Point-to-Point Tunneling Protocol (PPTP) on VPN-protokolla, jota käytetään suojaamaan laitteenne ja VPN-palvelimen välinen yhteys. PPTP on yksi vanhimmista VPN-protokollista, ja siitä kärsivät useat tietoturvaongelmat, minkä vuoksi sitä pidetään nykyään vanhentuneena.
Tästä huolimatta sen laajamittainen yhteensopivuus useiden vanhentuneiden ohjelmistojen ja laitteistojen kanssa, helppo asennus ja keveys sekä yrityksille koituvat suuret kustannukset vanhojen PPTP-pohjaisten sisäisten VPN-järjestelmiensä päivittämisestä tarkoittavat, että vuonna 2021 protokolla on edelleen laajassa käytössä.
Mikä on VPN-protokolla?
VPN-protokolla on yhdistelmä siirtoprotokollia ja salausstandardeja, jotka muodostavat suojatun yhteyden laitteenne ja VPN-palvelimen välille ja salaavat tiedot niiden välisen tiedonsiirron aikana.
VPN-protokollan tulisi tarjota kolme asiaa:
- Tunnistautuminen – estää luvattomia käyttäjiä yhdistämästä VPN-palvelimeen
- Luottamuksellisuus – salauksen avulla varmistetaan, ettei kukaan voi käyttää (”nuuskia”) VPN-verkon kautta lähetettyjen tietopakettien sisältöä
- Eheys – havaitsee, jos siirrettyjä tietoja on sormeiltu millään tavalla
Nykyään käytössä olevia VPN-protokollia ovat muun muassa:
- PPTP
- L2TP/IPsec
- IKEv2 (/IPsec)
- OpenVPN
- WireGuard®
- SSTP
- SoftEther
- Cisco AnyConnect (ja sen avoimen lähdekoodin versio OpenConnect) – näitä protokollia käytetään lähes yksinomaan yritysten sisäisissä VPN-verkoissa, eivätkä ne ole käytössä kaupallisissa VPN-palveluissa, kuten Proton VPN:ssä.
Mikä on PPTP VPN?
Historia
Microsoftin perustaman konsortion kehittämä PPTP-määritys suunniteltiin VPN-yhteyksien luomiseen puhelinverkon kautta, ja se julkaistiin vuonna 1999. Microsoft lisäsi pian PPTP-tuen Windows 95 -käyttöjärjestelmään, minkä seurauksena siitä tuli nopeasti oletusarvoinen VPN-protokolla yritysten sisäisissä verkoissa kaikkialla.
Tuki
Viimeisten yli 20 vuoden aikana tuki PPTP-protokollalle on rakennettu lähes jokaiseen VPN-yhteensopivaan alustaan, ja Windows 11, Android 12, useimmat Linux-jakelut sekä suurin osa VPN-yhteensopivista reitittimistä tukevat sitä edelleen natiivisti.
Apple kuitenkin poisti(uusi ikkuna) tuen PPTP-protokollalta iOS 10+ -versiosta ja macOS 10.12 Sierrasta vuonna 2018 ja suositteli, ettei sitä käytettäisi sen käyttöjärjestelmien vanhemmissa versioissa.
Uusimmat Chrome OS -versiot eivät tue PPTP:tä suoraan, mutta PPTP-yhteydet on mahdollista määrittää Android-alijärjestelmän avulla Chromebookeissa, jotka tukevat Google Play Kauppaa.
Miten se toimii
PPTP on tunnelointiprotokolla(uusi ikkuna), ei itsessään täydellinen VPN-protokolla. Salauksesta ja tunnistautumisesta huolehtii Point-to-Point Protocol(uusi ikkuna) (PPP), mutta PPP ei sisällä reititysmekanismia tietopakettien ohjaamiseksi niiden määränpäähän.
PPTP muodostaa TCP-yhteyden VPN-palvelimeen portin 1723 kautta ja paketoi PPP-protokollan IP-paketit uudelleen käyttämällä Generic Routing Encapsulation(uusi ikkuna) (GRE) -protokollaa. Nämä paketit salataan Microsoft Point-to-Point Encryption(uusi ikkuna) (MPPE) -menetelmällä, joka käyttää RSA RC4 -virtasalausta(uusi ikkuna), jonka avaimen enimmäiskoko on 128 bittiä.
Tunnistautuminen tapahtuu yleensä MS-CHAP-protokollalla (nykyisin v2). (On mahdollista(uusi ikkuna) käyttää turvallisempaa AEP-TLS-protokollaa, mutta tämä edellyttää palvelimen varmennejärjestelmän käyttöönottoa, mikä pitkälti kumoaa PPTP:n käytön edut alun alkaenkin.)
Nopeus
PPTP on erittäin yksinkertainen ja kevyt VPN-protokolla. Tämä takaa hyvän suorituskyvyn (erityisesti laitteilla, joilla on vähäinen suoritusteho) ja hyvän akun keston mobiililaitteissa. Tämä pitää erityisen hyvin paikkansa verrattuna huomattavasti turvallisempaan (mutta myös raskaampaan) OpenVPN-protokollaan.
