Недавно я искал информацию об отличиях существующих VPN-технологий и наткнулся на эту статью. Здесь вкратце описаны преимущества и недостатки основных VPN, очень легко и доступно. Предлагаю сообществу перевод статьи.
VPN-провайдеры обычно предлагают на выбор несколько типов подключения, иногда как часть различных тарифных планов, а иногда в составе единого тарифного плана. Цель этой статьи – провести обзор доступных вариантов VPN и помочь понять основы используемых технологий.
Сейчас почти невозможно найти VPN-шифрование с использованием ключа длиной менее 128 бит и все сложнее найти 256-битное шифрование в предлагаемых OpenVPN-решениях, ключи которых бывают даже 2048 бит. Но что означают эти цифры на практике, 256-битное шифрование действительно более безопасное, чем 128-битное?
Краткий ответ таков: при практическом применении – нет. Это правда, что взлом 256-битного ключа потребует в 2128 больше вычислительной мощности, чем взлом 128-битного ключа. Это означает, что потребуется 3.4х10^38 операций (количество комбинаций в 128-битном ключе) – подвиг для существующих компьютеров и даже в ближайшем будущем. Если бы мы применили самый быстрый суперкомпьютер (по данным 2011 года его скорость вычислений 10.51 петафлопс), нам потребовалось бы 1.02х10^18 (около 1 миллиарда) лет, чтобы взломать 128-битный AES-ключ путем перебора.
Так как на практике 128-битный шифр не может быть взломан путем перебора, было бы правильно говорить, что ключа такой длины более чем достаточно для большинства применений. Только настоящие параноики (например, чиновники в правительстве, имеющие дело со сверхсекретными документами, которые должны оставаться в тайне в течение следующих 100 или более лет) могут использовать 256-битное шифрование (правительство США, например, использует сертифицированный NIST 256-битный AES-шифр).
Так почему же все более часто встречаются VPN-провайдеры, предлагающие 256-битное шифрование (не говоря уже о 2048-битном)? Особенно если учесть, что использование шифрования с 256-битным или более длинным ключом требует больше вычислительных ресурсов. Ответ прост – маркетинг. Проще продать VPN-услуги с более длинным ключом шифрования.
Крупные корпорации и правительства могут испытывать потребность в дополнительной безопасности, обеспечиваемой длинными ключами, но для среднего домашнего пользователя VPN с ключом 128 бит более чем достаточно.
Различные шифры имеют уязвимости, которые могут быть использованы для быстрого взлома. Также могут быть использованы специальные программы, такие как клавиатурные шпионы. Подводя итоги, можно сказать, что использование шифрования с ключом более 128 бит на самом деле вряд ли имеет значение для большинства пользователей.
Хотя PPTP обычно и используется со 128-битным шифрованием, в следующие несколько лет после включения этого протокола в состав Windows 95 OSR2 в 1999 году были найдены ряд уязвимостей. Наиболее серьезной из которых явилась уязвимость протокола аутентификации MS-CHAP v.2. Используя эту уязвимость, PPTP был взломан в течение 2 дней. И хотя компанией Microsoft была исправлена эта ошибка (за счет использования протокола аутентификации PEAP, а не MS-CHAP v.2), она сама рекомендовала к использованию в качестве VPN проколов L2TP или SSTP.
Плюсы:
L2TP/IPsec встроен во все современные операционные системы и VPN-совместимые устройства, и так же легко может быть настроен как и PPTP (обычно используется тот же клиент). Проблемы могут возникнуть в том, что L2TP использует UDP-порт 500, который может быть заблокирован файрволлом, если вы находитесь за NAT. Поэтому может потребоваться дополнительная настройка роутера (переадресация портов). Кстати, протокол SSL, например, использует TCP-порт 443, чтобы быть неотличимым от обычного HTTPS-трафика.
