Protokół Point-to-Point Tunneling Protocol (PPTP) to protokół VPN używany do zabezpieczania połączenia między Twoim urządzeniem a serwerem VPN. Jako jeden z najstarszych protokołów VPN, PPTP boryka się z wieloma problemami z bezpieczeństwem i jest obecnie uznawany za przestarzały.
Mimo to jego szeroka kompatybilność z ogromną gamą oryginalnego oprogramowania i sprzętu, łatwość konfiguracji, lekkość, a także wysokie koszty ulepszenia starych korporacyjnych systemów intranetowych VPN opartych na PPTP dla przedsiębiorstw sprawiają, że w 2021 roku protokół ten pozostaje w powszechnym użyciu.
Czym jest protokół VPN?
Protokół VPN to połączenie protokołów transmisji i standardów szyfrowania, które ustanawiają bezpieczne połączenie między Twoim urządzeniem a serwerem VPN oraz szyfrują dane podczas ich przesyłania między nimi.
Protokół VPN powinien zapewniać trzy rzeczy:
- Uwierzytelnianie — uniemożliwia nieautoryzowanym użytkownikom łączenie się z serwerem VPN
- Poufność — wykorzystanie szyfrowania w celu zapewnienia, że nikt nie może uzyskać dostępu („podsłuchać”) do zawartości pakietów danych przesyłanych przez sieć VPN
- Integralność — wykrywa, czy przesyłane dane zostały w jakikolwiek sposób naruszone
Używane obecnie protokoły VPN to:
- PPTP
- L2TP/IPsec
- IKEv2 (/IPsec)
- OpenVPN
- WireGuard®
- SSTP
- SoftEther
- Cisco AnyConnect (oraz jego otwartoźródłowy wariant OpenConnect) — protokoły te są używane niemal wyłącznie przez korporacyjne sieci intranet VPN, a nie przez komercyjne usługi VPN, takie jak Proton VPN.
Dowiedz się więcej o protokołach VPN
Dowiedz się więcej o WireGuard
Czym jest PPTP VPN?
Historia
Opracowana przez konsorcjum założone przez firmę Microsoft, specyfikacja PPTP została zaprojektowana z myślą o tworzeniu połączeń VPN w sieciach dial-up i została opublikowana w 1999 roku. Microsoft szybko dodał wsparcie dla PPTP w systemie Windows 95, w rezultacie czego protokół ten szybko stał się domyślnym protokołem VPN dla sieci intranetowych w firmach na całym świecie.
Wsparcie
W ciągu ostatnich ponad 20 lat wsparcie dla PPTP zostało wbudowane w niemal każdą platformę obsługującą VPN i jest ono nadal natywnie wspierane przez systemy Windows 11, Android 12, większość dystrybucji Linuksa oraz zdecydowaną większość routerów obsługujących VPN.
Jednak w 2018 roku firma Apple usunęła(nowe okno) wsparcie dla PPTP z systemów iOS 10+ oraz macOS 10.12 Sierra i odradzała jego stosowanie w starszych wersjach swoich systemów operacyjnych.
Najnowsze wersje systemu Chrome OS nie wspierają bezpośrednio PPTP, ale możliwe jest skonfigurowanie połączeń PPTP przy użyciu podsystemu Android na Chromebookach, które wspierają sklep Google Play.
Jak to działa
PPTP to protokół tunelowania(nowe okno), a nie sam w sobie kompletny protokół VPN. Szyfrowanie i uwierzytelnianie są obsługiwane przez Point-to-Point Protocol(nowe okno) (PPP), ale PPP nie zawiera mechanizmu przekierowania do kierowania pakietów do miejsca docelowego.
PPTP nawiązuje połączenie TCP z serwerem VPN przez port 1723, pakując pakiety IP PPP przy użyciu protokołu Generic Routing Encapsulation(nowe okno) (GRE). Pakiety te są szyfrowane za pomocą Microsoft Point-to-Point Encryption(nowe okno) (MPPE), który wykorzystuje szyfr strumieniowy RSA RC4(nowe okno) o maksymalnym rozmiarze klucza 128 bitów.
Uwierzytelnianie odbywa się zazwyczaj przy użyciu protokołu MS-CHAP (obecnie v2). (Istnieje możliwość(nowe okno) użycia bezpieczniejszego protokołu AEP-TLS, ale wiąże się to z wdrożeniem systemu certyfikatów serwera, co w dużej mierze niweczy korzyści płynące z używania PPTP).
Prędkość
PPTP to bardzo prosty i lekki protokół VPN. Zapewnia to dobrą wydajność pod względem prędkości (szczególnie na urządzeniach o niskiej mocy obliczeniowej) oraz długą żywotność baterii na urządzeniach mobilnych. Jest to szczególnie widoczne w porównaniu z o wiele bezpieczniejszym (ale też bardziej skomplikowanym) protokołem OpenVPN.
