2018年中国新闻奖、长江韬奋奖评选文件发布(表格下载)

PPTP (англ. Point-to-Point Tunneling Protocol) — тунельний протокол типу точка-точка, що дозволя? комп'ютеру встановлювати захищене з'?днання з сервером за рахунок створення спец?ального тунелю в стандартн?й, незахищен?й мереж?. PPTP пом?ща? (?нкапсулю?) кадри PPP в IP-пакети для передач? по глобальн?й IP-мереж?, наприклад ?нтернет. PPTP може також використовуватися для орган?зац?? тунелю м?ж двома локальними мережами. РРТР використову? додаткове TCP- з'?днання для обслуговування тунелю.

Протоколи туннелювання потр?бн? тому, що деяк? протоколи не можуть маршрутизуватися через певн? мереж?. Кадри PPP, як? не маршрутизуються через мережу ?нтернет, не можуть самост?йно знайти правильний маршрут через ?нтернет до одержувача, для цього ?м потр?бна п?дтримка. Саме для цього ? потр?бн? протоколи тунелювання. Вони дозволяють проводити ?нкапсуляц?ю пакет?в PPP, завдяки чому кадри правильно доходять до одержувача.

Протокол PPTP (Point-to-Point-Tunneling Protocol) розроблений компан??ю Microsoft сп?льно з компан?ями Ascend Communications, 3Com/Primary Access, ECI-Telematics ? US Robotics. Цей протокол був представлений в робочу групу ?PPP Extentions? IETF як претендент на стандартний протокол створення захищеного каналу при доступ? в?ддалених користувач?в через публ?чн? мереж? (в першу чергу Internet) до корпоративних мереж. Спецификация протокола була опубл?кована RFC 2637 [Арх?вовано 4 травня 2011 у Wayback Machine.] в 1999 роц?. Вона не була ратиф?кована IETF. Протокол вважа?ться менш захищеним, н?ж IPSec. PPTP працю?, встановлюючи звичайний PPP сеанс протилежною стороною за допомогою протоколу Generic Routing Encapsulation. Друге з'?днання на TCP-порту 1723 використову?ться для ?н?ц?ювання та управл?ння GRE-з'?днанням. PPTP складно перенаправляти за мережевий екран, оскльки в?н вимага? одночасного встановлення двох мережевих сеанс?в.

PPTP-траф?к може бути зашифрованим за допомогою MPPE. Для аутентиф?кац?? кл??нт?в можуть використовуватися р?зноман?тн? механ?зми, найбезпечн?ш? з них — MS-CHAPv2 и EAP-TLS.

Багатопротокольн?сть — основна перевага ?нкапсулюючих протокол?в канального р?вня, до яких належить протокол PPTP.

PPTP працю? шляхом ?нкапсуляц?? ?р?дних? пакет?в локально? мереж? — наприклад, пакет?в IPX — всередину пакет?в TCP / IP. Весь пакет IPX, включаючи його керуючу ?нформац?ю, ста? корисним навантаженням для пакета TCP / IP, який пот?м можна передавати по Internet. Програмн? засоби на ?ншому к?нц? л?н?? зв'язку витягують пакет IPX ? направляють його для нормально? обробки зг?дно з його власним протоколом. Цей процес назива?ться тунелюванням — ймов?рно, тому, що створю?ться коридор в Internet, що з'?дну? два вузли.

Оск?льки вся ?дея дистанц?йного доступу поляга? в дозвол? машини кл??нта п?дключатися по телефонн?й л?н?? до машини сервера, з'?днання PPTP ?н?ц?ю?ться кл??нтом, який використову? службовий зас?б Windows NT — Remote Access Service (RAS) — для встановлення PPP-з'?днання з постачальником послуг Internet. Пот?м при актив?зованому з'?днанн? PPP за допомогою сервера, що п?дключений до Internet ? д?? як сервер RAS, кл??нт застосову? RAS для виконання другого з'?днання. Цього разу у пол? номера телефону вказу?ться IP-адреса (?м'я або номер), ? кл??нт для того, щоб зд?йснити з'?днання, використову? зам?сть COM-порту VPN-порт (VPN-порти конф?гуруються на машинах кл??нта й сервера в процес? ?нсталяц?? PPTP). Введення IP-адреси ?н?ц?ю? передачу запиту серверу на початок сеансу. Кл??нт чека? в?д сервера п?дтвердження ?мен? користувача ? пароля ? в?дпов?д? пов?домленням, що з'?днання встановлено. У цей момент почина? свою роботу канал PPTP, ? кл??нт може приступити до тунелювання пакет?в серверу. Оск?льки вони можуть бути пакетами IPX ? NetBEUI, сервер може виконувати з ними сво? звичайн? процедури забезпечення захисту. В основ? обм?ну даними по протоколу PPTP лежить керуюче з'?днання PPTP — посл?довн?сть керуючих пов?домлень, як? встановлюють ? обслуговують тунель. Повне з'?днання PPTP склада?ться т?льки з одного з'?днання TCP / IP, яке вимага? передач? ехо-команд для п?дтримки його в?дкритим, поки виконуються транзакц??.