Протокол IPsec на данный момент не имеет никаких серьезных уязвимостей и считается очень безопасным при использовании таких алгоритмов шифрования, как AES. Однако, поскольку он инкапсулирует данные дважды, это не так эффективно, как SSL-решения (например, OpenVPN или SSTP), и поэтому работает немного медленнее.
Плюсы:
Еще одним преимуществом OpenVPN является то, что используемые для шифрования библиотеки OpenSSL поддерживают множество криптографических алгоритмов (например, AES, Blowfish, 3DES, CAST-128, Camelia и другие). Наиболее распространенные алгоритмы, которые используют VPN-провайдеры – AES и Blowfish. AES является новой технологией, и хотя оба считаются безопасными, тот факт, что он имеет 128-битный размер блока, а не 64-битный как у Blowfish, означает, что он может работать с большими (более 1Гб) файлами лучше. Различия, однако, довольно незначительные. То, как быстро работает OpenVPN, зависит от выбранного алгоритма шифрования, но, как правило, работает быстрее, чем IPsec.
OpenVPN стал технологией №1 при использовании VPN, и хотя он изначально не поддерживается операционными системами, этот протокол широко поддерживается через стороннее программное обеспечение. Совсем недавно невозможно было использовать OpenVPN на iOS и Android без джейлбрейка и рута, а сейчас появились сторонние приложения, которые частично решили эту проблему.
С этим связана другая проблема OpenVPN – гибкость может сделать его неудобным в настройке. В частности, при использовании типовой программной реализации OpenVPN (например, стандартный открытый клиент OpenVPN под Windows) необходимо не только скачать и установить клиент, но и загрузить и установить дополнительные конфигурационные файлы. Многие VPN-провайдеры решают эту проблему путем использования преднастроенных VPN-клиентов.
Плюсы:
Плюсы:
L2TP/IPsec является хорошим решением VPN, но не таким хорошим, как OpenVPN. Однако, для быстрой настройки VPN без необходимости установки дополнительного программного обеспечения остается лучшим решением, особенно для мобильных устройств, где поддержка OpenVPN по-прежнему на низком уровне.
OpenVPN является лучшим решением VPN несмотря на необходимость стороннего программного обеспечения во всех операционных системах. Это надежный, быстрый и безопасный протокол, хотя и требует немного больше усилий, чем другие протоколы.
SSTP предлагает большинство преимуществ OpenVPN, но только в среде Windows. Это означает, что он лучше интегрирован в ОС, но благодаря этому он слабо поддерживается VPN-провайдерами.
Большинство пользователей могут использовать OpenVPN на своих настольных компьютерах, возможно, дополнив его L2TP/IPsec на своих мобильных устройствах.
PPTP (от англ. Point-to-Point Tunneling Protocol ) - туннельный протокол типа точка-точка (узел-узел), позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания туннеля в незащищённой сети.
PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например Интернет. PPTP может также использоваться для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение для обслуживания туннеля.
Данный протокол менее безопасен, чем IPSec. PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation. Второе соединение на TCP-порте 1723 используется для инициации и управления GRE-соединением. PPTP сложно перенаправлять за сетевой экран, так как он требует одновременного установления двух сетевых сессий. PPTP-трафик может быть зашифрован с помощью MPPE. Для аутентификации клиентов могут использоваться различные механизмы, например - MS-CHAPv2 и EAP-TLS.
На рисунке 1 показано строение PPTP пакета. В целом - ничего особенного, в IP пакет инкапсулируется PPP кадр и GRE заголовок.
Кратко о GRE. Это протокол туннелирования, который работает на 3 уровне модели OSI. Функция GRE - инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP пакеты.
Туннелирование подразумевает три протокола:
Заголовок занимает 4 байта (рис. 2) и состоит из 2х частей:
1) 1-2 байты — flags:
- ChecksumPresent – бит 0, если равен 1, то в заголовке GRE присутствует необязательное поле контрольной суммы – Checksumfield;
- Key Present – бит 2, если равен 1, то в заголовке GRE присутствует необязательное поле, содержащее ключ – Key field;
- Sequence Number Present – бит 3, если равен 1, то в заголовке GRE присутствует необязательное поле порядкового номера – SequenceNumberfield;
- Version Number – биты 13–15. Данное поле обозначает версию реализации GRE. Значение 0 обычно используется для GRE. Point-To-Point протокол (PP2P) использует версию 1.
