίσης PPTP.

Λάβετε υπόψη ότι η υπηρεσία PPTP VPN χρησιμοποιεί τη θύρα TCP 1721/TCP και το πρωτόκολλο IP GRE (αριθμός 47) για τη λειτουργία της. Τέτοια πακέτα πρέπει να περάσουν από το Firewall/NAT σας (και, κατά συνέπεια, το Firewall/NAT του παρόχου σας), και εάν υπάρχει NAT στο δρόμο προς τον διακομιστή μας, τότε πρέπει να επεξεργαστεί σωστά τη σύνδεση VPN στο σύνολό της (κατά κανόνα , αυτό γίνεται χρησιμοποιώντας τη βοηθητική μονάδα PPTP NAT).

Οι διακομιστές μας υποστηρίζουν PPTP VPN με κρυπτογράφηση MPPE (Microsoft Point-to-Point Encryption) και συμπίεση MPPC.

Τι είναι ένα εικονικό ιδιωτικό δίκτυο (VPN); Τι είναι τα PPTP, L2TP, IPSec, SSL;

Τι είναι ένα εικονικό ιδιωτικό δίκτυο (VPN);

Προηγουμένως, για την ασφαλή μεταφορά δεδομένων, υπήρχε ανάγκη για μια αποκλειστική γραμμή που συνδέει δύο σημεία. Το κόστος οργάνωσης τέτοιων γραμμών είναι αρκετά υψηλό.
Ένα εικονικό ιδιωτικό δίκτυο παρέχει στους χρήστες έναν ασφαλή τρόπο πρόσβασης σε πόρους εταιρικού δικτύου μέσω του Διαδικτύου ή άλλων δημόσιων ή ιδιωτικών δικτύων χωρίς την ανάγκη αποκλειστικής γραμμής.

Ένα ασφαλές ιδιωτικό εικονικό δίκτυο είναι μια συλλογή τεχνολογιών/υπηρεσιών διοχέτευσης σήραγγας, ελέγχου ταυτότητας, ελέγχου πρόσβασης και ελέγχου που χρησιμοποιούνται για την προστασία των δεδομένων και της κυκλοφορίας μέσω του Διαδικτύου.

Υπάρχουν πολλοί λόγοι για να χρησιμοποιήσετε VPN. Τα πιο χαρακτηριστικά από αυτά είναι:

Ασφάλεια(προστασία δεδομένων).
Με τον έλεγχο ταυτότητας, ένας παραλήπτης ενός μηνύματος που είναι χρήστης VPN μπορεί να εντοπίσει την πηγή των ληφθέντων πακέτων και να διασφαλίσει την ακεραιότητα των δεδομένων.
Με τα εργαλεία προστασίας δεδομένων σε εικονικά ιδιωτικά δίκτυα, είναι εγγυημένη η εμπιστευτικότητα των αρχικών δεδομένων χρήστη.

Τιμή(μείωση του αριθμού των γραμμών πρόσβασης και μείωση του κόστους για τηλεπικοινωνίες μεγάλων αποστάσεων).
Η δημιουργία ενός εικονικού ιδιωτικού δικτύου επιτρέπει σε μια εταιρεία να μεταδίδει δεδομένα μέσω γραμμών πρόσβασης στο Διαδίκτυο, μειώνοντας έτσι την ανάγκη για ορισμένες από τις υπάρχουσες γραμμές.
Κατά τη δημιουργία ενός εικονικού ιδιωτικού δικτύου, το κόστος τηλεφωνίας μεγάλων αποστάσεων μειώνεται επειδή ο χρήστης συνήθως λαμβάνει υπηρεσίες από έναν τοπικό πάροχο Διαδικτύου αντί να πραγματοποιεί μια υπεραστική κλήση για να δημιουργήσει άμεση επικοινωνία με την εταιρεία.

Είναι γνωστό ότι τα δίκτυα που χρησιμοποιούν το πρωτόκολλο IP έχουν ένα «αδύναμο σημείο» λόγω της ίδιας της δομής του πρωτοκόλλου IP. Οι σχεδιαστές της IP δεν σκόπευαν να παράσχουν χαρακτηριστικά ασφαλείας σε επίπεδο IP και η ευελιξία της IP επιτρέπει την έξυπνη εκμετάλλευση των χαρακτηριστικών του πρωτοκόλλου για την υπέρβαση του ελέγχου κυκλοφορίας, του ελέγχου πρόσβασης και άλλων μέτρων ασφαλείας. Επομένως, τα δεδομένα σε ένα δίκτυο IP μπορούν εύκολα να παραβιαστούν ή να υποκλαπούν.
Όταν γίνεται σήραγγα για τη μεταφορά πακέτων πρωτοκόλλου από έναν τύπο δικτύου μέσω ενός δικτύου, αυτά εισάγονται ή ενθυλακώνονται σε πακέτα πρωτοκόλλου από άλλο δίκτυο. Αυτό εξασφαλίζει ασφάλεια κατά τη μετάδοση δεδομένων.

