PPTP 是什么?了解 VPN 协议
PPTP(点对点隧道协议)是一种为创建虚拟专用网络(VPN)而设计的网络协议。本协议主要用于在远程用户和企业专用网络之间通过公共互联网提供安全的加密连接。PPTP VPN 在传输数据前对其进行加密,以保护隐私。与其他加密 VPN 协议一样,它也可用于解除地理限制和进行互联网审查。尽管它在过去很受欢迎,但与其他 VPN 协议相比,它现在被认为安全性较低,已基本上不再使用。此外,它在很大程度上失去了软件和设备用户的支持。本文将深入探讨“什么是 PPTP?”这一问题。
历史背景
要回答“什么是 PPTP”这个问题,我们必须回顾一下过去。PPTP 协议在 20 世纪 90 年代由 Microsoft 公司与 Ascend Communications(现为 Alcatel-Lucent)、3Com、ECI Telematics 和 USRobotics 等公司合作开发并标准化。该协议旨在通过互联网创建虚拟私人网络(VPN)。
在 20 世纪 90 年代末和 21 世纪初,PPTP 因其实施方式简单和与 Microsoft 产品的集成而成为 VPN 的热门选择。然而随著时间的推移,PPTP VPN 协议中的关键漏洞不断被发现。2012 年,MS-CHAP v2 身份验证系统中的一个漏洞被发现并公布,极大损害了该协议的声誉。这导致该协议的受欢迎程度慢慢下降,取而代之的是 L2TP/IPsec、OpenVPN、SSTP(也是 Microsoft 推出的)和 Cisco SSL VPN。
PPTP 协议的功能
-
路线推送:该功能可自动为用户端提供远程网络中的路由信息,使其能够使用内网资源。
-
TCP 和 UDP 支持: PPTP VPN 协议支持 TCP 和 UDP 流量传输,因此在传输各种类型的数据时用途广泛。
-
推送 DNS 服务器: PPTP 可以自动为客户机分配 DNS 服务器,从而简化设置过程,并确保正确、安全的名称解析,尤其是对本机域内的名称。
-
使用身份提供商: PPTP 在与目录服务集成方面非常灵活。Windows 中的 PPTP VPN 服务器与 Active Directory(Microsoft 的另一个产品)集成得很好,并为 RADIUS 提供良好的支持。由于 Active Directory 的功能,PPTP VPN 服务器可以与 LDAP 集成,允许使用现有的用户数据库及其帐户进行 VPN 访问。
-
加密算法的使用:PPTP 主要使用 MS-CHAP v2 身份验证系统和基于流密码 RC4 的 MPPE 加密算法。这两种算法目前都被认为是过时的,存在理论或实际漏洞。总之,PPTP 提供基本加密功能,但并不适合工业生产应用。
在使用 PPTP VPN 协议时,这些功能都提供灵活性、便利性和相对安全性。对用户来说,自动配置(如路由推送和 DNS 服务器推送)非常方便,对 TCP 和 UDP 的支持确保各种用途。与身份验证系统集成可为大型组织提供可扩展的解决方案,尽管存在漏洞,但加密算法能够提供基本的数据保护。
在企业领域的应用
PPTP VPN 协议开发于 20 世纪 90 年代,在 2010 年之前一直被广泛使用,成为企业的重要工具,解决过非常多的任务。它的主要功能是提供对办公室资源的远程访问。在家工作或出差的员工可以安全地连接到公司网络,使用文件服务器、数据库和其他内部应用程式。此外,拥有分支机构的公司还可以使用 PPTP VPN 协议在不同地点之间建立稳定的 VPN 连接,从而创建一个统一的网络空间。这对有地理位置分散的分支机构的企业尤为重要。
PPTP 还是在数据传输过程中确保数据保密性的工具。在公共网络或可能不可靠的网络上发送重要信息时,数据会被加密,从而降低被截获的风险。在互联网接入受限或审查严格的地区,企业可以使用 PPTP VPN 协议解除限制,允许员工在互联网上自由工作。由于与 RADIUS 或 LDAP 等认证系统集成,公司可以使用统一的帐户系统有效地管理对其资源的访问。
尽管 PPTP 简单易用、成本效益高,但由于已发现的漏洞,企业最终开始逐步淘汰 PPTP,转而使用更安全的协议。
让我们从企业用户的角度来仔细分析一下该协议的优缺点。
PPTP 协议对企业用户带来的好处
远程访问
