Point-to-Point Tunneling Protocol (PPTP) คือโปรโตคอล VPN ที่ใช้เพื่อเพิ่มความปลอดภัยให้กับการเชื่อมต่อระหว่างอุปกรณ์และเซิร์ฟเวอร์ VPN ในฐานะที่เป็นหนึ่งในโปรโตคอล VPN ที่เก่าแก่ที่สุด PPTP จึงประสบปัญหาด้านความปลอดภัยหลายประการ และในปัจจุบันถือว่าล้าสมัยแล้ว
อย่างไรก็ตาม ด้วยความสามารถในการเข้ากันได้ในวงกว้างกับซอฟต์แวร์และฮาร์ดแวร์รุ่นเก่าที่มีอยู่อย่างหลากหลาย ความง่ายในการตั้งค่า ความเบาบาง ตลอดจนค่าใช้จ่ายที่สูงสำหรับธุรกิจในการอัปเกรดระบบ VPN อินทราเน็ตขององค์กรที่เป็น PPTP แบบเก่า ส่งผลให้โปรโตคอลนี้ยังคงมีการใช้งานอย่างแพร่หลายในปี 2021
โปรโตคอล VPN คืออะไร?
โปรโตคอล VPN คือการผสมผสานระหว่างโปรโตคอลการรับส่งข้อมูลและมาตรฐานการเข้ารหัสลับที่สร้างการเชื่อมต่อที่ปลอดภัยระหว่างอุปกรณ์และเซิร์ฟเวอร์ VPN รวมถึงเข้ารหัสข้อมูลในขณะที่เดินทางระหว่างกัน
โปรโตคอล VPN ควรมีคุณสมบัติสามประการดังนี้:
- การยืนยันตัวตน – ป้องกันไม่ให้ผู้ใช้ที่ไม่ได้รับอนุญาตเชื่อมต่อกับเซิร์ฟเวอร์ VPN
- การรักษาความลับ – ใช้การเข้ารหัสลับเพื่อความมั่นใจว่าไม่มีใครสามารถเข้าถึง (“ดักจับ”) เนื้อหาของแพ็กเกจข้อมูลที่ส่งผ่านเครือข่าย VPN ได้
- ความถูกต้องครบถ้วนของข้อมูล – ตรวจจับว่าข้อมูลที่รับส่งถูกแทรกแซงด้วยวิธีใดๆ หรือไม่
โปรโตคอล VPN ที่ใช้ในปัจจุบัน ได้แก่:
- PPTP
- L2TP/IPsec
- IKEv2 (/IPsec)
- OpenVPN
- WireGuard®
- SSTP
- SoftEther
- Cisco AnyConnect (และ OpenConnect ซึ่งเป็นเวอร์ชันโอเพนซอร์ส) – โปรโตคอลเหล่านี้ถูกนำมาใช้เกือบทั้งหมดโดยอินทราเน็ต VPN ขององค์กร ไม่ใช่บริการ VPN เชิงพาณิชย์ เช่น Proton VPN
เรียนรู้เพิ่มเติมเกี่ยวกับโปรโตคอล VPN
เรียนรู้เพิ่มเติมเกี่ยวกับ WireGuard
PPTP VPN คืออะไร?
ประวัติความเป็นมา
ข้อกำหนดคุณลักษณะของ PPTP ได้รับการพัฒนาโดยกลุ่มพันธมิตรที่ก่อตั้งโดย Microsoft และได้รับการออกแบบขึ้นเพื่อสร้างการเชื่อมต่อ VPN ผ่านเครือข่ายแบบ Dial-up โดยได้รับการเผยแพร่ในปี 1999 Microsoft ได้เพิ่มการรองรับ PPTP ให้กับ Windows 95 อย่างรวดเร็ว ส่งผลให้โปรโตคอลนี้กลายเป็นโปรโตคอล VPN เริ่มต้นสำหรับอินทราเน็ตขององค์กรในทุกๆ แห่งอย่างรวดเร็ว
การรองรับ
ในช่วงเวลากว่า 20 ปีที่ผ่านมา การรองรับ PPTP ได้รับการติดตั้งมาในตัวสำหรับแพลตฟอร์มที่รองรับ VPN เกือบทั้งหมด และยังคงได้รับการรองรับในตัวโดย Windows 11, Android 12, ดิสโทร Linux ส่วนใหญ่ และเราเตอร์ที่รองรับ VPN ส่วนใหญ่
อย่างไรก็ตาม Apple ได้ลบ(หน้าต่างใหม่)การรองรับ PPTP ออกจาก iOS 10 ขึ้นไป และ macOS 10.12 Sierra ในปี 2018 และไม่แนะนำให้ใช้งานโปรโตคอลนี้ในระบบปฏิบัติการเวอร์ชันเก่า