2) 3-4 байты. Содержат тип протокола (ethertype) инкапсулированного пакета.
Не менее важный вопрос для протокола - это вопрос MTU .
Так как PPTP - это полезная нагрузка + заголовок PPP+ GRE + заголовок IP. MTU Ethernet = 1500 байт, header IP = 20 байт, GRE = 4 байта. 1500-20-4 = 1476 байт.
В основе обмена данными по протоколу PPTP лежит управляющее соединение PPTP - последовательность управляющих сообщений, которые устанавливают и обслуживают туннель. Полное соединение PPTP состоит только из одного соединения TCP/IP, которое требует передачи эхо-команд для поддержания его открытым, пока выполняются транзакции. Ниже, на рисунке 3, указаны управляющие сообщения и их значения.
PPTP (Point-to-Point Tunneling Protocol) – это туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети.
Протокол PPTP поддерживает шифрование и инкапсуляцию многопротокольного трафика с использованием IP-заголовка для отправки по IP-сети или общедоступной IP-сети, например по Интернету. Протокол PPTP может использоваться для подключений удаленного доступа и VPN-подключений типа «сеть-сеть». При использовании Интернета в качестве общедоступной сети для VPN-подключений PPTP-сервер представляет собой VPN-сервер с поддержкой PPTP, один интерфейс которого находится в Интернете, а второй - в интрасети.
Протокол PPTP инкапсулирует PPP-кадры в IP-датаграммы для передачи по сети. Протокол PPTP использует TCP-соединение для управления туннелем и измененную версию протокола GRE с целью инкапсуляции PPP-кадров для туннелированных данных. Полезные данные инкапсулированных PPP-кадров могут быть шифрованными, сжатыми или и теми, и другими одновременно.
Кадр PPP (IP-, IPX- или Appletalk-датаграмма) заключается в оболочку с заголовком GRE (Generic Routing Encapsulation) и заголовком IP. В заголовке IP-адреса источника и приемника соответствуют VPN-клиенту и VPN-серверу.
Заголовок GRE состоит из 2 частей по 2 байта: 1-2 байты - флаги:
3-4 байты, в свою очередь, содержат тип протокола (ethertype) инкапсулированного пакета.
PPTP является наиболее часто используемым протоколом для построения VPN многие годы. Он опирается на различные методы аутентификации для обеспечения безопасности (как правило, MS-CHAP v.2). Является стандартным протокол почти во всех операционных системах и устройствах, поддерживающих VPN. Его главное преимущество заключается в том, что он использует меньше вычислительных ресурсов, следовательно обладает высокой скоростью работы.
Обычно используется со 128-битным шифрованием, в следующие несколько лет после включения этого протокола в состав Windows 95 OSR2 в 1999 году были найдены ряд уязвимостей. Наиболее серьезной из которых явилась уязвимость протокола аутентификации MS-CHAP v.2. Используя эту уязвимость, PPTP был взломан в течение 2 дней. Microsoft сама рекомендовала к использованию в качестве VPN проколов L2TP или SSTP.
Cisco первой реализовала PPTP и позже лицензировала эту технологию корпорации Microsoft.
PPTP удалось добиться популярности благодаря тому что это первый VPN протокол, поддерживаемый корпорацией Microsoft. Все версии Microsoft Windows, начиная с Windows 95 OSR2, включают в свой состав PPTP-клиент, однако существует ограничение на два одновременных исходящих соединения. А сервис удалённого доступа для Microsoft Windows включает в себя PPTP сервер.
До недавнего времени в Linux-дистрибутивах отсутствовала полная поддержка PPTP из-за опасения патентных претензий по поводу протокола MPPE. Впервые полная поддержка MPPE появилась в Linux 2.6.13. Официально поддержка PPTP была начата с версии ядра Linux 2.6.14.