PPTP VPN 协议允许员工从世界任何地方连接到公司网络。这对于远程工作或经常出差的人来说尤其有用。
设置简单
PPTP VPN 协议被认为是最简单的 VPN 协议之一。因此,无需对硬件、软件或专业 IT 人员进行大量投资,就能快速部署。
与 Windows 的集成
由于 PPTP VPN 协议是由 Microsoft 开发的,因此它能很好地与 Windows 系统和其他 Microsoft 软件解决方案集成整合。这就为使用 Windows 计算机的大公司提供了极大的便利。
基础的安全性
尽管 PPTP 并不是最安全的 VPN 协议,但它仍能通过加密用户端和服务器之间的流量提供基本的数据保护。
开销
过去,当其他解决方案可能更昂贵或更难以使用时,PPTP VPN 协议提供了一种经济实惠的方式来引入 VPN。
广泛的设备支持(过去)
许多移动设备、路由器和电脑预设支持 PPTP,使员工可以轻松连接到企业网络。
PPTP 协议为企业用户带来的不便
安全漏洞
PPTP VPN 协议目前的主要缺点是存在的安全漏洞。“中间人攻击”(英语:Man-in-the-middle attack)等攻击会破坏通过 PPTP VPN 隧道的流量。
过时的加密技术
PPTP 使用的标准加密基于 MPPE,与现代加密方法相比,MPPE 已被认为比较过时且不可靠。
负面展望
大多数组织已过渡到更安全的 VPN 协议,设备制造商和软件开发商也在逐步停止对 PPTP 的支持。例如,Apple 公司在 iOS 10(2016 年)中将 PPTP 排除在可用 VPN 协议之外,ExpressVPN 和 NordVPN 等公共 VPN 供应商也分别于 2023 年和 2018 年停止使用该协议。
总之,出于安全考虑,近年来 PPTP 在企业部门的使用有所减少。像 L2TP/IPsec、OpenVPN 和 WireGuard 这样的现代协议能提供更可靠的保护,已成为企业使用的首选。
PPTP 在私营部门的使用情况
PPTP 协议能够满足私人用户的某些需求,如提供家庭网络访问权或确保公共 Wi-Fi 连接的安全。然而,现在部署新的 PPTP 实例毫无意义。
其优点仅限于在旧设备(如传统家用路由器)上继续支持 PPTP 和快速设置。另一方面,其缺点依然存在:支持问题、安全级别低、不支持 iOS 和 Android 现代移动设备、缺乏混淆功能等。
PPTP 协议在家用路由器上的适用性和可用性
点对点隧道协议(PPTP)长期以来一直是 VPN 连接的标准,因此得到了包括家用路由器在内的各种设备的广泛支持。PPTP 的主要优势在于其通用性:大多数路由器,尤其是较老的型号,都内置了对该协议的支持。
易于拦截
最初的点对点隧道协议(PPTP)在设计时并没有考虑到主动阻断功能,因此很容易受到以下措施的攻击:
-
特定端口: PPTP 使用端口 1723 上的 TCP 和 GRE 协议进行操作。这些特定端口和协议很容易被网络过滤器识别和阻止。
-
流量特征: PPTP 流量模式可通过深度数据包检测(DPI)进行检测,从而有针对性地阻止 VPN 连接。
-
缺乏混淆: 与其他一些 VPN 协议不同,PPTP 缺乏内置的混淆机制,这种机制可以隐藏或改变其流量特征,使拦截系统不易察觉。
由于这些特点,PPTP 很容易被国家或企业防火墙以及其他网络流量过滤系统拦截。
PPTP 设置
虽然 PPTP 在 Windows 上的整合仍然存在,但其他大多数系统(如 iOS、Android 和 macOS)已不再支持 PPTP。关于 Windows,以下是设置用户端连接的分步指南:
在 Windows 上安装并配置 PPTP 连接的步骤
VPN 连接 PPTP 的安装和配置可能因操作系统版本而异,但可以按照一些基本步骤进行。以下是在 Windows 计算机上设置 PPTP 的一般步骤:
-
开启控制面板:
- 进入「控制面板」→「网络和 Internet」→「网络和共享中心」
-
创建新连接
- 点击「设置新连接或网络」
- 选择「连接到工作场所」,然后点击「下一步」
- 选择「使用我的互联网连接(VPN)」
-
输入服务器信息
- 输入要连接的服务器地址(通常由 VPN 提供商分配)
- 为连接命名(如「我的 VPN」)
-
输入用户凭证:
