Het Point-to-Point Tunneling Protocol (PPTP) is een VPN-protocol dat wordt gebruikt om de verbinding tussen uw apparaat en een VPN-server te beveiligen. Als een van de oudste VPN-protocollen wordt PPTP geteisterd door meerdere beveiligingsproblemen en wordt het inmiddels als verouderd beschouwd.

Desondanks zorgen de brede compatibiliteit met een groot scala aan verouderde software en hardware, de eenvoudige setup, het lichte karakter en de hoge kosten voor bedrijven om hun oude PPTP-VPN-systemen op het bedrijfsintranet te upgraden ervoor dat het protocol in 2021 veelvuldig in gebruik blijft.

Wat is een VPN-protocol?

Het VPN-protocol is een mix van transmissieprotocollen en versleutelingsstandaarden die een veilige verbinding tot stand brengen tussen uw apparaat en een VPN-server, en gegevens versleutelen terwijl ze hiertussen worden verzonden.

Een VPN-protocol moet drie dingen bieden:

  • Verificatie – voorkomt dat onbevoegde gebruikers verbinding maken met de VPN-server
  • Vertrouwelijkheid – het gebruik van versleuteling om ervoor te zorgen dat niemand toegang heeft tot de inhoud van over het VPN-netwerk verzonden datapakketten (of deze kan “sniffen”)
  • Integriteit – detecteert of verzonden gegevens op enigerlei wijze onrechtmatig bewerkt zijn

De VPN-protocollen die tegenwoordig worden gebruikt, zijn onder andere:

  • PPTP
  • L2TP/IPsec
  • IKEv2 (/IPsec)
  • OpenVPN
  • WireGuard®
  • SSTP
  • SoftEther
  • Cisco AnyConnect (en de open-sourcevariant OpenConnect) – deze protocollen worden vrijwel uitsluitend gebruikt door VPN-intranetten van bedrijven, en niet door commerciële VPN-diensten zoals Proton VPN.

Meer informatie over VPN-protocollen

Meer informatie over WireGuard

Wat is PPTP-VPN?

Geschiedenis

De specificatie voor PPTP is ontwikkeld door een consortium dat is opgericht door Microsoft en was ontworpen voor het tot stand brengen van VPN-verbindingen via inbelnetwerken en werd gepubliceerd in 1999. Microsoft voegde al snel PPTP-ondersteuning toe aan Windows 95, met als gevolg dat het snel overal het standaard VPN-protocol werd voor intranetten van bedrijven.

Ondersteuning

In de afgelopen 20+ jaar is ondersteuning voor PPTP ingebouwd in bijna elk platform dat VPN ondersteunt, en het wordt nog steeds standaard ondersteund door Windows 11, Android 12, de meeste Linux-distributies en de overgrote meerderheid van routers die geschikt zijn voor VPN.

Apple heeft de ondersteuning voor PPTP in 2018 echter verwijderd(nieuw venster) uit iOS 10+ en macOS 10.12 Sierra, en raadde het gebruik ervan op oudere versies van zijn besturingssystemen af.

Recente versies van Chrome OS ondersteunen PPTP niet rechtstreeks, maar het is mogelijk om PPTP-verbindingen te configureren met behulp van het Android-subsysteem op Chromebooks die de Google Play Store ondersteunen.

Hoe het werkt

PPTP is een tunnelingprotocol(nieuw venster) en op zichzelf geen compleet VPN-protocol. Versleuteling en verificatie worden afgehandeld door het Point-to-Point Protocol(nieuw venster) (PPP), maar PPP bevat geen routeringsmechanisme om pakketten naar hun bestemming te leiden.

PPTP brengt een TCP-verbinding tot stand met de VPN-server via poort 1723, waarbij de PPP IP-pakketten opnieuw worden verpakt met behulp van Generic Routing Encapsulation(nieuw venster) (GRE). Deze pakketten worden versleuteld met Microsoft Point-to-Point Encryption(nieuw venster) (MPPE), die gebruikmaakt van een RSA RC4-streamcijfer(nieuw venster) met een maximale sleutelgrootte van 128 bits.

Verificatie wordt meestal bereikt met behulp van het MS-CHAP-protocol (nu v2). (Het is mogelijk(nieuw venster) om het veiligere AEP-TLS te gebruiken, maar dit vereist de implementatie van een servercertificaatsysteem, wat de voordelen van het gebruik van PPTP in de eerste plaats grotendeels tenietdoet.)

Snelheid

PPTP is een zeer eenvoudig en licht VPN-protocol. Dit zorgt voor goede snelheidsprestaties (vooral op apparaten met een lage verwerkingskracht) en een goede batterijduur op mobiele apparaten. Dit geldt in het bijzonder in vergelijking met het veel veiligere (maar ook omslachtigere) OpenVPN-protocol.

