O Point-to-Point Tunneling Protocol (PPTP) é um protocolo de VPN usado para proteger a conexão entre o seu dispositivo e um servidor VPN. Um dos protocolos de VPN mais antigos, o PPTP sofre com múltiplos problemas de segurança e hoje é considerado obsoleto.

Apesar disso, sua ampla compatibilidade com uma enorme variedade de softwares e hardwares antigos, sua facilidade de configuração, sua natureza leve, além do alto custo para as empresas fazerem upgrade de seus antigos sistemas de VPN de intranet corporativa baseados em PPTP, significam que, em 2021, o protocolo continua sendo amplamente utilizado.

O que é um protocolo de VPN?

O protocolo de VPN é uma mistura de protocolos de transmissão e padrões de criptografia que estabelecem uma conexão segura entre o seu dispositivo e um servidor VPN, e criptografa os dados enquanto eles trafegam entre eles.

Um protocolo de VPN deve fornecer três coisas:

  • Autenticação – impede que usuários não autorizados se conectem ao servidor VPN
  • Confidencialidade – o uso de criptografia para garantir que ninguém consiga acessar (“interceptar”) o conteúdo dos pacotes de dados enviados pela rede VPN
  • Integridade – detecta se os dados transmitidos foram de alguma forma adulterados

Os protocolos de VPN usados hoje incluem:

  • PPTP
  • L2TP/IPsec
  • IKEv2 (/IPsec)
  • OpenVPN
  • WireGuard®
  • SSTP
  • SoftEther
  • Cisco AnyConnect (e sua variante de código aberto OpenConnect) – esses protocolos são usados quase exclusivamente por intranets de VPN corporativas, e não por serviços de VPN comerciais, como o Proton VPN.

Saiba mais sobre os protocolos de VPN

Saiba mais sobre o WireGuard

O que é PPTP VPN?

Histórico

Desenvolvido por um consórcio fundado pela Microsoft, a especificação do PPTP foi projetada para criar conexões VPN em redes discadas e foi publicada in 1999. A Microsoft adicionou rapidamente o suporte ao PPTP no Windows 95, com o resultado de que ele rapidamente se tornou o protocolo de VPN padrão para intranets corporativas em todos os lugares.

Suporte

Nos últimos mais de 20 anos, o suporte ao PPTP foi integrado a quase todas as plataformas compatíveis com VPN, e ele continua sendo suportado nativamente pelo Windows 11, Android 12, pela maioria das distribuições Linux e pela grande maioria dos roteadores compatíveis com VPN.

A Apple, no entanto, removeu(nova janela) o suporte ao PPTP do iOS 10+ e do macOS 10.12 Sierra em 2018, e recomendou que ele não fosse usado em versões mais antigas de seus sistemas operacionais.

As versões recentes do Chrome OS não oferecem suporte direto ao PPTP, mas é possível configurar conexões PPTP usando o subsistema Android em Chromebooks compatíveis com a Google Play Store.

Como funciona

O PPTP é um protocolo de tunelamento(nova janela) e não, por si só, um protocolo de VPN completo. A criptografia e a autenticação são tratadas pelo Point-to-Point Protocol(nova janela) (PPP), mas o PPP não inclui nenhum mecanismo de roteamento para direcionar os pacotes ao seu destino.

O PPTP estabelece uma conexão TCP com o servidor VPN pela porta 1723, reempacotando os pacotes IP do PPP usando Generic Routing Encapsulation(nova janela) (GRE). Esses pacotes são criptografados com o Microsoft Point-to-Point Encryption(nova janela) (MPPE), que usa uma cifra de fluxo RSA RC4(nova janela) com um tamanho de chave máximo de 128 bits.

A autenticação geralmente é realizada por meio do protocolo MS-CHAP (hoje v2). (É possível(nova janela) usar o AEP-TLS, que é mais seguro, mas isso envolve a implementação de um sistema de certificados no servidor, o que anula em grande parte as vantagens de usar o PPTP para começar.)

Velocidade

O PPTP é um protocolo de VPN muito simples e leve. Isso proporciona um bom desempenho de velocidade (especialmente em dispositivos com baixo poder de processamento) e uma boa duração de bateria em dispositivos móveis. Isso é especialmente verdadeiro quando comparado ao protocolo OpenVPN, que é muito mais seguro (mas também mais complexo).

