Хостинг > Статьи > Нелегкая судьба протокола РРТР

Нелегкая судьба протокола РРТР

 

В настоящее время большинство специалистов считают протокол РРТР ненадежным с точки зрения безопасности и не рекомендуют его использование для создания виртуальных частных сетей (VPN). Однако существует способ построения VPN на основе этого протокола с уровнем защищенности, достаточным для использования в корпоративной среде, и минимальными финансовыми затратами.

Протокол РРТР (Point-to-Point Tunneling Protocol) разработан компанией Microsoft совместно с компаниями Ascend Communications, ЗСоn/Primary Access, ECI-Telematics и US Robotics. Этот протокол получил статус интернет-стандарта, но так и не был утвержден.

Для организации туннеля в РРТР используется протокол GRE (Generic Routing Encapsulation), а для шифрования трафика используется МРРЕ (Microsoft Point-to-Point Encryption), протокол для шифрования пакетов протокола РРР потоковым шифром RC4.

Фактически задача РРТР состоит в организации шифрованного туннеля, внутри которого будет работать протокол РРР.

GRE не единственный протокол транспортного (согласно модели OSI) уровня, используемый в РРТР - для организации управляющего канала РРТР использует протокол TCP (порт 1723).

В реализации Microsoft поддерживаются следующие методы аутентификации: PAP, CHAP, SPAP, MSCHAPvl, MSCHAP v2, EAR Несмотря на наличие ряда «врожденных» дефектов, о которых я еще скажу далее, данный протокол до сих пор активно используется многими организациями благодаря тому, что до появления L2TP/IPSEC это был единственный VPN-протокол, поддержка которого была встроена в ОС Windows.

Итак, как настроить РРТР VPN таким образом, чтобы обеспечить максимально возможный для данного протокола уровень безопасности? Думаю, что Конечно, уровень безопасности протокола IPSEC на порядок выше, чем РРТР, однако есть один нюанс, который позволяет и РРТР от Microsoft отстоять свое право на существование. И вот в чем он заключается.

Свет в конце туннеля

Главная уязвимость РРТР на сегодняшний день заключается в слабости алгоритмов парольной аутентификации (MSCHAP, MSCHAPv2), а также в том, что при использовании этих алгоритмов сессионные ключи МРРЕ получаются из пользовательского пароля. Ведь редкий пользователь установит себе пароль типа «3hEML@4rj897#KJK$$», его будет сложновато запомнить, а вот, например, пароль «boomer» запомнить легко. А наличие простого пароля хотя бы у одного пользователя делает возможным проникновение злоумышленника во внутреннюю сеть организации.

 

Хостинг
Home


www.ost-host.ru