Protocolo de túnel ponto a ponto - Point-to-Point Tunneling Protocol

Suíte de protocolo de Internet
Camada de aplicação
BGP DHCP DNS FTP HTTP HTTPS IMAP LDAP MGCP MQTT NNTP NTP POP PTP ONC / RPC RTP RTSP DESCANSE EM PAZ trago SMTP SNMP SSH Telnet TLS / SSL XMPP Mais...
Camada de transporte
TCP UDP DCCP SCTP Responda Por Favor Mais...
Camada de Internet
IP IPv4 IPv6 ICMP ICMPv6 ECN IGMP IPsec Mais...
Camada de link
ARP NDP OSPF Túneis L2TP PPP MAC Ethernet Wi-fi DSL ISDN FDDI Mais...
v t e

O protocolo de encapsulamento ponto a ponto ( PPTP ) é um método obsoleto de implementação de redes virtuais privadas . O PPTP tem muitos problemas de segurança conhecidos.

O PPTP usa um canal de controle TCP e um túnel de Encapsulamento de Roteamento Genérico para encapsular pacotes PPP . Muitas VPNs modernas usam várias formas de UDP para essa mesma funcionalidade.

A especificação PPTP não descreve recursos de criptografia ou autenticação e depende do protocolo ponto a ponto sendo encapsulado para implementar toda e qualquer funcionalidade de segurança.

A implementação PPTP que acompanha as famílias de produtos do Microsoft Windows implementa vários níveis de autenticação e criptografia nativamente como recursos padrão da pilha PPTP do Windows. O uso pretendido deste protocolo é fornecer níveis de segurança e níveis de acesso remoto comparáveis ​​aos produtos VPN típicos .

História

Uma especificação para PPTP foi publicada em julho de 1999 como RFC 2637 e foi desenvolvida por um consórcio de fornecedores formado pela Microsoft , Ascend Communications (hoje parte da Nokia ), 3Com e outros.

PPTP não foi proposto nem ratificado como padrão pela Internet Engineering Task Force .

Descrição

Um túnel PPTP é instanciado pela comunicação com o par na porta TCP 1723. Essa conexão TCP é então usada para iniciar e gerenciar um túnel GRE para o mesmo par. O formato do pacote PPTP GRE não é padrão, incluindo um novo campo de número de confirmação que substitui o campo de roteamento típico no cabeçalho GRE. No entanto, como em uma conexão GRE normal, esses pacotes GRE modificados são encapsulados diretamente em pacotes IP e vistos como protocolo IP número 47. O túnel GRE é usado para transportar pacotes PPP encapsulados, permitindo o tunelamento de quaisquer protocolos que possam ser transportados dentro PPP, incluindo IP , NetBEUI e IPX .

Na implementação da Microsoft, o tráfego PPP encapsulado pode ser autenticado com PAP , CHAP , MS-CHAP v1 / v2 .

Segurança

PPTP tem sido objeto de muitas análises de segurança e sérias vulnerabilidades de segurança foram encontradas no protocolo. As vulnerabilidades conhecidas estão relacionadas aos protocolos de autenticação PPP subjacentes usados, ao design do protocolo MPPE , bem como à integração entre a autenticação MPPE e PPP para o estabelecimento da chave de sessão.

Um resumo dessas vulnerabilidades está abaixo:

• MS-CHAP -v1 é fundamentalmente inseguro. Existem ferramentas para extrair trivialmente os hashes de senha do NT de uma troca MSCHAP-v1 capturada.
• Ao usar o MS-CHAP-v1, o MPPE usa a mesma chave de sessão RC4 para criptografia em ambas as direções do fluxo de comunicação. Isso pode ser criptanalisado com métodos padrão por XORing dos fluxos de cada direção juntos.
• O MS-CHAP-v2 é vulnerável a ataques de dicionário nos pacotes de resposta de desafio capturados. Existem ferramentas para realizar esse processo rapidamente.
• Em 2012, foi demonstrado que a complexidade de um ataque de força bruta em uma chave MS-CHAP-v2 é equivalente a um ataque de força bruta em uma única chave DES . Também foi demonstrado um serviço online que é capaz de descriptografar uma frase secreta MS-CHAP-v2 MD4 em 23 horas.
• MPPE usa a cifra de fluxo RC4 para criptografia. Não existe um método para autenticação do fluxo de texto cifrado e, portanto, o texto cifrado é vulnerável a um ataque de inversão de bits. Um invasor pode modificar o fluxo em trânsito e ajustar bits únicos para alterar o fluxo de saída sem possibilidade de detecção. Essas mudanças de bit podem ser detectadas pelos próprios protocolos por meio de somas de verificação ou outros meios.

O EAP-TLS é visto como a opção de autenticação superior para PPTP; entretanto, requer a implementação de uma infraestrutura de chave pública para certificados de cliente e servidor. Como tal, pode não ser uma opção de autenticação viável para algumas instalações de acesso remoto. A maioria das redes que usam PPTP deve aplicar medidas de segurança adicionais ou ser considerada completamente inadequada para o ambiente moderno da Internet. Ao mesmo tempo, fazer isso significa negar os benefícios do protocolo acima mencionados até certo ponto.

Veja também

• IPsec
• Protocolo de encapsulamento de camada 2 (L2TP)
• Secure Socket Tunneling Protocol (SSTP)
• OpenVPN , aplicativo de software de código aberto que implementa VPN
• WireGuard , uma implementação VPN simples e eficaz

Referências

links externos

• Windows NT: Compreendendo o PPTP da Microsoft
• FAQ sobre falhas de segurança na implementação da Microsoft , Bruce Schneier , 1998
• Cryptanalysis of Microsoft's PPTP Authentication Extensions (MS-CHAPv2), Bruce Schneier , 1999