Bezpieczeństwo
Wiadomo, że PPTP ma liczne krytyczne problemy z bezpieczeństwem. Jednym z najpoważniejszych jest możliwość przechwycenia niekapsułkowanego uwierzytelniania MS-CHAP v2, co może pozwolić napastnikowi na wykorzystanie słabości kryptograficznych w celu uzyskania danych logowania użytkownika.
Korzystając z tego exploita, narzędzia wydane po raz pierwszy przez legendę kryptografii Moxiego Marlinspike’a w 2012 roku pozwalają na złamanie PPTP w niecały dzień(nowe okno). Ta wada skłoniła samą firmę Microsoft do rekomendowania(nowe okno) korzystania w zamian z L2TP/IP, IKEv2, IPsec lub SSTP.
W 2019 roku firma Microsoft wydała również dokument „Applicability Statement(nowe okno)”, w którym zauważono, że metoda uwierzytelniania stosowana przez MS-CHAP v2 jest podatna na ataki słownikowe(nowe okno). Co gorsza, szyfr RC4 używany przez PPTP do szyfrowania danych jest podatny na ataki typu bit-flipping(nowe okno).
Nie było więc zaskoczeniem, gdy w 2014 roku Der Spiegel (nowe okno)ujawnił dokumenty uzyskane od sygnalisty Edwarda Snowdena, które potwierdziły, że amerykańska agencja NSA nie ma większych problemów z uzyskaniem dostępu do danych zabezpieczonych przy użyciu PPTP.

Odporność na cenzurę
PPTP korzysta z portu TCP 1723, a pakiety kapsułkowane przez GRE używają protokołu IP o numerze(nowe okno) 47, z których oba są banalnie łatwe do zablokowania za pomocą zapory sieciowej.
Podsumowanie
PPTP nie jest bezpiecznym protokołem VPN i nigdy nie powinien być używany w sytuacjach, w których bezpieczeństwo odgrywa rolę.
Łatwość użycia, lekkość i niemal powszechne wsparcie sprawiają, że może on być nadal przydatny w sytuacjach, w których bezpieczeństwo nie stanowi problemu. Przykładowo, może się przydać, gdy chcesz ominąć dławienie przepustowości przez IPS, odblokować strony internetowe z ograniczeniami geograficznymi i streamować treści z serwisu Netflix, które subskrybujesz podczas podróży zagranicznych.
Jednak w Proton VPN uważamy, że luki w zabezpieczeniach tego przestarzałego protokołu czynią go niezdatnym do użytku, a oferowanie PPTP jako opcji użytkownikom przez współczesne komercyjne usługi VPN jest nieodpowiedzialne.
W Proton VPN oferujemy wyłącznie bezpieczne kryptograficznie protokoły VPN zaimplementowane przy najwyższych ustawieniach bezpieczeństwa. Te protokoły to:
- OpenVPN
- IKEv2
- WireGuard
Najczęściej zadawane pytania
Z jakiego portu korzysta PPTP?
PPT korzysta z portu TCP 1723.
Czym jest PPTP passthrough?
Wszystkie routery używają translacji adresów sieciowych (NAT) do mapowania połączeń przychodzących i wychodzących na podłączone do nich lokalne urządzenia. Jednak nie wszystkie routery wiedzą, co zrobić z pakietami, które zostały zaszyfrowane przy użyciu starszych protokołów VPN, takich jak PPTP, IPSec i L2TP.
Aby obsługiwać ruch sieciowy korzystający z tych protokołów VPN, router musi wspierać funkcję VPN passthrough. W przeciwnym razie ruch VPN będzie blokowany przez router. Funkcja PPTP passthrough zastępuje podstawowy protokół GRE używany przez PPTP jego ulepszoną wersją zawierającą identyfikator wywołania, którego może użyć do identyfikacji klientów PPTP i prawidłowego kierowania ich pakietów.
Większość nowoczesnych routerów posiada funkcję VPN passthrough, która obsługuje wszystkie powszechne protokoły VPN podatne na ten problem (w tym PPTP). Ponadto nowoczesne protokoły VPN, takie jak OpenVPN, IKEv2 i WireGuard, nie są podatne na ten problem, ponieważ zostały zaprojektowane tak, aby go rozwiązać.
Czy potrzebuję klienta PPTP?
Większość urządzeń i systemów operacyjnych obsługujących VPN posiada wbudowanego klienta PPTP VPN. Głównym wyjątkiem są urządzenia Apple, które nie wspierają już protokołu PPTP. To dobry krok ze strony Apple, ponieważ nowocześniejsze protokoły VPN potrafią wszystko to, co PPTP, a przy tym są znacznie bezpieczniejsze.






