1.2.1
PPTP (Point−to−Point Tunneling Protocol,
protocolo tunelizado punto a punto)
PPTP
es un protocolo de red creado por Microsoft que permite la realización de
transferencias seguras desde clientes remotos a servidores emplazados en redes
privadas, empleando para ello tanto líneas telefónicas conmutadas como
Internet. En el escenario típico de PPTP, el cliente establecerá una conexión dial−up
con el servidor de acceso a red (NAS) del proveedor del servicio, empleando
para ello el protocolo PPP. Una vez conectado, el cliente establecerá una
segunda conexión con el servidor PPTP (necesariamente Windows NT Server 4.0) el
cual estará situado en la red privada. Dicho servidor será utilizado como
intermediario de la conexión, recibiendo los datos del cliente externo y
transmitiéndolos al correspondiente destino en la red privada.
PPTP
encapsula los paquetes PPP en datagramas IP. Una vez que los datagramas llegan
al servidor PPTP, son desensamblados con el fin de obtener el paquete PPP y
desencriptados de acuerdo al protocolo de red transmitido. Por el momento, PPTP
únicamente soporta los protocolos de red IP, IPX, y NetBEUI. El protocolo PPTP
especifica además una serie de mensajes de control con el fin de establecer,
mantener y destruir el túnel PPTP. Estos mensajes son transmitidos en paquetes
de control en el interior de segmentos TCP. De este modo, los paquetes de
control almacenan la cabecera IP, la cabecera TCP, el mensaje de control PPTP y
los trailers apropiados.
La
autenticación PPTP está basada en el sistema de acceso de Windows NT, en el
cual todos los clientes deben proporcionar un par login/password. La
autenticación remota de clientes PPTP es realizada empleando los mismos métodos
de autenticación utilizados por cualquier otro tipo de servidor de acceso
remoto (RAS). En el caso de Microsoft, la autenticación utilizada para el acceso
a los RAS soporta los protocolos CHAP, MS−CHAP, y PAP. Los accesos a los
recursos NTFS o a cualquier otro tipo, precisa de los permisos adecuados, para
lo cual resulta recomendable utilizar el sistema de ficheros NTFS para los
recursos de ficheros a los que deben acceder los clientes PPTP.
En
cuanto a la encriptación de datos, PPTP utiliza el proceso de encriptación de
secreto compartido en el cual sólo los extremos de la conexión comparten la
clave. Dicha clave es generada empleando el estándar RSARC−4 a partir del
password del usuario. La longitud de dicha clave puede ser 128 bits (para
usuarios de Estados Unidos y Canada) o 40 bits (para el resto de usuarios).
Por
último, PPTP puede ser utilizado conjuntamente con cortafuegos y routers, para
lo cual deberá habilitarse el paso del tráfico destinado al puerto TCP 1723
(tráfico PPTP) y protocolo 47 (IP).
La seguridad de
PPTP ha sido completamente rota y las instalaciones con PPTP deberían ser
retiradas o actualizadas a otra tecnología de VPN. La utilidad ASLEAP puede obtener claves de sesiones PPTP
y descifrar el tráfico de la VPN.
Los ataques a PPTP no pueden ser detectados por el cliente o el servidor porque
el exploit es pasivo.
El fallo de PPTP
es causado por errores de diseño en la criptografía en los protocolos handshake LEAP de Cisco y MSCHAP-v2 de Microsoft y por las limitaciones de la longitud
de la clave en MPPE.
a actualización de PPTP para las plataformas Microsoft viene por parte de L2TP o IPsec. Su adopción es lenta porque
PPTP es fácil de configurar, mientras L2TP requiere certificados de clave pública, e IPsec es complejo y poco soportado por
plataformas antiguas como Windows 98 y Windows Me.
No hay comentarios:
Publicar un comentario