Πρωτόκολλα για την κατασκευή μιας σήραγγας VPN:

PPTP(Point-to-Point Tunneling Protocol) είναι ένα πρωτόκολλο σήραγγας από σημείο σε σημείο που επιτρέπει σε έναν υπολογιστή να δημιουργήσει μια ασφαλή σύνδεση με έναν διακομιστή δημιουργώντας μια ειδική σήραγγα σε ένα τυπικό, μη ασφαλές δίκτυο. Το πρωτόκολλο PPTP επιτρέπει στα πακέτα PPP να ενθυλακώνονται (συσκευάζονται ή να αποκρύπτονται από τη χρήση) μέσα σε πακέτα Πρωτοκόλλου Διαδικτύου (IP) και να μεταδίδονται μέσω δικτύων IP (συμπεριλαμβανομένου του Διαδικτύου).

Το PPTP παρέχει ασφαλή μεταφορά δεδομένων από έναν απομακρυσμένο πελάτη σε έναν ξεχωριστό εταιρικό διακομιστή δημιουργώντας ένα ιδιωτικό εικονικό δίκτυο μέσω ενός δικτύου TCP/IP. Το PPTP μπορεί επίσης να χρησιμοποιηθεί για τη δημιουργία μιας σήραγγας μεταξύ δύο τοπικών δικτύων. Το PPTP λειτουργεί καθιερώνοντας μια τακτική συνεδρία PPP με το άλλο μέρος χρησιμοποιώντας το πρωτόκολλο Generic Routing Encapsulation (GRE). Η δεύτερη σύνδεση στη θύρα TCP 1723 χρησιμοποιείται για την εκκίνηση και τη διαχείριση της σύνδεσης GRE. Το πρωτόκολλο MPPE μπορεί να χρησιμοποιηθεί για την προστασία των δεδομένων κίνησης PPTP. Μπορούν να χρησιμοποιηθούν διάφοροι μηχανισμοί για τον έλεγχο ταυτότητας των πελατών, οι πιο ασφαλείς από τους οποίους είναι ο MSCHAPv2 και ο EAP-TLS.

Για να διασφαλίσετε ότι ο πελάτης λειτουργεί χρησιμοποιώντας το πρωτόκολλο PPTP, είναι απαραίτητο να δημιουργήσετε μια σύνδεση IP με τον διακομιστή σήραγγας PPTP. Όλα τα δεδομένα που μεταδίδονται μέσω αυτής της σύνδεσης μπορούν να προστατευθούν και να συμπιεστούν. Η σήραγγα PPTP μπορεί να μεταφέρει δεδομένα από διάφορα πρωτόκολλα επιπέδου δικτύου (TCP/IP, NetBEUI και IPX).

Πλεονεκτήματα του πρωτοκόλλου PPTP:

• Χρήση ιδιωτικής διεύθυνσης IP. Ο χώρος διευθύνσεων IP του ιδιωτικού δικτύου δεν πρέπει να συντονίζεται με τον καθολικό (εξωτερικό) χώρο διευθύνσεων.
• Υποστηρίζει πολλαπλά πρωτόκολλα. Μπορείτε να αποκτήσετε πρόσβαση σε ιδιωτικά δίκτυα χρησιμοποιώντας διάφορους συνδυασμούς TCP/IP ή IPX.
• Ασφάλεια μετάδοσης δεδομένων. Τα πρωτόκολλα και οι πολιτικές ασφαλείας διακομιστή απομακρυσμένης πρόσβασης χρησιμοποιούνται για την αποτροπή μη εξουσιοδοτημένων συνδέσεων.
• Η δυνατότητα χρήσης ελέγχου ταυτότητας και προστασίας δεδομένων κατά τη μετάδοση πακέτων μέσω Διαδικτύου.

L2TP(Layer 2 Tunneling Protocol) - Layer 2 Tunneling Protocol (στρώμα σύνδεσης). Συνδυάζει το πρωτόκολλο L2F (Layer 2 Forwarding) που αναπτύχθηκε από τη Cisco και το πρωτόκολλο PPTP της Microsoft. Σας επιτρέπει να οργανώσετε ένα VPN με καθορισμένες προτεραιότητες πρόσβασης, αλλά δεν περιέχει εργαλεία για μηχανισμούς προστασίας δεδομένων και ελέγχου ταυτότητας.

Το πρωτόκολλο L2TP χρησιμοποιεί δύο τύπους μηνυμάτων: μηνύματα ελέγχου και πληροφορίες. Τα μηνύματα ελέγχου χρησιμοποιούνται για τη δημιουργία, τη συντήρηση και τον τερματισμό σηράγγων και κλήσεων. Για να εξασφαλίσουν την παράδοση, χρησιμοποιούν ένα αξιόπιστο κανάλι ελέγχου του πρωτοκόλλου L2TP. Τα πληροφοριακά μηνύματα χρησιμοποιούνται για την ενθυλάκωση πλαισίων PPP που αποστέλλονται πάνω από τη σήραγγα. Εάν χαθεί ένα πακέτο, δεν αναμεταδίδεται.