Tietoturva
PPTP-protokollassa tiedetään olevan lukuisia kriittisiä tietoturvaongelmia. Yksi vakavimmista on suojaamattoman MS-CHAP v2 -tunnistautumisen mahdollisuus, jonka avulla hyökkääjä voi hyödyntää kryptografisia heikkouksia saadakseen haltuunsa käyttäjän kirjautumistiedot.
Tätä haavoittuvuutta hyödyntämällä työkalut, jotka kryptografia-legenda Moxie Marlinspike julkaisi ensimmäisen kerran vuonna 2012, mahdollistavat PPTP-salauksen murtamisen alle vuorokaudessa(uusi ikkuna). Tämä puute sai Microsoftin itsensä suosittelemaan(uusi ikkuna) sen sijaan L2TP/IP-, IKEv2-, IPsec- tai SSTP-protokollan käyttöä.
Vuonna 2019 Microsoft antoi myös soveltuvuuslausunnon (”Applicability Statement(uusi ikkuna)”), jossa todetaan, että MS-CHAP v2:n käyttämä tunnistautumismenetelmä on altis sanakirjahyökkäyksille(uusi ikkuna). Tilannetta pahentaa se, että PPTP:n tietojen salaamiseen käyttämä RC4-salaus on haavoittuva bit-flipping-hyökkäyksille(uusi ikkuna).
Ei siksi ollut suuri yllätys, kun vuonna 2014 Der Spiegel(uusi ikkuna) julkaisi tietovuotaja Edward Snowdenilta saatuja asiakirjoja, jotka vahvistivat, että Yhdysvaltojen NSA:lla ei ole juurikaan vaikeuksia päästä käsiksi PPTP:llä suojattuihin tietoihin.

Sensuurinkestävyys
PPTP käyttää TCP-porttia 1723, ja GRE-protokollalla paketoidut tietopaketit käyttävät IP-protokollanumeroa(uusi ikkuna) 47, ja molemmat on helppo estää palomuurilla.
Yhteenveto
PPTP ei ole turvallinen VPN-protokolla, eikä sitä pitäisi koskaan käyttää tilanteissa, joissa tietoturva on tärkeä tekijä.
Sen helppokäyttöisyys, keveys ja lähes kaikkialla käytössä oleva tuki tarkoittavat, että se voi silti olla hyödyllinen tilanteissa, joissa tietoturva ei ole ongelma. Käyttötapauksia ovat esimerkiksi tilanteet, joissa teidän on ohitettava IPS-rajoitukset, poistettava maantieteellisesti rajoitettujen verkkosivustojen estot ja suoratoistettava Netflix-sisältöä, jonka olette tilanneet matkustaessanne ulkomailla.
Me Proton VPN:ssä uskomme kuitenkin, että tämän vanhentuneen protokollan tietoturvaheikkoudet tekevät siitä tarkoitukseensa sopimattoman ja että nykyaikaisilta kaupallisilta VPN-palveluilta on vastuutonta tarjota PPTP:tä vaihtoehtona käyttäjilleen.
Me Proton VPN:ssä tarjoamme vain kryptografisesti turvallisia VPN-protokollia, jotka on toteutettu niiden tiukimmilla suojausasetuksilla. Nämä protokollat ovat:
- OpenVPN
- IKEv2
- WireGuard
Usein kysytyt kysymykset
Mitä porttia PPTP käyttää?
PPTP käyttää TCP-porttia 1723.
Mikä on PPTP-läpivienti?
Kaikki reitittimet käyttävät verkko-osoitteiden muunnosta (NAT) kohdistaakseen saapuvat ja lähtevät yhteydet niihin liitettyihin paikallisiin laitteisiin. Kaikki reitittimet eivät kuitenkaan ymmärrä, mitä tehdä paketeille, jotka on salattu vanhemmilla VPN-protokollilla, kuten PPTP, IPSec ja L2TP.
Jotta reititin voi käsitellä näitä VPN-protokollia käyttävää tietoliikennettä, sen on tuettava VPN-läpivientiä. Jos se ei tue sitä, reititin estää VPN-tietoliikenteen. PPTP-läpivienti korvaa PPTP:n käyttämän tavallisen GRE-protokollan parannetulla versiolla, joka sisältää puhelutunnuksen (call ID), jota se voi käyttää PPTP-asiakasohjelmien tunnistamiseen ja niiden pakettien reitittämiseen oikein.
Useimmissa nykyaikaisissa reitittimissä on VPN-läpivienti, joka pystyy käsittelemään kaikkia yleisiä VPN-protokollia, joihin tämä ongelma vaikuttaa (mukaan lukien PPTP). Tämän lisäksi nykyaikaisiin VPN-protokolliin, kuten OpenVPN, IKEv2 ja WireGuard, tämä ongelma ei vaikuta, sillä ne on suunniteltu ratkaisemaan se.
Tarvitsenko PPTP-asiakasohjelman?
Useimmat VPN-yhteensopivat laitteet ja käyttöjärjestelmät sisältävät natiivin PPTP-VPN-asiakasohjelman. Merkittävä poikkeus ovat Applen laitteet, jotka eivät enää tue PPTP:tä. Tämä on hyvä siirto Applelta, sillä uudemmat VPN-protokollat pystyvät kaikkeen samaan kuin PPTP ja ovat samalla huomattavasti turvallisempia.