Segurança

O PPTP é conhecido por ter vários problemas críticos de segurança. Um dos mais graves é a possibilidade de autenticação MS-CHAP v2 não encapsulada, o que pode permitir que um invasor explore vulnerabilidades criptográficas para obter credenciais de usuário.

Usando essa vulnerabilidade, ferramentas lançadas pela lenda da criptografia Moxie Marlinspike em 2012 permitem que o PPTP seja decifrado em menos de um dia(nova janela). Essa falha levou a própria Microsoft a recomendar(nova janela) o uso de L2TP/IP, IKEv2, IPsec ou SSTP em seu lugar.

Em 2019, a Microsoft também emitiu uma “Declaração de Aplicabilidade(nova janela)”, observando que o método de autenticação usado pelo MS-CHAP v2 é suscetível a ataques de dicionário(nova janela). Para piorar a situação, a cifra RC4 usada pelo PPTP para criptografar dados é vulnerável a ataques de inversão de bits (bit-flipping)(nova janela).

Portanto, não foi nenhuma surpresa quando, em 2014, o Der Spiegel (nova janela)divulgou documentos obtidos pelo denunciante Edward Snowden que confirmaram que a NSA dos Estados Unidos quase não tem problemas para acessar dados protegidos pelo PPTP.

Slide ultrassecreto obtido de Edward Snowden detalhando como a NSA quebra facilmente a criptografia PPTP

Resistência à censura

O PPTP usa a porta TCP 1723, e os pacotes encapsulados por GRE usam o número de protocolo IP(nova janela) 47, ambos sendo fáceis de bloquear usando um firewall.

Resumo

O PPTP não é um protocolo de VPN seguro e nunca deve ser usado em qualquer situação em que a segurança seja um fator importante.

Sua facilidade de uso, natureza leve e suporte quase onipresente significam que ele ainda pode ser útil em situações em que a segurança não é um problema. Por exemplo, os casos de uso incluem quando você precisa contornar a limitação de velocidade do provedor de internet (ISP), desbloquear sites com restrição geográfica e fazer streaming de conteúdo da Netflix que você assina ao viajar para o exterior.

No entanto, no Proton VPN, acreditamos que as falhas de segurança desse protocolo obsoleto o tornam inadequado para o seu propósito, e que é irresponsável por parte dos serviços de VPN comerciais modernos oferecer o PPTP como uma opção aos seus usuários.

No Proton VPN, oferecemos apenas protocolos de VPN criptograficamente seguros, implementados em suas configurações de segurança mais altas. Esses protocolos são:

  • OpenVPN 
  • IKEv2
  • WireGuard

Perguntas frequentes

Qual porta o PPTP usa?

O PPTP usa a porta TCP 1723.

O que é o passthrough PPTP?

Todos os roteadores usam a Tradução de Endereço de Rede (NAT) para mapear conexões de entrada e saída para os dispositivos locais que estão conectados a eles. No entanto, nem todos os roteadores sabem o que fazer com pacotes que foram criptografados usando protocolos VPN mais antigos, como PPTP, IPSec e L2TP.

Para lidar com o tráfego que usa esses protocolos VPN, o roteador deve oferecer suporte ao passthrough de VPN. Se não oferecer, o tráfego de VPN será bloqueado pelo roteador. O passthrough PPTP substitui o protocolo GRE básico usado pelo PPTP por uma versão aprimorada que inclui um ID de chamada que ele pode usar para identificar clientes PPTP e rotear seus pacotes corretamente.

A maioria dos roteadores modernos inclui um passthrough de VPN que pode lidar com todos os protocolos VPN comuns afetados por esse problema (incluindo o PPTP). Além disso, os protocolos VPN modernos, como OpenVPN, IKEv2 e WireGuard, não são afetados por esse problema, pois foram projetados para solucioná-lo.

Preciso de um cliente PPTP?

A maioria dos dispositivos e sistemas operacionais compatíveis com VPN inclui um cliente VPN PPTP nativo. Uma grande exceção são os dispositivos da Apple, que não oferecem mais suporte ao PPTP. Essa é uma boa decisão por parte da Apple, pois protocolos VPN mais modernos podem fazer tudo o que o PPTP faz, além de serem muito mais seguros.