Η δομή του πρωτοκόλλου περιγράφει τη μετάδοση πλαισίων PPP και μηνυμάτων ελέγχου μέσω του καναλιού ελέγχου και του καναλιού δεδομένων του πρωτοκόλλου L2TP. Τα πλαίσια PPP αποστέλλονται μέσω μιας αναξιόπιστης σύνδεσης δεδομένων, πρώτα γεμισμένα με μια κεφαλίδα L2TP και στη συνέχεια μέσω μιας μεταφοράς πακέτων όπως το Frame Relay, το ATM κ.λπ. Τα μηνύματα ελέγχου μεταδίδονται μέσω ενός αξιόπιστου καναλιού ελέγχου L2TP, ακολουθούμενα από μετάδοση μέσω της ίδιας μεταφοράς σε πακέτα προώθησης.

Όλα τα μηνύματα ελέγχου πρέπει να περιέχουν αριθμούς σειράς που χρησιμοποιούνται για να διασφαλιστεί η αξιόπιστη παράδοση μέσω του καναλιού ελέγχου. Τα πληροφοριακά μηνύματα μπορούν να χρησιμοποιούν αριθμούς ακολουθίας για να παραγγείλουν πακέτα και να αναγνωρίσουν χαμένα πακέτα.

Πλεονεκτήματα του πρωτοκόλλου L2TP:

Ποικιλία πρωτοκόλλων. Επειδή χρησιμοποιείται το πλαίσιο PPP, οι απομακρυσμένοι χρήστες μπορούν να χρησιμοποιήσουν μια ποικιλία διαφορετικών πρωτοκόλλων, όπως IP, IPX κ.λπ., για να αποκτήσουν πρόσβαση στον εταιρικό ιστότοπο.

Δημιουργία σηράγγων σε διάφορα δίκτυα. Το L2TP μπορεί να λειτουργήσει τόσο σε δίκτυα IP όσο και σε δίκτυα ATM, Frame Relay κ.λπ.

Ασφάλεια μετάδοσης δεδομένων. Σε αυτήν την περίπτωση, ο χρήστης δεν χρειάζεται να έχει κάποιο ειδικό λογισμικό.

Δυνατότητα ελέγχου ταυτότητας χρήστη.

IPSec(IP Security) - ένα σύνολο πρωτοκόλλων που σχετίζονται με τη διασφάλιση της προστασίας δεδομένων κατά τη μεταφορά πακέτων IP. Το IPSec περιλαμβάνει επίσης πρωτόκολλα για ασφαλή ανταλλαγή κλειδιών μέσω Διαδικτύου. Τα πρωτόκολλα IPSec λειτουργούν στο επίπεδο δικτύου (επίπεδο 3 του μοντέλου OSI).

Το Πρωτόκολλο Διαδικτύου (IP) δεν διαθέτει κανένα μέσο προστασίας των μεταδιδόμενων δεδομένων. Δεν μπορεί καν να εγγυηθεί ότι ο αποστολέας είναι αυτός που λέει ότι είναι. Το IPSec είναι μια προσπάθεια να διορθωθεί η κατάσταση. Με το IPSec, όλη η μεταδιδόμενη κίνηση μπορεί να ασφαλιστεί πριν ταξιδέψει μέσω του δικτύου. Όταν χρησιμοποιείτε το IPSec, ο παραλήπτης ενός μηνύματος μπορεί να εντοπίσει την πηγή των ληφθέντων πακέτων και να επαληθεύσει την ακεραιότητα των δεδομένων. Πρέπει να είστε βέβαιοι ότι μια συναλλαγή μπορεί να πραγματοποιηθεί μόνο μία φορά (εκτός εάν ο χρήστης έχει εξουσιοδότηση να την επαναλάβει). Αυτό σημαίνει ότι δεν θα πρέπει να είναι δυνατό μια συναλλαγή να καταγράφεται και στη συνέχεια να επαναλαμβάνεται στο αρχείο, έτσι ώστε να δίνεται στον χρήστη η εντύπωση ότι έχουν πραγματοποιηθεί πολλές συναλλαγές. Φανταστείτε ότι ένας απατεώνας έχει λάβει πληροφορίες σχετικά με την κίνηση και γνωρίζει ότι η μετάδοση μιας τέτοιας κίνησης μπορεί να του προσφέρει κάποια οφέλη (για παράδειγμα, ως αποτέλεσμα θα μεταφερθούν χρήματα στον λογαριασμό του). Είναι απαραίτητο να διασφαλιστεί ότι αυτή η κίνηση δεν μπορεί να αναμεταδοθεί.

Χρησιμοποιώντας ένα εικονικό ιδιωτικό δίκτυο (VPN), μπορείτε να λύσετε τα ακόλουθα προβλήματα εφαρμογής:

• Εικονικό ιδιωτικό δίκτυο μεταξύ οργανισμών
• Χρήστης κινητού
• Χρήστης SOHO

Το IPSec VPN είναι το βέλτιστο για τη σύνδεση δικτύων διαφορετικών γραφείων μέσω Διαδικτύου.

Μπορείτε να δημιουργήσετε μια σύνδεση VPN χρησιμοποιώντας το πρωτόκολλο IPSec.

Για χρήστες SMB/SOHO (Small Business/Small Office/Home Office):

• Οικονομική αποτελεσματικότητα
• Ολοκληρωμένη λύση για εμπορική χρήση

Για απομακρυσμένους χρήστες:

• Ολοκληρωμένη Ασφαλής Λύση
• Εύκολο στη διαμόρφωση

Για συλλογικούς χρήστες:

• Οικονομική λύση για απομακρυσμένους χρήστες και υποκαταστήματα
• Συμβατό με τους περισσότερους παρόχους λύσεων VPN.

