Авторизация

О ПРОТОКОЛЕ PPTP

pptpPPTP (Point-to-point tunneling protocol) - наиболее старый и распространенный в мире VPN протокол. Его особенность состоит в использовании двух одновременных соединений. Первое соединение это непосредственная передача пользовательских данных при помощи протокола GRE, а второе это соединение по порту TCP 1723 для управления протоколом GRE.

Из-за потребности в двух одновременных соединениях, одно из которых использует GRE, который не является широко распространенным протоколом (наиболее распространены TCP или UDP) протокол PPTP с трудом переодолевает различные препятствия в виде межсетевых экранов и правил трансляции IP адресов у провайдеров связи.

 

Аутентификация

В протоколе PPTP могут быть использованы различные методы аутентификации – PAP, CHAP, MS-CHAPv1, MS-CHAPv2. Они по-разному строят обмен информацией, мы не будем описывать их особенности, а лишь отметим, что PAP и MS-CHAPv1 являются наиболее ненадежными методами аутентификации.

Наряду с этими ограничениями, PPTP является наиболее распространенным протоколом, который поддерживается на абсолютном большинстве устройств и операционных систем.

 

Шифрование данных

В составе PPTP может использоваться (а может и не использовтаься) шифрование данных протоколом MPPE (Microsoft Point-to-Point Encryption). MPPE поддерживает 40, 56 и 128 битные ключи. Однако, далеко не все устройства, использующие PPTP умеют использовать шифрование. Многие старые модели модемов и домашних маршрутизаторов не поддерживают шифрование MPPE.

Стоит отметить, что при работе с VPNKI, для использования соединения с шифрованием вам необходимо в настройках соединения:
- использовать авторизацию MS-CHAPv2 и указать что будет использоваться шифрование (MPPE)

Для соединения без шифрования вам необходимо:
- использовать авторизацию CHAP и указать, что шифрование использоваться не будет.

 

Компрессия данных

Данные, передаваемые внутри PPTP, могут подвергаться компрессии. В качестве протокола компрессии используется Microsoft Point-to-Point Compression (MPPC).

 

Автоматическая проверка работоспособности VPN соединения

Так как соединение PPTP осуществляется поверх протокола TCP, то сессионные механизмы самого TCP осуществляют контроль за наличием соединения. В случае обрыва сессии TCP VPN интерфейс на сервере и клиенте (ppp) будет выключен. В реализации протокола также обычно присутствует таймер keepalive – пакетов, которые проверяют наличие активного VPN соединения.

 

Разрыв VPN соединения

Разрыв VPN соединения осуществляется или при пропадании сессии TCP или по истечению значения различных таймеров. К таким таймерам может относиться абсолютный таймер длительности соединения, таймер неактивности – idle-timeout (времени, в течение которого по VPN соединению не передавался трафик) или таймер keepalive  - отсутствие ответа на пакет keepalive.

 

Автоматическое установление разорванного VPN соединения

Важным аспектом является способность клиентского ПО переустановить VPN соединение при пропадании действующего. Такое переустановление соединения может:

  • не происходить
  • происходить безусловно
  • происходить при появлении на маршрутизаторе или компьютере трафика, который предназначен для другой стороны туннеля (dial-on-demand)

 

 

Плюсы:

  • широко распространен
  • просто настраивается
  • есть шифрование и компрессия
  • быстрый

Минусы:

  • слабая устойчивость к атакам на авторизацию по протоколу MS-CHAPv2

PS: Для предотвращения атак взлома MS-CHAPv2, в системе VPNKI вы можете использовать возможность "Белый список". В этом случае, установление соединения будет возможно лишь с указанных в списке IP адресов.

 

Далее:

L2TP

IPsec

OpenVPN

ДОПОЛНИТЕЛЬНО

Кроме базового функционала по объединению VPN туннелей с различными протоколами, в системе VPNKI вы можете воспользоваться удаленным доступом к компьютеру или камере, используя: