O Point-to-Point Tunneling Protocol (PPTP) é um protocolo VPN utilizado para proteger a ligação entre o seu dispositivo e um servidor VPN. Sendo um dos protocolos VPN mais antigos, o PPTP é afetado por múltiplos problemas de segurança e é agora considerado obsoleto.

Apesar disso, a sua ampla compatibilidade com uma vasta gama de software e hardware legados, a sua facilidade de configuração, a sua natureza leve, além do elevado custo para as empresas atualizarem os seus antigos sistemas VPN de intranet corporativa baseados em PPTP, significam que em 2021 o protocolo continua a ser amplamente utilizado.

O que é um protocolo VPN?

O protocolo VPN é uma combinação de protocolos de transmissão e padrões de encriptação que estabelecem uma ligação segura entre o seu dispositivo e um servidor VPN, encriptando os dados enquanto viajam entre eles.

Um protocolo VPN deve fornecer três coisas:

  • Autenticação – impede utilizadores não autorizados de se ligarem ao servidor VPN
  • Confidencialidade – utilização de encriptação para garantir que ninguém consegue aceder (“sniff”) ao conteúdo dos pacotes de dados enviados através da rede VPN
  • Integridade – deteta se os dados transmitidos foram adulterados de alguma forma

Os protocolos VPN utilizados atualmente incluem:

  • PPTP
  • L2TP/IPsec
  • IKEv2 (/IPsec)
  • OpenVPN
  • WireGuard®
  • SSTP
  • SoftEther
  • Cisco AnyConnect (e a sua variante de código aberto OpenConnect) – estes protocolos são utilizados quase exclusivamente por intranets VPN corporativas, e não por serviços VPN comerciais como o Proton VPN.

Saiba mais sobre protocolos VPN

Saiba mais sobre o WireGuard

O que é a VPN PPTP?

História

Desenvolvida por um consórcio fundado pela Microsoft, a especificação para o PPTP foi concebida para criar ligações VPN através de redes dial-up e foi publicada em 1999. A Microsoft adicionou rapidamente suporte para PPTP ao Windows 95, resultando em que este se tornasse rapidamente o protocolo VPN predefinido para intranets corporativas em todo o lado.

Suporte

Nos últimos mais de 20 anos, o suporte para PPTP tem sido integrado em quase todas as plataformas compatíveis com VPN, e continua a ser suportado nativamente pelo Windows 11, Android 12, pela maioria das distribuições Linux e pela grande maioria dos routers compatíveis com VPN.

No entanto, a Apple removeu(nova janela) o suporte para PPTP do iOS 10+ e do macOS 10.12 Sierra em 2018, e recomendou que não fosse utilizado em versões mais antigas dos seus sistemas operativos.

As versões recentes do Chrome OS não suportam diretamente o PPTP, mas é possível configurar ligações PPTP utilizando o subsistema Android em Chromebooks que suportam a Google Play Store.

Como funciona

O PPTP é um protocolo de tunelamento(nova janela), não sendo, por si só, um protocolo VPN completo. A encriptação e a autenticação são geridas pelo Point-to-Point Protocol(nova janela) (PPP), mas o PPP não inclui nenhum mecanismo de roteamento para direcionar os pacotes para o seu destino.

O PPTP estabelece uma ligação TCP ao servidor VPN através da porta 1723, reempacotando os pacotes IP do PPP utilizando Generic Routing Encapsulation(nova janela) (GRE). Estes pacotes são encriptados com Microsoft Point-to-Point Encryption(nova janela) (MPPE), que utiliza uma cifra de fluxo RSA RC4(nova janela) com um tamanho de chave máximo de 128 bits.

A autenticação é normalmente obtida utilizando o protocolo MS-CHAP (atualmente v2). (É possível(nova janela) utilizar o mais seguro AEP-TLS, mas isso implica a implementação de um sistema de certificados de servidor, o que anula em grande parte as vantagens de utilizar o PPTP em primeiro lugar.)

Velocidade

O PPTP é um protocolo VPN muito simples e leve. Isto permite um bom desempenho de velocidade (especialmente em dispositivos com baixo poder de processamento) e uma boa autonomia de bateria em dispositivos móveis. Isto é especialmente verdade quando comparado com o protocolo OpenVPN, que é muito mais seguro (mas também mais pesado).