Υπάρχουν δύο τύποι πρωτοκόλλου IPSec: ESP(Ενθυλάκωση ασφαλείας ωφέλιμο φορτίο, ενθυλάκωση προστατευμένων δεδομένων) και A.H.(Κεφαλίδα ελέγχου ταυτότητας, κεφαλίδα ελέγχου ταυτότητας). Το ESP και το AH είναι νέα πρωτόκολλα IP. Το πεδίο πρωτοκόλλου κεφαλίδας IP υποδεικνύει ότι το πακέτο είναι ένα πακέτο ESP εάν είναι 50 και για ένα πακέτο AH είναι 51.

Στα πακέτα ESP και AH, μια κεφαλίδα ESP/AH εισάγεται μεταξύ της κεφαλίδας IP και των δεδομένων πρωτοκόλλου ανώτερου επιπέδου.
Το ESP μπορεί να παρέχει τόσο ασφάλεια δεδομένων όσο και έλεγχο ταυτότητας, ενώ είναι επίσης δυνατή μια παραλλαγή του πρωτοκόλλου ESP χωρίς ασφάλεια δεδομένων ή χωρίς έλεγχο ταυτότητας. Ωστόσο, δεν είναι δυνατή η χρήση του πρωτοκόλλου ESP τόσο χωρίς προστασία δεδομένων όσο και χωρίς έλεγχο ταυτότητας, αφού σε αυτή την περίπτωση δεν διασφαλίζεται η ασφάλεια. Κατά την προστασία των μεταδιδόμενων δεδομένων, η κεφαλίδα ESP δεν προστατεύεται, αλλά προστατεύονται τα δεδομένα πρωτοκόλλου ανώτερου επιπέδου και μέρος του τρέιλερ ESP.
Και σε περίπτωση ελέγχου ταυτότητας, η κεφαλίδα ESP, τα δεδομένα πρωτοκόλλου ανώτερης στρώσης και το τμήμα τρέιλερ ESP ελέγχονται.
Αν και το πρωτόκολλο AH μπορεί να παρέχει μόνο έλεγχο ταυτότητας, το κάνει όχι μόνο για την κεφαλίδα AH και τα δεδομένα πρωτοκόλλου ανώτερου επιπέδου, αλλά και για την κεφαλίδα IP.

Η οικογένεια πρωτοκόλλων IPSec μπορεί να χρησιμοποιηθεί για την προστασία είτε ολόκληρου του ωφέλιμου φορτίου ενός πακέτου IP είτε των δεδομένων πρωτοκόλλου ανώτερου επιπέδου στο πεδίο ωφέλιμου φορτίου του πακέτου IP. Αυτή η διαφορά καθορίζεται από την επιλογή δύο διαφορετικών τρόπων πρωτοκόλλου IPSec: τρόπο μεταφοράςή λειτουργία σήραγγας.
Η λειτουργία μεταφοράς χρησιμοποιείται κυρίως από έναν κεντρικό υπολογιστή IP για την προστασία των δεδομένων που δημιουργεί ο ίδιος και η λειτουργία σήραγγας χρησιμοποιείται από μια πύλη ασφαλείας για την παροχή υπηρεσίας IPSec σε άλλα μηχανήματα που δεν διαθέτουν δυνατότητες IPSec. Ωστόσο, οι λειτουργίες του κεντρικού υπολογιστή IPSec και της πύλης ασφαλείας μπορούν να εκτελεστούν από το ίδιο μηχάνημα. Και τα δύο πρωτόκολλα IPSec, AH και ESP, μπορούν να εκτελεστούν σε λειτουργία μεταφοράς ή σήραγγας.

SSL VPN

SSLΤο (Secure Socket Layer) είναι ένα πρωτόκολλο ασφαλών υποδοχών που εξασφαλίζει ασφαλή μεταφορά δεδομένων μέσω Διαδικτύου. Όταν χρησιμοποιείται, δημιουργείται μια ασφαλής σύνδεση μεταξύ του πελάτη και του διακομιστή.

Το SSL χρησιμοποιεί ασφάλεια δημόσιου κλειδιού για την επαλήθευση της ταυτότητας του αποστολέα και του παραλήπτη. Διατηρεί την αξιοπιστία της μετάδοσης δεδομένων μέσω της χρήσης κωδικών διόρθωσης και ασφαλών λειτουργιών κατακερματισμού.

Το SSL χρησιμοποιεί RC4, MD5, RSA και άλλους αλγόριθμους ασφάλειας δεδομένων.
Το SSL χρησιμοποιεί δύο κλειδιά για την προστασία των δεδομένων - ένα δημόσιο κλειδί και ένα ιδιωτικό ή ιδιωτικό κλειδί που είναι γνωστό μόνο στον παραλήπτη του μηνύματος.