Chrome OS เวอร์ชันล่าสุดไม่รองรับ PPTP โดยตรง แต่สามารถกำหนดค่าการเชื่อมต่อ PPTP ได้โดยใช้ระบบย่อย Android บน Chromebook ที่รองรับ Google Play Store
วิธีการทำงาน
PPTP คือโปรโตคอลแบบทันเนลลิง(หน้าต่างใหม่) ซึ่งโดยตัวมันเองไม่ใช่โปรโตคอล VPN ที่สมบูรณ์แบบ การเข้ารหัสลับและการยืนยันตัวตนจะได้รับการจัดการโดย Point-to-Point Protocol(หน้าต่างใหม่) (PPP) แต่ PPP ไม่มีกลไกการกำหนดเส้นทางเพื่อนำทางแพ็กเกจข้อมูลไปยังปลายทาง
PPTP จะสร้างการเชื่อมต่อ TCP ไปยังเซิร์ฟเวอร์ VPN ผ่านพอร์ต 1723 โดยจัดแพ็กเกจ IP ของ PPP ใหม่โดยใช้ Generic Routing Encapsulation(หน้าต่างใหม่) (GRE) แพ็กเกจเหล่านี้ได้รับการเข้ารหัสลับด้วย Microsoft Point-to-Point Encryption(หน้าต่างใหม่) (MPPE) ซึ่งใช้ RSA RC4 stream cipher(หน้าต่างใหม่) ที่มีขนาดคีย์สูงสุด 128 บิต
ปกติแล้วการยืนยันตัวตนจะทำได้โดยใช้โปรโตคอล MS-CHAP (ปัจจุบันคือ v2) (เป็นไปได้(หน้าต่างใหม่)ที่จะใช้ AEP-TLS ซึ่งมีความปลอดภัยมากกว่า แต่สิ่งนี้เกี่ยวข้องกับการปรับใช้ระบบใบรับรองเซิร์ฟเวอร์ ซึ่งส่วนใหญ่จะบดบังข้อดีของการใช้ PPTP ตั้งแต่แรก)
ความเร็ว
PPTP เป็นโปรโตคอล VPN ที่เรียบง่ายและเบาบางมาก ส่งผลให้ประสิทธิภาพความเร็วดีขึ้น (โดยเฉพาะในอุปกรณ์ที่มีกำลังการประมวลผลต่ำ) และยืดอายุการใช้งานแบตเตอรี่ในอุปกรณ์เคลื่อนที่ได้เป็นอย่างดี โดยเฉพาะเมื่อเปรียบเทียบกับโปรโตคอล OpenVPN ที่มีความปลอดภัยสูงกว่ามาก (แต่ก็ยุ่งยากกว่าด้วย)
ความปลอดภัย
เป็นที่ทราบกันดีว่า PPTP มีปัญหาด้านความปลอดภัยที่ร้ายแรงหลายประการ ปัญหาที่ร้ายแรงที่สุดประการหนึ่งคือความเป็นไปได้ของการยืนยันตัวตน MS-CHAP v2 แบบไม่มีการเข้ารหัสแบบอุโมงค์ (un-encapsulated) ซึ่งช่วยให้ผู้โจมตีสามารถใช้ประโยชน์จากจุดอ่อนของการเข้ารหัสลับเพื่อรับข้อมูลยืนยันตัวตนของผู้ใช้ได้
ด้วยการใช้ช่องโหว่นี้ เครื่องมือที่เปิดตัวครั้งแรกโดย Moxie Marlinspike ผู้เป็นตำนานด้านวิทยาการเข้ารหัสลับในปี 2012 ส่งผลให้ PPTP ถูกเจาะระบบได้ภายในเวลาไม่ถึงวัน(หน้าต่างใหม่) ข้อบกพร่องนี้ทำให้ Microsoft เองได้แนะนำ(หน้าต่างใหม่)ให้เปลี่ยนไปใช้ L2TP/IP, IKEv2, IPsec หรือ SSTP แทน
ในปี 2019 Microsoft ยังได้ออก “คำแถลงความเหมาะสมในการใช้งาน(หน้าต่างใหม่)” โดยระบุว่าวิธีการยืนยันตัวตนที่ใช้โดย MS-CHAP v2 นั้นเสี่ยงต่อการโจมตีแบบเดาสุ่มจากพจนานุกรม (dictionary attack)(หน้าต่างใหม่) และที่แย่ไปกว่านั้นคือ RC4 cipher ที่ PPTP ใช้เพื่อเข้ารหัสข้อมูลก็มีความเสี่ยงต่อการโจมตีแบบกลับบิต (bit-flipping attack)(หน้าต่างใหม่) เช่นกัน
จึงไม่ใช่เรื่องน่าแปลกใจเลยที่ในปี 2014 Der Spiegel (หน้าต่างใหม่)ได้เผยแพร่เอกสารที่ได้รับจาก Edward Snowden ผู้เปิดโปงข้อมูลลับ ซึ่งยืนยันว่า NSA ของสหรัฐอเมริกาแทบไม่มีปัญหาใดๆ ในการเข้าถึงข้อมูลที่ได้รับการรักษาความปลอดภัยโดยใช้ PPTP