Операционная система FreeBSD поддерживает PPTP протокол, используя в качестве сервера PPTP порт mpd (/usr/ports/net/mpd), используя подсистему netgraph. В качестве клиента PPTP в системе FreeBSD может выступать либо порт pptpclient (/usr/ports/net/pptpclient), либо порт mpd, работающий в режиме клиента.
Mac OS X поставляется со встроенным PPTP клиентом. Cisco и Efficient Networks продают реализации PPTP клиента для более старых версий Mac OS. КПК Palm, имеющие поддержку Wi-Fi, поставляются с PPTP клиентом Mergic.
VPN-серверы можно настроить с помощью мастера настройки сервера маршрутизации и удаленного доступа. Этот мастер позволяет настроить следующие параметры:
После выполнения этого мастера автоматически настраиваются следующие параметры маршрутизации и удаленного доступа:
Для управления с помощью политики удаленного доступа проверкой подлинности и шифрованием при виртуальных частных подключениях создайте политику удаленного доступа и настройте ее свойства следующим образом:
Затем либо удалите политики удаленного доступа, используемые по умолчанию, либо разместите их после новой политики. Эта политика удаленного доступа позволяет всем пользователям, имеющим разрешение на удаленный доступ, создавать виртуальные частные подключения.
Чтобы различать пользователей подключений удаленного доступа к сети и пользователей виртуальных частных сетей удаленного доступа, выполните следующие действия. Создайте группу Active Directory, члены которой могут создавать виртуальные частные подключения к VPN-серверу, например, группу «Пользователи_VPN». Добавьте в эту новую группу Active Directory соответствующие учетные записи пользователей.
Создайте новую политику удаленного доступа и настройте ее свойства следующим образом.
Установленные по умолчанию параметры шифрования позволяют использовать все уровни шифрования, в том числе и отсутствие шифрования. Чтобы потребовать использования шифрования, снимите флажок Без шифрования и выберите нужные уровни на вкладке Шифрование в окне параметров профиля политики удаленного доступа.
Многие пользователи наверняка слышали о таком термине, как «соединение PPTP». Некоторые даже отдаленно не представляют себе, что это такое. Однако если простым языком описывать принципы установки соединения на основе данного протокола, то понять их совсем нетрудно.
Что такое соединение PPTP?
Подключение данного типа строится на основе одноименного протокола, название которого происходит от английского point-to-pointtunnelingprotocol. Дословно это можно перевести как «туннельный протокол типа «точка-точка». Иначе говоря, это соединение между двумя абонентом посредством передачи в зашифрованном виде пакетов данных через незащищенные сети на основе TCP/IP.Тип соединения PPTP дает возможность осуществлять преобразование так называемых кадров PPP в стандартные пакеты IP, которые передаются посредством того же интернета. Считается, что сам протокол PPTP по уровню безопасности уступает другим вариантам типа IPSec. Однако, несмотря на это он имеет довольно широкое распространение. По сути, пользователь имеет дело с одной из разновидностей подключений VPN (беспроводное подключение).
Для чего нужно использовать соединение PPTP?
Сфера использования протокола PPTP довольно обширна. Прежде всего, стоит отметить, что такой вид соединения между двумя пользователями позволяет защитить информацию, а также значительно сэкономить на дальних звонках. Протокол PPTP довольно часто бывает незаменим при обеспечении связи между двумя локальными сетями посредством передачи в интернете по туннелю или защищенной линии без использования прямого соединения между ними. Это значит, что непосредственного контакта две локальные сети не имеют и в качестве посредника они используют туннель. С другой стороны туннелирование на основе протокола PPTP может использоваться при создании соединения типа клиент-сервер. При таком соединении пользовательский терминал подключается к серверу по защищенному каналу.