Σήμερα, στο Διαδίκτυο μπορείτε να βρείτε πολλούς ιστότοπους που χρησιμοποιούν το πρωτόκολλο SSL για τη διασφάλιση της ασφάλειας των δεδομένων των χρηστών (για παράδειγμα, ιστότοπους που παρέχουν εμπορικές και τραπεζικές υπηρεσίες). Σχεδόν όλα τα πιο δημοφιλή προγράμματα περιήγησης, προγράμματα-πελάτες email και εφαρμογές Διαδικτύου υποστηρίζουν την εργασία με το πρωτόκολλο SSL. Για πρόσβαση σε σελίδες που προστατεύονται με SSL, η διεύθυνση URL χρησιμοποιεί συνήθως το πρόθεμα https (θύρα 443) αντί για το συνηθισμένο πρόθεμα http για να υποδείξει ότι θα χρησιμοποιηθεί σύνδεση SSL.
Το SSL μπορεί επίσης να παρέχει ασφάλεια για πρωτόκολλα επιπέδου εφαρμογής (OSI Layer 7), όπως το POP3 ή το FTP. Το SSL απαιτεί ο διακομιστής να διαθέτει πιστοποιητικό SSL για να λειτουργήσει.
Μια ασφαλής σύνδεση μεταξύ πελάτη και διακομιστή που χρησιμοποιεί SSL εκτελεί δύο λειτουργίες - έλεγχο ταυτότητας και προστασία δεδομένων.

Το SSL αποτελείται από δύο επίπεδα. Στα κατώτερα στρώματα (επίπεδα 4-5) ενός πολυστρωματικού πρωτοκόλλου μεταφοράς (όπως το TCP), είναι ένα πρωτόκολλο εγγραφής και χρησιμοποιείται για την ενθυλάκωση (δηλαδή, συσκευασία) διαφόρων πρωτοκόλλων. Για κάθε ενθυλακωμένο πρωτόκολλο, παρέχει τις συνθήκες κάτω από τις οποίες ο διακομιστής και ο πελάτης μπορούν να ελέγχουν ο ένας τον άλλον, να ασφαλίζουν δεδομένα κατά τη μεταφορά και να ανταλλάσσουν κλειδιά πριν το πρωτόκολλο εφαρμογής αρχίσει να στέλνει και να λαμβάνει δεδομένα.

Πλεονεκτήματα του πρωτοκόλλου SSL:

• Ευκολία στη χρήση
• Δεν απαιτείται πρόσθετο λογισμικό
• Ασφαλής απομακρυσμένη πρόσβαση

Το SSL VPN είναι το βέλτιστο για τη σύνδεση απομακρυσμένων χρηστών με πόρους τοπικού δικτύου γραφείου μέσω Διαδικτύου.

Για πρόσθετες πληροφορίες σχετικά με τη λειτουργία των πρωτοκόλλων PPTP, L2TP, IPSec και SSL, επισκεφθείτε την επίσημη ιστοσελίδα της IETF (Internet Engineering Task Force), η οποία αναπτύσσει πρωτόκολλα και αρχιτεκτονική Διαδικτύου -http://www.ietf.org

Η ρύθμιση ενός καναλιού VPN PPTP σε συστήματα *nix θεωρείται παραδοσιακά μια μη τετριμμένη εργασία που σχετίζεται με μια σειρά από διαφορετικά προβλήματα, εσφαλμένες ρυθμίσεις παραμέτρων κ.λπ. Σε αυτό το άρθρο θα προσπαθήσω να συγκεντρώσω όλα τα προβλήματα που μπορεί να προκύψουν και να σας πω τι να κάνετε σε κάθε περίπτωση.

1. Πραγματοποιήστε ping στον διακομιστή PPTP

Βεβαιωθείτε ότι ο διακομιστής PPTP επιστρέφει μια απάντηση στο αίτημα ηχούς ICMP. Εάν έρθει η απάντηση, τότε είναι καλό - μπορείτε να επικοινωνήσετε με τον διακομιστή. Εάν δεν υπάρξει απάντηση, τότε αυτό δεν σημαίνει τίποτα - τα πακέτα ICMP μπορούν να φιλτραριστούν από το τείχος προστασίας του διακομιστή.

# ping pptpserver

2. Δημιουργήστε ένα ίχνος στον διακομιστή PPTP

Βεβαιωθείτε ότι το traceroute περνάει στον διακομιστή. Εάν πραγματικά λειτουργεί, τότε είναι το ίδιο με το ping - έχετε σύνδεση σε επίπεδο δικτύου. Εάν η ιχνηλάτηση δεν λειτουργεί, πάλι, αυτό δεν σημαίνει τίποτα, γιατί... μπορεί να φιλτραριστεί από ένα τείχος προστασίας.

# traceroute ppptserver

3. Ελέγξτε τη θύρα 1723 στον διακομιστή PPTP

Βεβαιωθείτε ότι μπορείτε να συνδεθείτε στη θύρα TCP/IP υπηρεσίας του διακομιστή PPTP. Αν το telnet πάει καλά, τότε η μισή μάχη έχει γίνει. Εάν η σύνδεση κολλάει, πρέπει να διορθώσετε αυτό το συγκεκριμένο πρόβλημα (για παράδειγμα, να ρυθμίσετε το τείχος προστασίας σας). Αυτή είναι η κανονική έξοδος telnet που λειτουργεί:

# telnet pptpserver 1723 Προσπάθεια 91.229.176.7... Συνδέθηκε στον pptpserver. Ο χαρακτήρας διαφυγής είναι "^]".

4. Ελέγξτε το πρωτόκολλο GRE

Ελέγξτε ότι μπορείτε να ανταλλάξετε πακέτα GRE μεταξύ του διακομιστή PPTP και του πελάτη (δηλαδή εσάς). Για να το κάνετε αυτό, εκτελέστε ένα packet sniffer, όπως το tcpdump, όταν δημιουργηθεί το τούνελ. Θα πρέπει να δείτε μια σύνδεση στη θύρα 1723 ακολουθούμενη από ανταλλαγή πακέτων GRE και προς τις δύο κατευθύνσεις. Αν είστε νέος στο tcpdump, εδώ είναι.

