PPTP

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

Point-to-Point Tunneling Protocol (PPTP) je způsob realizace Virtuální privátní sítě (VPN). Obvyklými náhradami za PPTP jsou Layer 2 Tunneling Protocol (L2TP) nebo IPsec. Na konci července 2012 byl prolomen šifrovací protokol MS-CHAPv2 a od té doby nelze použití PPTP VPN považovat za bezpečné.[1]

Normy PPTP[editovat | editovat zdroj]

Normy pro PPTP byly publikovány jako RFC 2637. PPTP nebylo navrženo nebo schváleno jako standard Komisí techniky Internetu IETF. PPTP pracuje na základě vytváření běžné PPP relace s GRE (Generic Routing Encapsulation) zapouzdřením. Druhá relace na TCP portu 1723 je používána pro zahájení a řízení GRE relace.

Protože PPTP vyžaduje dvě síťové relace, je pro něj nesnadné proniknout síťovým firewallem. Spojení PPTP jsou ověřována pomocí autentizačních metod Microsoft MSCHAP-v2 nebo EAP-TLS. Přenos VPN je nepovinně chráněn MPPE šifrováním (Microsoft Point-to-Point Encryption), které je popsáno pomocí standardu RFC 3078. Microsoft MSCHAP-v2 může být narušeno, pokud uživatelé zvolí slabá hesla. Kvalitnější bezpečnostní volbu pro PPTP představuje certifikované EAP-TLS.

Uvedení do praxe[editovat | editovat zdroj]

Tento protokol byl vyvinut vývojovým konsorciem tvořeným společnostmi Microsoft, Ascend Communications (nyní součást Alcatel-Lucent), 3Com a dalšími.

PPTP je oblíbený, protože jeho nakonfigurování je snadné a byl prvním protokolem podporovaným Vytáčeným připojením sítě (Dial-Up Networking) firmy Microsoft. Všechna vydání Microsoft Windows počínaje Windows 95 OSR2 jsou svázaná s PPTP klientem, ačkoli jsou omezena na pouze 2 souběžná odchozí spojení. Služby vzdáleného přístupu (Remote Access Service – RAS) pro Microsoft Windows obsahují PPTP server.

Distribuce Linuxu donedávna postrádaly plnou podporu PPTP, protože se věřilo, že MPPE je zatíženo patentem. Plná podpora MPPE byla přidána do větve Linuxu 2.6.13, která je udržována Andrewem Mortonem. SuSE Linux 10 byl první linuxovou distribucí, která nabízela kompletně pracujícího PPTP klienta. Oficiální podpora PPTP byla přidána 28. října 2005 do oficiálního vydání jádra verze 2.6.14.

Mac OS X (včetně verze nahrané v iPhone) je spojen s PPTP klientem. PPTP klienty pro starší vydání Mac OS prodávají společnosti Cisco a Efficient Networks. Přístroje PALM PDA se zařízením Wi-Fi jsou vybaveny PPTP klientem Mergic.

Microsoft Windows Mobile 2003 a novější také podporují PPTP protokol.

Budoucnost PPTP[editovat | editovat zdroj]

Zdokonalením PPTP na platformách Microsoft je použití buďto L2TP/IPsec nebo IPsec. Přebírání vylepšených VPN technologií je pozvolné, protože PPTP je pohodlně a snadno nastavitelný, zatímco L2TP/IPsec vyžaduje sdílený klíč (shared key) nebo strojní certifikáty (machine certificates). Na zařízeních Cisco je možné nastavit VPN server tak, aby spojení ověřoval prostřednictvím Uživatelsky vytáčené služby pro vzdálenou autentizaci RADIUS. To znamená, že je možné použít řešení PPTP stylu za použití IPsec, aniž by bylo potřeba sdílených klíčů (shared keys) nebo certifikátů. Uživatelé mohou poté používat svá vlastní uživatelská jména a hesla.

Vzhledem k prolomení MS-CHAPv2 v červenci 2012 a závislosti stávajících implementací na tomto protokolu nelze nadále PPTP VPN považovat za bezpečný způsob VPN, reálně hrozí odposlech hesla a veškeré další komunikace.[1] Protokol PPTP VPN by proto měl být okamžitě nahrazen jinými řešeními, např. OpenVPN a dosavadní PPTP-VPN spojení považovat za nešifrovaná.

Související články[editovat | editovat zdroj]

Reference[editovat | editovat zdroj]

V tomto článku byl použit překlad textu z článku Point-to-point tunneling protocol na anglické Wikipedii.

  1. a b The Register: Marlinspike demos MS-CHAPv2 crack ‘The strength of a single DES encryption’ not enough

Externí odkazy[editovat | editovat zdroj]