- 输入由 VPN 提供商分配的您的凭证(用户名和密码)
-
额外连接设置:
- 右键单击新创建的 VPN 连接,选择「属性」
- 前往「安全性」分页
- 设置 VPN 类型为「PPTP」
- 选择「允许加密」(如可以选择)
-
连接到 VPN:
- 返回「网络和共享中心」,点击 VPN 连接,然后点击「连接」
-
验证连接
- 连接成功后,连接状态将变为「已连接」
安全问题
多年来,已发现 PPTP 协议存在多个漏洞,严重影响了其安全性:
MS-CHAP v2
PPTP 通常使用 MS-CHAP v2 进行身份验证,虽然与原来的 MS-CHAP 相比有了改进,但该协议仍然容易受到某些攻击。例如,在“中间人攻击”攻击下,该协议可能被迫恢复到原始版本的 MS-CHAP,而原始版本的 MS-CHAP 很容易被破解。
RC4 加密
PPTP 采用 RC4 加密算法,该算法被认为已经过时,容易受到各种攻击。
数据认证问题
目前,PPTP 不提供数据来源验证,也就是说,它不能保证数据在发送方和接收方之间的传输过程中没有经过任何改动。
使用 PPTP 协议的建议
-
避免在关键应用程序中使用 PPTP。由于 PPTP 存在众所周知的漏洞,因此不建议将其用于传输机密信息。
-
使用防火墙限制服务器的访问。如果有 PPTP 服务器,则应限制只能从已知和受信任的 IP 地址访问该服务器。
-
考虑过渡到更现代的 VPN 协议。探索改用 IPsec、OpenVPN 或 WireGuard 等更安全、更现代协议的可能性。
PPTP 性能
与 OpenVPN 或 WireGuard 等更现代的协议不同,PPTP 使用的加密算法不会对处理器造成很大负荷,因此在旧式路由器等较老硬件上可以达到更高的加密/解密速度。
在硬件支持现代加密算法(如 AES)的新硬件上,PPTP 不太可能比 OpenVPN、IPsec 或 WireGuard 更有优势。
与其他协议相比
由于上述原因,将 PPTP 与现代 VPN 协议在速度和加密可靠性方面进行比较没有多大意义,因为它在各项指标上都落后于现代 VPN 协议。
不过,可以说在其鼎盛时期,尤其是在 Windows 环境中,PPTP 比任何现代 VPN 协议都拥有更广泛的设备支持、部署简便性以及与其他系统的集成性。
PPTP 已死,SSTP 万岁?
2008 年,Microsoft 推出了名为 SSTP 的新 VPN 协议。它使用 SSL/TLS 传输流量,预设情况下通过 443 端口的 TCP 运行,使其类似于普通的 HTTPS 流量。由于 HTTPS 流量在大多数网络环境中都是允许的,因此 SSTP 可以通过大多数防火墙和代理服务器,而其他协议可能会被阻止。
协议的技术功能
- SSTP 使用 SSL/TLS 传输流量(最高版本 1.3)。
- 服务器验证通常使用 SSL/TLS 证书进行。这可确保客户端连接到真正的服务器,而不是恶意服务器。
- SSTP 支持多种用户端身份验证方法,包括 EAP(可扩展身份验证协议)和 MS-CHAP v2。 这允许使用不同的身份验证方案,如证书、用户账户甚至一次性密码。
- 服务器和客户端可以相互验证,从而提高连接的安全性。
它的主要缺点是无法通过 UDP 工作(TCP-over-TCP 会随著网络质量的下降而迅速降级),而且平台支持有限。由于这些原因,SSTP 成为 Windows 环境中 PPTP 的一个不错的替代品(与 L2TP/IPsec 并列),但它并没有复制其前身的成功。
总结
既然您现在知道了 PPTP 是什么,就不难理解它在 VPN 历史上的重要地位。它是这一领域的先驱之一,引入了许多技术创新,这些创新成为了行业标准,并一直沿用至今。正因为如此,再加上其简易的设置和 Microsoft 等主要厂商的积极支持,PPTP 在其鼎盛时期几乎是无与伦比的。
然而,与许多其他技术一样,PPTP 也无法避免跟不上时代的命运。随著时间的推移,PPTP 的安全漏洞逐渐显露出来,于是陆陆续续出现了 OpenVPN 和 IPsec 等更现代、更安全的协议。
如今,PPTP 就像技术博物馆里的一件展品,提醒我们 VPN 时代是如何开始的。使用 PPTP 的理由很少,通常是在特殊情况下出于历史原因。对于所有新任务,我们建议考虑使用更现代、更安全的方式。