Για να προσδιορίσετε σε ποιο σημείο της διαδρομής χάνονται τα πακέτα GRE.

• Το βοηθητικό πρόγραμμα hping2 μπορεί να εντοπίσει το πρωτόκολλο GRE [http://www.hping.org/], αλλά
• Έκδοση GRE του traceroute [http://lists.debian.org/debian-isp/2001/debian-isp-200103/msg00175.html]

Σημείωση: με τη σημερινή κυριαρχία των φθηνών δρομολογητών κατηγορίας καταναλωτών, τα βοηθητικά προγράμματα hping2 και GRE trace ενδέχεται να μην λειτουργούν σωστά. Ο λόγος για αυτό είναι ότι οι περισσότεροι δρομολογητές NAT χρησιμοποιούν έλεγχο κυκλοφορίας σύνδεσης ελέγχου PPTP με επίγνωση κατάστασης για να προσδιορίσουν εάν προωθούνται πακέτα GRE. Καλύτερα να επικεντρωθείτε στην ανάλυση της κυκλοφορίας GRE στα τελικά σημεία :)

Οι πιο συνηθισμένοι λόγοι για τους οποίους το GRE δεν λειτουργεί είναι:

• Τείχη προστασίας και πύλες
  Οι ενδιάμεσοι κεντρικοί υπολογιστές στη διαδρομή μεταξύ του πελάτη και του διακομιστή μπορούν να ρυθμιστούν ώστε να αποκλείουν το πρωτόκολλο GRE. Η χρήση των προγραμμάτων traceroute του πρωτοκόλλου GRE που αναφέρονται παραπάνω μπορεί να αναγνωρίσει τον κεντρικό υπολογιστή που προκαλεί το μπλοκ.
  Σε ορισμένες εκδόσεις του Linux, η φόρτωση της λειτουργικής μονάδας nf_nat_pptp θα βοηθήσει: # modprobe nf_nat_pptp
• Τοπικοί κανόνες φιλτραρίσματος
  Ο ίδιος ο πελάτης μπορεί να ρυθμιστεί ώστε να εμποδίζει τη λήψη ή την αποστολή πακέτων GRE. Ελέγξτε τους κανόνες iptables (ή οποιοδήποτε τείχος προστασίας έχετε).
• Πολλαπλές ταυτόχρονες συνδέσεις μέσω NAT
  Εάν έχετε έναν δρομολογητή NAT, όπως έναν δρομολογητή DSL, που αντιπροσωπεύει μια μεμονωμένη διεύθυνση IP στο WAN, τότε μόνο μία σύνδεση PPTP μπορεί να είναι ενεργή. Ο διακομιστής PPTP θα δέχεται μόνο μία σύνδεση.
  Η εκκίνηση μιας δεύτερης σήραγγας σε διαφορετική διεύθυνση IP (δηλαδή, σε διαφορετικό διακομιστή PPTP) μπορεί επίσης να αποτύχει εάν το σύστημα NAT του δρομολογητή δεν μπορεί να διακρίνει δύο ξεχωριστές συνδέσεις PPTP. Αυτό μπορεί ακόμη και να προκαλέσει την αποτυχία της πρώτης σύνδεσης.
• Εσφαλμένες ρυθμίσεις διακομιστή PPTP
  Εάν ο διακομιστής PPTP δεν μπορεί να ξεκινήσει τον δαίμονα pppd, λόγω ενός συντακτικού σφάλματος στο αρχείο διαμόρφωσης ή στα ορίσματα της γραμμής εντολών, αυτό φαίνεται να είναι απώλεια πακέτων GRE από την πλευρά του διακομιστή. Ελέγξτε προσεκτικά τα αρχεία καταγραφής διακομιστή. Για να ελέγξετε τις ρυθμίσεις, είναι χρήσιμο να εκτελέσετε το pppd στον διακομιστή με μη αυτόματο τρόπο.

5. Ελέγξτε την υποστήριξη MPPE

Η υποστήριξη για κρυπτογράφηση MPPE είναι απαραίτητη εάν πρόκειται να συνδεθείτε, για παράδειγμα, στον διακομιστή VPN των Microsoft Windows ή απλά θέλετε να έχετε ένα κρυπτογραφημένο κανάλι. Για εκδόσεις του PPP 2.4.2 και μεταγενέστερες, το MPPE παρέχεται ως λειτουργική μονάδα πυρήνα Linux και ως ενημερωμένη έκδοση κώδικα για το PPP 2.4.0. Για να λειτουργεί σωστά η κρυπτογράφηση MPPE, πρέπει να πληρούνται και τα δύο παρακάτω σημεία.

