PPTP

zastaralý síťový protokol pro VPN

Point-to-Point Tunneling Protocol (PPTP) je zastaralý protokol pro VPN (virtuální privátní síť), která umožňuje bezpečné spojení přes nedůvěryhodnou síť. Používá síťový port 1723 a protokol GRE. Na konci července 2012 byl prolomen šifrovací protokol MS-CHAPv2 a od té doby nelze použití PPTP VPN považovat za bezpečné.[1] Obvyklými náhradami za PPTP jsou protokoly SSTP, L2TP nebo IPsec.

Normy PPTP

editovat

Standard pro PPTP byl publikován v RFC 2637. PPTP nebylo navrženo nebo schváleno jako internetový standard komisí IETF. PPTP pracuje na základě vytváření běžné PPP relace zapouzdřené pomocí protokolu GRE (Generic Routing Encapsulation). Pro zahájení a řízení GRE relace je používáno síťové TCP spojení na port 1723.

Protože PPTP vyžaduje dvě síťová spojení (relace), je pro něj komplikovanější průchod firewallem. Ověření uživatele je v PPTP realizováno pomocí autentizačních metod Microsoft MSCHAP-v2 nebo EAP-TLS. Přenos VPN je nepovinně chráněn MPPE šifrováním (Microsoft Point-to-Point Encryption), které je popsáno v RFC 3078. Komunikace protokolem MSCHAP-v2 může být prolomena, pokud má uživatel slabé heslo. Kvalitnějším zabezpečením je proto EAP-TLS chráněný asymetrickou kryptografií s veřejným klíčem (certifikátem).

Uvedení do praxe

editovat

Tento protokol byl vyvinut vývojovým konsorciem tvořeným společnostmi Microsoft, Ascend Communications (nyní součást Alcatel-Lucent), 3Com a dalšími.

PPTP je oblíbený, protože jeho nakonfigurování je snadné a byl prvním protokolem podporovaným Vytáčeným připojením sítě (Dial-Up Networking) firmy Microsoft. Všechna vydání Microsoft Windows počínaje Windows 95 OSR2 jsou svázaná s PPTP klientem, ačkoli jsou omezena na pouze 2 souběžná odchozí spojení. Služby vzdáleného přístupu (Remote Access Service – RAS) pro Microsoft Windows obsahují PPTP server.

Distribuce Linuxu donedávna postrádaly plnou podporu PPTP, protože se věřilo, že MPPE je zatíženo patentem. Plná podpora MPPE byla přidána do větve Linuxu 2.6.13, která je udržována Andrewem Mortonem. SuSE Linux 10 byl první linuxovou distribucí, která nabízela kompletně pracujícího PPTP klienta. Oficiální podpora PPTP byla přidána 28. října 2005 do oficiálního vydání jádra verze 2.6.14.

Mac OS X (včetně verze nahrané v iPhone) obsahoval PPTP klienta do verze macOS Sierra a iOS 10. PPTP klienty pro starší vydání Mac OS prodávají společnosti Cisco a Efficient Networks. Ve verzi systémů iOS 10 a macOS Sierra byla oficiální podpora protokolu PPTP, z důvodů jeho prolomení, již odstraněna.[2] Uživatelům je doporučeno, aby tento protokol pro realizaci virtuální privátní sítě nadále nevyužívali a to ani pomocí instalace aplikací třetích stran.

Přístroje PALM PDA se zařízením Wi-Fi jsou vybaveny PPTP klientem Mergic.

Microsoft Windows Mobile 2003 a novější také podporují PPTP protokol.

Budoucnost PPTP

editovat

Zdokonalením PPTP na platformách Microsoft je použití buďto L2TP/IPsec nebo IPsec. Přebírání vylepšených VPN technologií je pozvolné, protože PPTP je pohodlně a snadno nastavitelný, zatímco L2TP/IPsec vyžaduje sdílený klíč (shared key) nebo strojní certifikáty (machine certificates). Na zařízeních Cisco je možné nastavit VPN server tak, aby spojení ověřoval prostřednictvím Uživatelsky vytáčené služby pro vzdálenou autentizaci RADIUS. To znamená, že je možné použít řešení PPTP stylu za použití IPsec, aniž by bylo potřeba sdílených klíčů (shared keys) nebo certifikátů. Uživatelé mohou poté používat svá vlastní uživatelská jména a hesla.

Vzhledem k prolomení MS-CHAPv2 v červenci 2012 a závislosti stávajících implementací na tomto protokolu nelze nadále PPTP VPN považovat za bezpečný způsob VPN, reálně hrozí odposlech hesla a veškeré další komunikace.[1] Protokol PPTP VPN by proto měl být okamžitě nahrazen jinými řešeními, např. OpenVPN a dosavadní PPTP-VPN spojení považovat za nešifrovaná.

Související články

editovat

Reference

editovat

V tomto článku byl použit překlad textu z článku Point-to-point tunneling protocol na anglické Wikipedii.

  1. a b The Register: Marlinspike demos MS-CHAPv2 crack ‘The strength of a single DES encryption’ not enough
  2. Prepare for removal of PPTP VPN before you upgrade to iOS 10 and macOS Sierra [online]. [cit. 2016-09-24]. Dostupné online. (anglicky) 

Externí odkazy

editovat