У протокол? PPTP визначено дв? схеми його застосування. Перша схема розрахована на п?дтримку захищеного каналу м?ж сервером в?ддаленого доступу ISP (Internet Service Provider — провайдера Internet) ? прикордонним маршрутизатором корпоративно? мереж? (див. перший малюнок).

На другому малюнку зображено, як користувач дв?ч? встановлю? в?ддалене з'?днання за допомогою утил?ти Dial-Up Networking, що явля? собою кл??нтську частину серв?су в?ддаленого доступу Windows NT.

Cisco першою реал?зувала PPTP ? п?зн?ше л?цензувала цю технолог?ю корпорац?? Microsoft.

PPTP вдалося домогтися популярност? завдяки тому, що це перший протокол тунелювання, який був п?дтриманий корпорац??ю Microsoft. Вс? верс?? Microsoft Windows, починаючи з Windows 95 OSR2, мають у сво?му склад? PPTP-кл??нт, однак ?сну? обмеження на два одночасних вих?дних з'?днання. А серв?с в?ддаленого доступу для Microsoft Windows м?стить у соб? PPTP сервер.

До недавнього часу в Linux- дистрибутивах була в?дсутня повна п?дтримка PPTP через побоювання патентних претенз?й з приводу протоколу MPPE. Вперше повна п?дтримка MPPE з'явилася в Linux 2.6.13. Оф?ц?йно п?дтримка PPTP була розпочата з верс?? ядра Linux 2.6.14. Тим не менше, сам факт застосування MPPE в PPTP фактично не забезпечу? безпеку протоколу PPTP.

Операц?йна система FreeBSD п?дтриму? PPTP протокол, використовуючи як сервер PPTP порт mpd (/ usr / ports / net / mpd), використовуючи п?дсистему netgraph. Як кл??нт PPTP в систем? FreeBSD може виступати або порт pptpclient (/ usr / ports / net / pptpclient), або порт mpd, що працю? в режим? кл??нта.

Mac OS X поставля?ться з вбудованим PPTP кл??нтом. Cisco ? Efficient Networks продають PPTP кл??нти для стар?ших верс?й Mac OS. КПК Palm, що п?дтримують технолог?ю Wi-Fi, поставляються з PPTP кл??нтом Mergic.

Microsoft Windows Mobile 2003 ? нов?ш? верс?? також п?дтримують протокол PPTP.

Протокол PPTP дозволя? створювати захищен? канали для обм?ну даними по р?зних мережевих протоколах — IP, IPX або NetBEUI. Дан? цих протокол?в ?нкапсулюються за допомогою протоколу PPTP в пакети протоколу IP, за допомогою якого переносяться в зашифрованому вигляд? через мережу TCP / IP. ?нкапсулю?ться вих?дний кадр РРР, тому протокол PPTP можна в?днести до класу протокол?в ?нкапсуляц?? канального р?вня в мережевий.

PPTP був об'?ктом численних анал?з?в безпеки, в ньому були виявлен? серйозн? проблеми. В?дом? проблеми стосуються аутентиф?кац?? PPP протокол?в, влаштування протоколу MPPE та ?нтеграц?? м?ж аутентиф?кац?ями MPPE ? PPP для створення ключа сеансу. Короткий огляд даних проблем:

• MSCHAP-v1 абсолютно ненад?йний. ?снують утил?ти для легкого вилучення хеш?в парол?в з перехопленого обм?ну MSCHAP-v1.^[1]
• MSCHAP-v2 вразливий до словниково? атаки на перехоплен? challenge response пакет?в. ?снують програми, що виконують даний процес. [1]
• При використанн? MSCHAP-v1, MPPE використову? однаковий RC4 сеансовий ключ для шифрування ?нформац?йного потоку в обох напрямках. Тому стандартним методом ? виконання XOR'а поток?в з р?зних напрямк?в разом, тому криптоанал?тик може д?знатися про ключ.^[2]
• MPPE використову? RC4 пот?к для шифрування. Не ?сну? методу для аутентиф?кац?? цифробуквенного потоку, ? тому даний пот?к вразливий до атаки, що викону? п?дм?н б?т?в. Зловмисник легко може зм?нити пот?к при передач? й зм?нити деяк? б?ти, щоб зм?нити вих?дний пот?к без небезпеки свого виявлення. Цей п?дм?н б?т може бути виявлений за допомогою протокол?в, як? п?драховують контрольн? суми.^[1]

• PPPoE
• TCP
• PPP

• RFC 2637 (англ.)
• FAQ по PPTP от Microsoft [Арх?вовано 19 липня 2008 у Wayback Machine.] (англ.)
• FAQ — Microsoft's PPTP Implementation, Брюс Шнайер, 1998 [Арх?вовано 21 вересня 2015 у Wayback Machine.] (англ.)
• PPTP клиент, Linux, FreeBSD и NetBSD кл??нт [Арх?вовано 5 травня 2021 у Wayback Machine.] (англ.)
• pptpproxy — Linux pptp-прокс? (англ.)
• Налаштування PPTP VPN у Windows (7) [Арх?вовано 29 листопада 2010 у Wayback Machine.] (рос.)
• Чому не потр?бно використовувати PPTP [Арх?вовано 12 грудня 2010 у Wayback Machine.] (англ.)