Beveiliging

Het is bekend dat PPTP talrijke kritieke beveiligingsproblemen heeft. Een van de ernstigste hiervan is de mogelijkheid van niet-ingekapselde MS-CHAP v2-verificatie, waardoor een aanvaller cryptografische zwakheden kan uitbuiten om inloggegevens van gebruikers te verkrijgen.

Met behulp van deze exploit zorgen tools die in 2012 voor het eerst werden uitgebracht door crypto-legende Moxie Marlinspike ervoor dat PPTP binnen een dag kan worden gekraakt(nieuw venster). Dit lek leidde ertoe dat Microsoft zelf aanbeveelt(nieuw venster) om in plaats daarvan L2TP/IP, IKEv2, IPsec of SSTP te gebruiken.

In 2019 bracht Microsoft ook een “Applicability Statement(nieuw venster)” uit, waarin werd opgemerkt dat de door MS-CHAP v2 gebruikte verificatiemethode gevoelig is voor woordenboekaanvallen(nieuw venster). Om het nog erger te maken, is het RC4-cijfer dat door PPTP wordt gebruikt om gegevens te versleutelen kwetsbaar voor bit-flipping-aanvallen(nieuw venster).

Het was dan ook geen grote verrassing toen Der Spiegel (nieuw venster)in 2014 documenten van klokkenluider Edward Snowden openbaarde die bevestigden dat de NSA van de Verenigde Staten er weinig moeite mee heeft om toegang te krijgen tot gegevens die met PPTP zijn beveiligd.

Zeer geheime dia verkregen van Edward Snowden met details over hoe de NSA de PPTP-versleuteling eenvoudig kraakt

Weerstand tegen censuur

PPTP gebruikt TCP-poort 1723, en pakketten die door GRE zijn ingekapseld gebruiken IP-protocolnummer(nieuw venster) 47, die beide eenvoudig te blokkeren zijn met behulp van een firewall.

Samenvatting

PPTP is geen veilig VPN-protocol en mag nooit worden gebruikt in situaties waarin beveiliging een rol speelt.

Het gebruiksgemak, het lichte karakter en de vrijwel alomtegenwoordige ondersteuning betekenen dat het nog steeds nuttig kan zijn in situaties waarin beveiliging geen probleem is. Voorbeelden van toepassingen zijn wanneer u IPS-throttling moet omzeilen, geografisch beperkte websites wilt deblokkeren en Netflix-content wilt streamen waarop u bent geabonneerd terwijl u in het buitenland reist.

Bij Proton VPN zijn we echter van mening dat de beveiligingszwakheden van dit verouderde protocol het ongeschikt maken voor het beoogde doel, en dat het onverantwoord is voor moderne commerciële VPN-diensten om PPTP als optie aan hun gebruikers aan te bieden.

Bij Proton VPN bieden we alleen cryptografisch veilige VPN-protocollen aan, geïmplementeerd met hun hoogste beveiligingsinstellingen. Deze protocollen zijn:

  • OpenVPN 
  • IKEv2
  • WireGuard

Veelgestelde vragen

Welke poort gebruikt PPTP?

PPT gebruikt TCP-poort 1723.

Wat is PPTP-passthrough?

Alle routers maken gebruik van Network Address Translation (NAT) om inkomende en uitgaande verbindingen toe te wijzen aan lokale apparaten die ermee zijn verbonden. Niet alle routers begrijpen echter wat ze moeten doen met pakketten die zijn versleuteld met oudere VPN-protocollen, zoals PPTP, IPSec en L2TP.

Om verkeer dat deze VPN-protocollen gebruikt te verwerken, moet een router VPN-passthrough ondersteunen. Als dat niet het geval is, wordt het VPN-verkeer door de router geblokkeerd. Een PPTP-passthrough vervangt het basis-GRE-protocol dat door PPTP wordt gebruikt door een verbeterde versie met een call-ID die kan worden gebruikt om PPTP-clients te identificeren en hun pakketten correct te routeren.

De meeste moderne routers bevatten een VPN-passthrough die alle gangbare VPN-protocollen die door dit probleem worden beïnvloed (inclusief PPTP) kan verwerken. Daarnaast hebben moderne VPN-protocollen zoals OpenVPN, IKEv2 en WireGuard geen last van dit probleem, omdat ze zijn ontworpen om dit aan te pakken.

Heb ik een PPTP-client nodig?

De meeste apparaten en besturingssystemen die VPN ondersteunen, bevatten een ingebouwde PPTP VPN-client. Een belangrijke uitzondering zijn Apple-apparaten, die PPTP niet langer ondersteunen. Dit is een goede zet van Apple, omdat modernere VPN-protocollen alles kunnen wat PPTP doet, terwijl ze ook veel veiliger zijn.