6. Υποστήριξη MPPE στον πυρήνα

Ελέγξτε ότι η μονάδα MPPE είναι φορτωμένη:

# modprobe ppp-compress-18 # modprobe ppp_mppe

Εάν η μονάδα φορτώνει χωρίς σφάλματα, τότε όλα είναι καλά με αυτήν. Εάν εμφανιστούν σφάλματα, τότε πρέπει να βρείτε την αιτία και να την εξαλείψετε. Μπορεί να υπάρχουν πολλοί λόγοι, εδώ είναι μερικοί από αυτούς:

• Δεν εκτελέσατε την εντολή depmod -αμετά τη λήψη του αρχείου kernel-mppe RPM
• Η μονάδα MPPE δεν υπάρχει στον αντίστοιχο κατάλογο /lib/modules
• Δεν είναι δυνατή η φόρτωση της υπάρχουσας μονάδας MPPE λόγω διένεξης έκδοσης
• Το παλιό αρχείο mppe.o παραμένει στο σύστημα, επομένως το νέο αρχείο ppp_mppe.o δεν μπορεί να φορτωθεί (εμφανίζεται το σφάλμα "init_module: File exists")
• Η λειτουργική μονάδα ppp_generic δεν μπορεί να ενεργοποιήσει τη μονάδα MPPE, αν και τη βρήκε. Μπορεί να χρησιμοποιείτε PPP-MPPE 2.4.0 και από το αρχείο /etc/modules.conf λείπει η καταχώριση ψευδώνυμο ppp-compress-18 mppe
• Οι μονάδες PPP μεταγλωττίζονται στατικά στον πυρήνα (για να λειτουργήσει το MPPE ως λειτουργική μονάδα, πρέπει επίσης να μεταγλωττιστούν ως λειτουργικές μονάδες)
• Η λειτουργική μονάδα ppp_async δεν έχει φορτωθεί (αν και το pptp δεν χρησιμοποιεί σειριακή θύρα στη λειτουργία της, η λειτουργική μονάδα ppp_async είναι απαραίτητη για τη μετάδοση δεδομένων μέσω ψευδοτερματικών)

7. Υποστήριξη MPPE σε pppd

Ελέγξτε ότι το pppd υποστηρίζει MPPE. Αυτό μπορεί να γίνει αναζητώντας γραμμές που περιέχουν τη λέξη-κλειδί mppe. Εάν δεν τηρούνται τέτοιες γραμμές, πρέπει να βρείτε μια έκδοση του pppd με υποστήριξη MPPE.

# συμβολοσειρές `which pppd`|grep -i mppe|wc --lines

Εάν δεν υπάρχει υποστήριξη για MPPE, τότε ο αριθμός 0 θα εμφανιστεί στην κονσόλα, εάν υπάρχει υποστήριξη, τότε ο αριθμός θα είναι περίπου 40.

Αυτή είναι μια δωρεάν μετάφραση του άρθρου

PPTP(από τα Αγγλικά Πρωτόκολλο Point-to-Point Tunneling) είναι ένα πρωτόκολλο σήραγγας από σημείο σε σημείο (κόμβος σε κόμβο) που επιτρέπει σε έναν υπολογιστή να δημιουργήσει μια ασφαλή σύνδεση με έναν διακομιστή δημιουργώντας μια σήραγγα σε ένα μη ασφαλές δίκτυο.

Το PPTP αναδιπλώνει (ενθυλακώνει) πλαίσια PPP σε πακέτα IP για μετάδοση μέσω ενός παγκόσμιου δικτύου IP, όπως το Διαδίκτυο. Το PPTP μπορεί επίσης να χρησιμοποιηθεί για τη δημιουργία μιας σήραγγας μεταξύ δύο τοπικών δικτύων. Το PPTP χρησιμοποιεί μια πρόσθετη σύνδεση TCP για τη συντήρηση της σήραγγας.

Αυτό το πρωτόκολλο είναι λιγότερο ασφαλές από το IPSec. Το PPTP λειτουργεί καθιερώνοντας μια τακτική συνεδρία PPP με το άλλο μέρος χρησιμοποιώντας το πρωτόκολλο Generic Routing Encapsulation. Η δεύτερη σύνδεση στη θύρα TCP 1723 χρησιμοποιείται για την εκκίνηση και τον έλεγχο της σύνδεσης GRE. Το PPTP είναι δύσκολο να ανακατευθυνθεί πίσω από ένα τείχος προστασίας επειδή απαιτεί δύο συνεδρίες δικτύου για να δημιουργηθούν ταυτόχρονα. Η κίνηση PPTP μπορεί να κρυπτογραφηθεί χρησιμοποιώντας MPPE. Μπορούν να χρησιμοποιηθούν διάφοροι μηχανισμοί για τον έλεγχο ταυτότητας πελατών, για παράδειγμα, MS-CHAPv2 και EAP-TLS.

