Point-to-Point Tunneling Protocol (PPTP) er en VPN-protokol, der bruges til at sikre forbindelsen mellem Deres enhed og en VPN-server. Som en af de ældste VPN-protokoller er PPTP plaget af adskillige sikkerhedsproblemer og betragtes nu som forældet.

Til trods for dette betyder dens brede kompatibilitet med et stort udvalg af ældre software og hardware, dens nemme konfiguration, dens lette karakter samt de høje omkostninger for virksomheder ved at opgradere deres gamle PPTP-intranet-VPN-systemer, at protokollen i 2021 fortsat er i udbredt brug.

Hvad er en VPN-protokol?

VPN-protokollen er en blanding af transmissionsprotokoller og krypteringsstandarder, der etablerer en sikker forbindelse mellem Deres enhed og en VPN-server, og krypterer data, mens de overføres mellem dem.

En VPN-protokol bør sikre tre ting:

  • Godkendelse – forhindrer uautoriserede brugere i at oprette forbindelse til VPN-serveren
  • Fortrolighed – brug af kryptering til at sikre, at ingen kan få adgang til (“sniffe”) indholdet af datapakker, der sendes over VPN-netværket
  • Integritet – registrerer, om der på nogen måde er blevet manipuleret med de overførte data

VPN-protokoller, der bruges i dag, omfatter:

  • PPTP
  • L2TP/IPsec
  • IKEv2 (/IPsec)
  • OpenVPN
  • WireGuard®
  • SSTP
  • SoftEther
  • Cisco AnyConnect (og dens open source-variant OpenConnect) – disse protokoller bruges næsten udelukkende af virksomheders VPN-intranet og ikke af kommercielle VPN-tjenester såsom Proton VPN.

Få mere at vide om VPN-protokoller

Få mere at vide om WireGuard

Hvad er PPTP VPN?

Historie

Specifikationen for PPTP blev udviklet af et konsortium stiftet af Microsoft og var designet til at oprette VPN-forbindelser over opkaldsforbindelser (dial-up-netværk), og den blev udgivet i 1999. Microsoft tilføjede hurtigt support til PPTP i Windows 95, hvilket resulterede i, at det hurtigt blev standard-VPN-protokollen for virksomheders intranet overalt.

Support

I løbet af de seneste 20+ år er support til PPTP blevet indbygget i næsten alle VPN-kompatible platforme, og det understøttes fortsat indbygget af Windows 11, Android 12, de fleste Linux-distributioner og langt størstedelen af VPN-kompatible routere.

Apple fjernede(nyt vindue) dog support til PPTP fra iOS 10+ og macOS 10.12 Sierra i 2018 og frarådede brugen af det på ældre versioner af sine operativsystemer.

Nyere versioner af Chrome OS understøtter ikke PPTP direkte, men det er muligt at konfigurere PPTP-forbindelser ved hjælp af Android-undersystemet på Chromebooks, der understøtter Google Play Store.

Sådan fungerer det

PPTP is en tunnelprotokol(nyt vindue) og ikke i sig selv en komplet VPN-protokol. Kryptering og godkendelse håndteres af Point-to-Point Protocol(nyt vindue) (PPP), men PPP indeholder ingen routing-mekanisme til at dirigere pakker til deres destination.

PPTP etablerer en TCP-forbindelse til VPN-serveren over port 1723 og genpakker PPP IP-pakkerne ved hjælp af Generic Routing Encapsulation(nyt vindue) (GRE). Disse pakker er krypteret med Microsoft Point-to-Point Encryption(nyt vindue) (MPPE), som bruger en RSA RC4-stream-cipher(nyt vindue) med en maksimal nøglestørrelse på 128-bit.

Godkendelse opnås normalt ved hjælp af MS-CHAP (nu v2)-protokollen. (Det er muligt(nyt vindue) at bruge den mere sikre AEP-TLS, men dette indebærer implementering af et servercertifikatsystem, hvilket i høj grad ophæver fordelene ved at bruge PPTP i første omgang).

Hastighed

PPTP er en meget enkel og let VPN-protokol. Dette giver en god hastighedsydeevne (især på enheder med lav processkraft) og en god batterilevetid på mobilenheder. Dette gælder især sammenlignet med den meget mere sikre (men også mere besværlige) OpenVPN-protokol.