Segurança

O PPTP é conhecido por ter inúmeros problemas críticos de segurança. Um dos mais graves é a possibilidade de autenticação MS-CHAP v2 não encapsulada, o que pode permitir que um atacante explore vulnerabilidades criptográficas para obter credenciais de utilizador.

Utilizando esta vulnerabilidade, as ferramentas lançadas pela primeira vez pela lenda da criptografia Moxie Marlinspike em 2012 permitem que o PPTP seja quebrado em menos de um dia(nova janela). Esta falha levou a própria Microsoft a recomendar(nova janela) a utilização de L2TP/IP, IKEv2, IPsec ou SSTP em sua substituição.

Em 2019, a Microsoft também emitiu uma “Declaração de Aplicabilidade(nova janela)”, observando que o método de autenticação utilizado pelo MS-CHAP v2 é suscetível a ataques de dicionário(nova janela). Para piorar a situação, a cifra RC4 utilizada pelo PPTP para encriptar dados é vulnerável a ataques de inversão de bits(nova janela).

Por conseguinte, foi sem grande surpresa que, em 2014, o Der Spiegel (nova janela)divulgou documentos obtidos através do denunciante Edward Snowden que confirmavam que a NSA dos Estados Unidos tem pouca dificuldade em aceder a dados protegidos por PPTP.

Slide ultrassegreto obtido de Edward Snowden que detalha como a NSA quebra facilmente a encriptação PPTP

Resistência à censura

O PPTP utiliza a porta TCP 1723 e os pacotes encapsulados por GRE utilizam o número de protocolo IP(nova janela) 47, sendo ambos triviais de bloquear utilizando uma firewall.

Resumo

O PPTP não é um protocolo VPN seguro e nunca deve ser utilizado em nenhuma situação em que a segurança seja um fator relevante.

A sua facilidade de utilização, natureza leve e suporte quase omnipresente significam que ainda pode ser útil em situações em que a segurança não é um problema. Por exemplo, os casos de utilização incluem quando necessita de contornar a limitação do IPS, desbloquear sítios web com restrições geográficas e ver em streaming conteúdos da Netflix que subscreveu enquanto viaja no estrangeiro.

No entanto, no Proton VPN acreditamos que as fragilidades de segurança deste protocolo obsoleto o tornam inadequado para o efeito, e que é irresponsável da parte dos serviços VPN comerciais modernos disponibilizarem o PPTP como opção para os seus utilizadores.

No Proton VPN, apenas disponibilizamos protocolos VPN criptograficamente seguros e implementados com as suas definições de segurança mais elevadas. Estes protocolos são:

  • OpenVPN 
  • IKEv2
  • WireGuard

Perguntas mais frequentes

Que porta utiliza o PPTP?

O PPT utiliza a porta TCP 1723.

O que é o PPTP passthrough?

Todos os routers utilizam a Tradução de Endereços de Rede (NAT) para mapear as ligações de entrada e saída para os dispositivos locais que lhes estão ligados. No entanto, nem todos os routers sabem o que fazer com pacotes que foram encriptados utilizando protocolos de VPN mais antigos, tais como PPTP, IPSec e L2TP.

Para gerir o tráfego que utiliza estes protocolos de VPN, um router tem de suportar VPN passthrough. Caso contrário, o tráfego de VPN será bloqueado pelo router. Um PPTP passthrough substitui o protocolo GRE básico utilizado pelo PPTP por uma versão melhorada que inclui um ID de chamada que pode utilizar para identificar clientes PPTP e encaminhar corretamente os seus pacotes.

A maioria dos routers modernos inclui um VPN passthrough que consegue processar todos os protocolos de VPN comuns que são afetados por este problema (incluindo o PPTP). Além disso, os protocolos de VPN modernos, tais como o OpenVPN, o IKEv2 e o WireGuard, não são afetados por este problema, visto que foram concebidos para o resolver.

Preciso de um cliente PPTP?

A maioria dos dispositivos e sistemas operativos compatíveis com VPN inclui um cliente de VPN PPTP nativo. Uma grande exceção são os dispositivos da Apple, que já não suportam o PPTP. Esta é uma boa decisão por parte da Apple, porque os protocolos de VPN mais modernos conseguem fazer tudo o que o PPTP faz, ao mesmo tempo que são muito mais seguros.