Реализация PPTP в различных операционных системах
Отвлечемся немного и взглянем на соединение PPTP с другой стороны. Мало кто понимал, что это такое с момента разработки данного протокола корпорацией Microsoft.В полноценном варианте впервые данный протокол был реализован компанией Cisco, но и специалисты компании Microsoft не отставали. Начиная с версии операционной системы Windows 95 OSR2, возможности создания подключения на основе протокола PPTP появились в более поздних программных продуктах, при этом они имели даже средства настройки сервера PPTP.В качестве примера далее будет рассмотрено соединение PPTP в операционной системе Windows 7.Стоит отметить, что на сегодняшний день данная операционная система считается наиболее популярной. В Linux-системах до недавнего времени полная поддержка протокола PPTP не была предусмотрена. Она появилась только в модификации 2.6.13.Официально поддержка данного протокола была заявлена в версии ядра 2.6.14. Операционные системы MacOSX и Free BSD поставляются со встроенными клиентами PPTP. КПК Palm, которые имеют поддержку беспроводного соединения Wi-Fi, оборудованы специальным клиентом Mergic.
Условия корректного соединения
Процесс использования туннелирования является довольно специфичным. Настройка соединения PPTP предполагает использование порта TCP 1723, а также в обязательном порядке протокола IPGRE с номером 47. Следовательно, настройка межсетевого экрана, если такой есть, и встроенного брэндмауэра операционной системы Windows должна быть такой, чтобы пакеты IP могли свободно проходить без ограничений. Это касается не только машин пользователей, но и локальных сетей. Такая свободная передача туннелированных данных в равной степени должна обеспечиваться на уровне провайдера. При использовании NAT на промежуточной стадии передачи данных должна быть настроена соответствующим образом обработка VPN.
PPTP: общие принципы подключения и работы
Мы рассмотрели соединение PPTP достаточно кратко. Многим, наверное, уже хоть немного понятно, что это такое. Чтобы внести полную ясность в этот вопрос, рассмотрим основные принципы функционирования протокола и связи на его основе. Также подробно рассмотрим процесс установки соединения PPTPGRE.Соединение между двумя точками устанавливается на основе обычной сессии PPP на базе протокола GRE (инкапсуляция). Второе подключение осуществляется непосредственно на порте TCP, который отвечает за инициацию и управление GRE.Сам по себе передаваемый пакет IPX состоит непосредственно из данных, которые иногда называют полезной нагрузкой, и дополнительной управляющей информации. Что же происходит на другом конце линии при получении пакета? Соответствующая программа для соединения PPTP как бы извлекает информацию, содержащуюся в пакете IPX,и отправляет ее на обработку с помощью средств, которые соответствуют собственному протоколу системы. Помимо этого, одним из важных компонентов туннельной передачи и приема основной информации является обязательное условие использования доступа с помощью комбинации «логин-пароль». Если взломать пароли и логины на стадии получения еще можно, то в процессе передачи информации по защищенному коридору или туннелю это сделать невозможно.
Средства защиты соединения
Как уже было сказано ранее, туннелирование на основе протокола PPTP не является защищенным абсолютно во всех аспектах. Если учитывать, что при шифровании данных используются такие средства, как MSCHAP-v2, EAP-TLS или даже MPEE,то можно говорить о довольно высокой степени защиты. В некоторых случаях для увеличения уровня безопасности могут быть использованы ответные звонки, при которых принимающая или передающая сторона осуществляет подключение и передачу информации программным способом.