การต้านทานการเซ็นเซอร์
PPTP ใช้พอร์ต TCP 1723 และแพ็กเกจที่เข้ารหัสด้วย GRE จะใช้หมายเลขโปรโตคอล IP(หน้าต่างใหม่) 47 ซึ่งทั้งสองสิ่งนี้สามารถบล็อกได้ง่ายๆ โดยใช้ไฟร์วอลล์
สรุป
PPTP ไม่ใช่โปรโตคอล VPN ที่ปลอดภัย และไม่ควรนำมาใช้ในสถานการณ์ใดก็ตามที่มีปัจจัยเรื่องความปลอดภัยเข้ามาเกี่ยวข้อง
ความง่ายในการใช้งาน ลักษณะที่เบาบาง และการรองรับที่มีอยู่ทั่วไปเกือบทุกหนทุกแห่ง ส่งผลให้โปรโตคอลนี้ยังมีประโยชน์ในสถานการณ์ที่ความปลอดภัยไม่ใช่ปัญหา ตัวอย่างเช่น กรณีการใช้งานรวมถึงเมื่อจำเป็นต้องเอาชนะการจำกัดความเร็วของ IPS ปลดบล็อกเว็บไซต์ที่จำกัดตามภูมิศาสตร์ และสตรีมเนื้อหา Netflix ที่ สมัครรับข้อมูลไว้ขณะเดินทางไปต่างประเทศ
อย่างไรก็ตาม ที่ Proton VPN เชื่อว่าจุดอ่อนด้านความปลอดภัยของโปรโตคอลที่ล้าสมัยนี้ทำให้ไม่เหมาะสมกับวัตถุประสงค์การใช้งาน และถือเป็นความไม่รับผิดชอบสำหรับบริการ VPN เชิงพาณิชย์ในปัจจุบันที่จะจัดหา PPTP ให้เป็นตัวเลือกแก่ผู้ใช้
ที่ Proton VPN ให้บริการเฉพาะโปรโตคอล VPN ที่มีความปลอดภัยทางด้านวิทยาการเข้ารหัสลับซึ่งปรับใช้ด้วยการตั้งค่าความปลอดภัยสูงสุดเท่านั้น โปรโตคอลเหล่านี้ ได้แก่:
- OpenVPN
- IKEv2
- WireGuard
คำถามที่พบบ่อย
PPTP ใช้พอร์ตอะไร?
PPTP ใช้พอร์ต TCP 1723
PPTP passthrough คืออะไร
เราเตอร์ทั้งหมดใช้ Network Address Translation (NAT) เพื่อจับคู่การเชื่อมต่อเข้าและออกกับอุปกรณ์ภายในที่เชื่อมต่ออยู่ อย่างไรก็ตาม ไม่ใช่เราเตอร์ทุกเครื่องที่เข้าใจว่าต้องทำอย่างไรกับแพ็กเก็ตที่ได้รับการเข้ารหัสด้วยโปรโตคอล VPN รุ่นเก่า เช่น PPTP, IPSec และ L2TP
ในการจัดการทราฟฟิกที่ใช้โปรโตคอล VPN เหล่านี้ เราเตอร์ต้องรองรับ VPN passthrough หากไม่รองรับ ทราฟฟิก VPN จะถูกบล็อกโดยเราเตอร์ ทั้งนี้ PPTP passthrough จะแทนที่โปรโตคอล GRE พื้นฐานที่ใช้โดย PPTP ด้วยเวอร์ชันที่ได้รับการปรับปรุง ซึ่งรวมถึง call ID ที่สามารถใช้ระบุไคลเอนต์ PPTP และกำหนดเส้นทางแพ็กเก็ตได้อย่างถูกต้อง
เราเตอร์สมัยใหม่ส่วนใหญ่มาพร้อมกับ VPN passthrough ที่สามารถจัดการโปรโตคอล VPN ทั่วไปทั้งหมดที่ได้รับผลกระทบจากปัญหานี้ (รวมถึง PPTP) นอกจากนี้ โปรโตคอล VPN สมัยใหม่ เช่น OpenVPN, IKEv2 และ WireGuard จะไม่ได้รับผลกระทบจากปัญหานี้ เนื่องจากได้รับการออกแบบมาเพื่อแก้ไขปัญหานี้อยู่แล้ว
จำเป็นต้องใช้ไคลเอนต์ PPTP หรือไม่
อุปกรณ์และระบบปฏิบัติการส่วนใหญ่ที่รองรับ VPN จะมีไคลเอนต์ PPTP VPN ในตัว ข้อยกเว้นสำคัญคืออุปกรณ์ Apple ซึ่งไม่รองรับ PPTP อีกต่อไป นี่ถือเป็นความเคลื่อนไหวที่ดีของ Apple เนื่องจากโปรโตคอล VPN ที่ทันสมัยกว่าสามารถทำทุกอย่างที่ PPTP ทำได้ และยังมีความปลอดภัยสูงกว่ามากอีกด้วย