Το θέμα της ασφάλειας και της αξιοπιστίας του πρωτοκόλλου

• Το MSCHAP-v1 είναι εντελώς αναξιόπιστο. Υπάρχουν βοηθητικά προγράμματα για την εύκολη εξαγωγή κατακερματισμών κωδικού πρόσβασης από υποκλοπές ανταλλαγών MSCHAP-v1.
• Το MSCHAP-v2 είναι ευάλωτο σε επίθεση λεξικού σε υποκλαπέντα πακέτα πρόκλησης-απόκρισης. Υπάρχουν προγράμματα που εκτελούν αυτή τη διαδικασία.
  
• Το 2012, το MSCHAP-v2 αποδείχθηκε ότι έχει την ίδια πολυπλοκότητα με την κρυπτογράφηση DES και εισήχθη μια διαδικτυακή υπηρεσία που μπορούσε να ανακτήσει το κλειδί σε 23 ώρες.
  
• Όταν χρησιμοποιείτε το MSCHAP-v1, το MPPE χρησιμοποιεί το ίδιο κλειδί συνεδρίας RC4 για την κρυπτογράφηση της ροής πληροφοριών και προς τις δύο κατευθύνσεις. Επομένως, η τυπική μέθοδος είναι η ροή XOR από διαφορετικές κατευθύνσεις μαζί, έτσι ώστε ένας κρυπτοαναλυτής να μπορεί να μάθει το κλειδί.
  
• Το MPPE χρησιμοποιεί ροή RC4 για κρυπτογράφηση. Δεν υπάρχει μέθοδος για τον έλεγχο ταυτότητας μιας αλφαριθμητικής ροής, και ως εκ τούτου η ροή είναι ευάλωτη σε μια επίθεση γεμίσματος. Ένας εισβολέας μπορεί εύκολα να αλλάξει ορισμένα bit για να αλλάξει την εξερχόμενη ροή χωρίς να εντοπιστεί. Αυτή η αντικατάσταση bit μπορεί να ανιχνευθεί χρησιμοποιώντας πρωτόκολλα που υπολογίζουν αθροίσματα ελέγχου.

Δομή

Το σχήμα 1 δείχνει τη δομή ενός πακέτου PPTP. Γενικά, δεν υπάρχει τίποτα ιδιαίτερο ένα πλαίσιο PPP και μια κεφαλίδα GRE στο πακέτο IP.

Εν συντομία για το GRE. Αυτό είναι ένα πρωτόκολλο σήραγγας που λειτουργεί στο Layer 3 του μοντέλου OSI. Η συνάρτηση GRE είναι η ενθυλάκωση πακέτων επιπέδου δικτύου του μοντέλου δικτύου OSI σε πακέτα IP.

Η σήραγγα περιλαμβάνει τρία πρωτόκολλα:

• πρωτόκολλο ενθυλακωμένο σε επιβάτες (IP, CLNP, IPX, Apple Talk, DECnet Phase IV, XNS, VINES και Apollo).
• πρωτόκολλο ενθυλάκωσης (GRE);
• πρωτόκολλο μεταφοράς (IP).

Η κεφαλίδα παίρνει 4 byte (Εικ. 2) και αποτελείται από 2 μέρη:

1) 1-2 byte— σημαίες :

- ChecksumPresent– bit 0, αν ισούται με 1, τότε η κεφαλίδα GRE περιέχει ένα προαιρετικό πεδίο αθροίσματος ελέγχου – Checksumfield.

- Βασικό παρόν– bit 2, αν ισούται με 1, τότε η κεφαλίδα GRE περιέχει ένα προαιρετικό πεδίο που περιέχει το κλειδί – πεδίο Key.

- Αριθμός Ακολουθίας Παρόν– bit 3, αν ισούται με 1, τότε η κεφαλίδα GRE περιέχει ένα προαιρετικό πεδίο αριθμού ακολουθίας – SequenceNumberfield.

- Αριθμός Έκδοσης– bits 13–15. Αυτό το πεδίο υποδεικνύει την έκδοση υλοποίησης GRE. Μια τιμή 0 χρησιμοποιείται συνήθως για το GRE. Το πρωτόκολλο Point-to-Point (PP2P) χρησιμοποιεί την έκδοση 1.

2) 3-4 byte.Περιέχει τον τύπο πρωτοκόλλου (αιθερότυπο) του ενθυλακωμένου πακέτου.

MTU

Ένα εξίσου σημαντικό ερώτημα για το ρεκόρ είναι το ερώτημα MTU.

Δεδομένου ότι το PPTP είναι ωφέλιμο φορτίο + κεφαλίδα PPP+ GRE + κεφαλίδα IP. MTU Ethernet = 1500 byte, IP κεφαλίδας = 20 byte, GRE = 4 byte. 1500-20-4 = 1476 byte.

Έλεγχος μηνυμάτων

Στην καρδιά της επικοινωνίας PPTP βρίσκεται η σύνδεση ελέγχου PPTP - μια ακολουθία μηνυμάτων ελέγχου που δημιουργούν και συντηρούν μια σήραγγα. Μια πλήρης σύνδεση PPTP αποτελείται από μία μόνο σύνδεση TCP/IP, η οποία απαιτεί την αποστολή εντολών ηχούς για να διατηρηθεί ανοιχτή ενώ οι συναλλαγές βρίσκονται σε εξέλιξη. Παρακάτω, στο Σχήμα 3, υποδεικνύονται τα μηνύματα ελέγχου και η σημασία τους.