Как настроить PPTP собственными средствами операционной системы Windows 7: параметры сетевого адаптера
В любой операционной системе семейства Windows настроить соединение PPTP достаточно просто. Как уже было сказано ранее, в качестве примера мы рассмотрим Windows 7.Прежде всего, необходимо зайти в «Центр управления сетями и общим доступом». Это можно сделать при помощи «Панели управления», или при помощи меню, вызываемого путем правого клика мыши на значке сетевого или интернет-подключения. Слева в меню находится строка для изменения параметров сетевого адаптера. Необходимо задействовать ее, а после этого путем правого клика мыши на подключении по локальной сети вызвать контекстное меню и выбрать строку свойств. В открывшемся окне необходимо использовать свойства протокола TCP/IPv4.В окне настроек необходимо прописать параметры, которые предоставлены провайдером при подключении. Как правило, устанавливается автоматическое получение адресов для DNS и IP-серверов. Необходимо сохранить выполненные изменения и вернуться к подключению по локальной сети, где необходимо проверить, активно ли оно в данный момент времени. Для этого необходимо использовать правый клик мыши. Если в верхней строке будет указано «Отключить», то значит соединение активно. В противном случае необходимо включить его.
Создание и настройка VPN
Следующим этапом является создание VPN-подключения. Для этого необходимо в разделе «Центр управления» в правой части окна использовать строку создания нового подключения. После этого необходимо выбрать подключение к рабочему месту, а после этого – использование существующего подключения к интернету.Затем необходимо отложить настройку интернет-соединения. В следующем окне необходимо указать интернет-адрес оператора VPN и указать произвольное имя. Снизу обязательно нужно поставить галочку напротив строки «Не подключаться сейчас». Поле этого снова необходимо снова ввести логин и пароль, если они предусмотрены договором на предоставление услуг, а после этого нажать на кнопку «Создать». После этого нужно выбрать в списке доступных подключений, только что созданное и нажать на кнопку свойств в новом окне. Далее необходимо действовать предельно аккуратно. В обязательном порядке на вкладке безопасности необходимо установить следующие параметры:
— тип VPN – автоматический;
— шифрование данных – необязательно;
— разрешение протоколов: CHAP и CHAP версии 2.
Теперь необходимо подтвердить выполненные изменения и перейти к окну установки соединения, где нужно нажать на кнопку подключения. Если настройки выполнены должным образом, будет выполнено подключение к интернету. Стоит ли использовать для этой цели сторонние утилиты? Пользователи по-разному реагируют на вопрос установки дополнительных PPTP серверов или клиентов. Однако большинство из них сходятся во мнении, что настройка и использование встроенного модуля Windows выглядит в плане простоты намного предпочтительнее. Конечно, можно установить что-то вроде пакета pfSense, который представляет собой межсетевой экран-маршрутизатор. Однако его «родной» клиент Multilink PPP Daemon имеет множество проблем, связанных с использованием Windows-серверов на основе PPTP в плане распределения использования протокола аутентификации между сервером и клиентом в корпоративных системах. Стоит отметить, что в домашних пользовательских терминалах таких проблем отмечено не было. Данная утилита в настройке гораздо сложнее, без использования специальных знаний указать правильные параметры или исправить регулярный «слет» пользовательского IP, невозможно. Можно попробовать некоторые другие серверные или клиентские утилиты, которые предназначены для установки соединения PPTP. Но есть ли смысл загружать систему ненужными программами, поскольку в любой операционной системе семейства Windows имеются собственные средства для этой цели? Кроме того, некоторые программные продукты в этом плане настолько сложны в настройке, что могут вызвать конфликты на физическом и программном уровне, так что лучше будет ограничиться тем, что есть.
Заключение
Это собственно все, что касается протокола PPTP, создания, настройки и использования туннельного соединения на его основе. Использование данного протокола для рядового пользователя не оправдано. Возникают законные сомнения в том, что каким-то пользователям может потребоваться защищенный канал связи. Если требуется защитить свой IP-адрес, то лучше использовать для данной цели анонимные прокси-серверы в интернете или анонимайзеры. Для обеспечения взаимодействия между локальными сетями коммерческих предприятий и других структур, то установка соединения PPTP может стать простым выходом. Такое подключение, конечно, не обеспечит на все сто безопасность, однако доля здравого смысла в его использовании есть.
Первого ноября в России начал действовать запрет на обход блокировок с помощью VPN. И многие компании, в том числе иностранные, задались вопросом, как быть организациям, использующим технологию для создания корпоративных сетей.