Sikkerhed

PPTP er kendt for at have adskillige kritiske sikkerhedsproblemer. Et af de mest alvorlige af disse er muligheden for uindkapslet MS-CHAP v2-godkendelse, som kan gøre det muligt for en angriber at udnytte kryptografiske svagheder til at få fat i en brugers legitimationsoplysninger.

Ved at bruge dette exploit gør værktøjer, der først blev frigivet af kryptolegenden Moxie Marlinspike i 2012, det muligt at knække PPTP på under en dag(nyt vindue). Denne fejl fik Microsoft selv til at anbefale(nyt vindue) at bruge L2TP/IP, IKEv2, IPsec eller SSTP i stedet.

I 2019 udstedte Microsoft også en »anvendelseserklæring(nyt vindue)« (Applicability Statement), hvori det bemærkes, at den godkendelsesmetode, der bruges af MS-CHAP v2, er modtagelig over for ordbogsangreb(nyt vindue). For at gøre ondt værre er den RC4-cipher, som PPTP bruger til at kryptere data, sårbar over for bit-flipping-angreb(nyt vindue).

Det kom derfor ikke som nogen stor overraskelse, da Der Spiegel(nyt vindue) i 2014 offentliggjorde dokumenter fra whistleblower Edward Snowden, som bekræftede, at USA’s NSA har få problemer med at få adgang til data, der er sikret med PPTP.

Yderst hemmeligt dias fra Edward Snowden, der beskriver, hvordan NSA nemt bryder PPTP-kryptering

Modstand mod censur

PPTP bruger TCP-port 1723, og pakker, der er indkapslet af GRE, bruger IP-protokolnummer(nyt vindue) 47, som begge er trivielle at blokere med en firewall.

Resumé

PPTP er ikke en sikker VPN-protokol og bør aldrig bruges i situationer, hvor sikkerhed er en faktor.

Dens brugervenlighed, lette karakter og næsten udbredte support betyder, at den stadig kan være nyttig i situationer, hvor sikkerhed ikke er et problem. Eksempler på anvendelsesscenarier omfatter, når du har brug for at omgå IPS-begrænsning, fjerne blokeringen af geografisk begrænsede websteder og streame Netflix-indhold, som du har abonneret på, mens du rejser i udlandet.

Hos Proton VPN mener vi dog, at denne forældede protokols sikkerhedsvagheder gør den uegnet til formålet, og at det er uansvarligt for moderne kommercielle VPN-tjenester at tilbyde PPTP som en mulighed til deres brugere.

Hos Proton VPN tilbyder vi kun kryptografisk sikre VPN-protokoller, der er implementeret med deres højeste sikkerhedsindstillinger. Disse protokoller er:

  • OpenVPN 
  • IKEv2
  • WireGuard

Ofte stillede spørgsmål

Hvilken port bruger PPTP?

PPTP bruger TCP-port 1723.

Hvad er PPTP-passthrough?

Alle routere bruger Network Address Translation (NAT) til at kortlægge indgående og udgående forbindelser til lokale enheder, der er forbundet til dem. Det er dog ikke alle routere, der forstår, hvad de skal gøre med pakker, som er blevet krypteret ved hjælp af ældre VPN-protokoller, såsom PPTP, IPSec og L2TP.

For at håndtere trafik, der bruger disse VPN-protokoller, skal en router understøtte VPN-passthrough. Hvis den ikke gør det, vil VPN-trafikken blive blokeret af routeren. Et PPTP-passthrough erstatter den grundlæggende GRE-protokol, der anvendes af PPTP, med en forbedret version, som indeholder et opkalds-id, den kan bruge til at identificere PPTP-klienter og rute deres pakker korrekt.

De fleste moderne routere indeholder et VPN-passthrough, som kan håndtere alle de gængse VPN-protokoller, der er berørt af dette problem (herunder PPTP). Derudover er moderne VPN-protokoller såsom OpenVPN, IKEv2 og Wireguard ikke påvirket af dette problem, da de er designet til at løse det.

Har jeg brug for en PPTP-klient?

De fleste VPN-kompatible enheder og operativsystemer indeholder en indbygget PPTP-VPN-klient. En væsentlig undtagelse er Apple-enheder, som ikke længere understøtter PPTP. Dette er et godt træk fra Apples side, fordi mere moderne VPN-protokoller kan gøre alt det, PPTP gør, samtidig med at de er meget mere sikre.