Как рассказали представители Госдумы, в законе имеется оговорка, согласно которой шифрование сетей можно использовать в корпоративных целях. Это означает, что компаниям не придётся тратить значительные суммы и прокладывать частные сети между своими офисами, так как установка VPN-соединения практически (а в некоторых случаях так и есть) бесплатна. Поэтому сегодня мы решили рассмотреть два способа организации VPN-соединения в корпоративной сети и несколько применяемых для этого протоколов: PPTP, L2TP/IPsec, SSTP и OpenVPN.
Идет «по умолчанию» на любой VPN-совместимой платформе и легко настраивается без дополнительного программного обеспечения. Еще одно достоинство PPTP - высокое быстродействие. Но к сожалению, PPTP недостаточно безопасен. С момента включения протокола в состав Windows 95 OSR2 в конце девяностых, раскрылись несколько уязвимостей.
Самая серьезная - это возможность неинкапсулированной аутентификации MS-CHAP v2. Этот эксплойт позволил взломать PPTP за два дня. Microsoft «залатали» дыру, перейдя на протокол аутентификации PEAP , но потом сами предложили использовать VPN-протоколы L2TP/IPsec или SSTP. Еще один момент - PPTP-подключения легко заблокировать, потому что протокол работает с одним портом номер 1723 и использует GRE-протокол .
Когда VPN-туннель установлен, PPTP поддерживает два типа передаваемых сообщений: это контрольные сообщения для поддержания и отключения VPN-соединения, а также сами пакеты данных.
L2TP не умеет шифровать проходящий через него трафик, поэтому его часто используют в связке с IPsec . Однако это приводит к появлению негативного эффекта - в L2TP/IPsec происходит двойная инкапсуляция данных, что отрицательно сказывается на производительности. Также L2TP использует пятисотый UDP-порт, который легко блокируется файрволом, если вы находитесь за NAT.
L2TP/IPsec умеет работать с шифрами 3DES или AES. Первый уязвим для атак типа meet-in-the-middle и sweet32 , поэтому сегодня редко встречается на практике. При работе с AES-шифром о крупных уязвимостях неизвестно, поэтому в теории этот протокол должен быть безопасен (при правильной реализации). Однако Джон Гилмор (John Gilmore), основатель Electronic Frontier Foundation, указал в своем посте, что IPSec мог быть специальным образом ослаблен.
Наиболее серьезная проблема с L2TP/IPsec заключается в том, что многие VPN-сервисы реализуют его недостаточно хорошо. Они используют pre-shared keys (PSK), которые можно загрузить с сайта. PSK нужны для установки соединения, потому даже если данные оказываются скомпрометированы, они остаются под защитой AES. Но атакующий может использовать PSK, чтобы выдать себя за VPN-сервер и затем подслушать зашифрованный трафик (даже инжектировать вредоносный код).
Сам SSTP не имеет криптографического функционала за исключением одной функции - речь идет о криптографическом связывании (cryptographic binding), защищающем от атаки MITM. Шифрование же данных выполняет SSL. Описание процедуры установления VPN-соединения можно найти на сайте Microsoft.
Тесная интеграция с Windows упрощает работу с протоколом и повышает его стабильность на этой платформе. Однако SSTP использует SSL 3.0 , который уязвим для атаки POODLE , что в теории сказывается на защищённости VPN-протокола.
Удаленный доступ позволяет сотрудникам компании безопасно подключаться к корпоративной сети через интернет. Особенно это важно в том случае, когда сотрудник работает не в офисе и подключается через незащищенные точки доступа, например Wi-Fi в кафе. Для организации этого соединения, устанавливается туннель между клиентом на гаджете пользователя и VPN-шлюзом в сети компании. Шлюз проводит аутентификацию, а затем предоставляет (или ограничивает) доступ к ресурсам сети.
Чтобы защитить соединение чаще всего используются протоколы IPsec или SSL. Также возможно применение протоколов PPTP и L2TP.
