PPTP (Point-to-Point Tunneling Protocol)

PPTP był w początkach protokołem komunikacyjnym Microsoftu, 3Com, Ascend Communications, ECL Telematics i US Robotics, poszerzającym PPP (Point-to-Point Protocol) o kilka ważnych funkcji. Swoją popularność w sieciach wirtualnych zawdzięcza PPTP systemowi operacyjnemu Windows NT Server.

Protokół PPTP umożliwia zwiększenie zasięgu wirtualnych sieci prywatnych za pośrednictwem linii telekomunikacyjnych, szyfruje wszystkie dane i pozwala na stosowanie w swoich połączeniach różnych protokołów – IP, IPX, AppleTalk itp. Jest to protokół umożliwiający bezpieczny transfer danych od klienta do serwera znajdującego się w sieci prywatnej. Ważną własnością PPTP jest możliwość tworzenia wspomnianej sieci wirtualnej VPN z wykorzystaniem sieci telefonicznej. PPTP eliminuje potrzebę stosowania linii dzierżawionych i dedykowanych serwerów komunikacyjnych po stronie przedsiębiorcy.

W większości implementacji PPTP spotyka się trzy typy urządzeń:

• klienta PPTP,
• serwer NAS,
• serwer PPTP.

Komputer, który wspiera protokół PPTP, może być łączony z serwerem PPTP na dwa sposoby: albo przy użyciu serwera NAS (Network Access Ser­ver), umieszczonego w strukturach ISP (Internet Service Provider), – serwer ten wspiera połączenia PPP, albo przez fizyczne połączenie LAN oparte na TCP/IP. Klienci PPTP, którzy chcą używać NAS rezydującego w sieci ISP, muszą mieć skonfigurowany modem i urządzenie VPN. Wynika to z potrzeby odseparowania połączenia do ISP oraz do serwera PPTP. Dostawca usług używa serwerów NAS do obsługi klientów, którzy łączą się z nim podczas uzyskiwania dostępu do Internetu za pośrednictwem protokołów SLIP lub PPP. Jednak do obsługi zagnieżdżonych klientów PPTP serwer NAS musi dostarczyć usługę PPP. Serwery NAS umieszczone w sieci ISP są tak budowane, aby mogły pomieścić dużą liczbę klientów (dial-in). Natomiast serwery PPTP w prywatnej sieci lokalnej mają wbudowane funkcje trasowania.

Protokół PPTP implementuje się wówczas, kiedy zdalnemu lub przemieszczającemu się użytkownikowi zależy na uzyskaniu dostępu do prywatnej sieci lokalnej, np. do sieci swojego przedsiębiorstwa. Usługą łączenia obciąża się zazwyczaj lokalnego dostawcę usług internetowych – ISP. Klient może być wyposażony w Windows NT Server 4.0. Bezpieczną komunikację przy udziale protokołu PPTP można podzielić na trzy etapy:

1. Połączenie i komunikacja PPP. Klient PPTP używa PPP do połączenia się z dostawcą usług przez standardową linię telefoniczną lub ISDN. Protokół PPP ustala łącze i szyfruje pakiety przenoszące dane. Klient łączy się z serwerem NAS rezydującym w sieci ISP. NAS to często FEP (Front End Processor) lub serwer połączeń wejściowych (telefoniczny) albo też serwer POP (Point-Of-Presence). Po uzyskaniu połączenia klient może wysyłać i odbierać pakiety przez Internet. NAS używa protokołu TCP/IP dla całego ruchu internetowego;
2. Sterowanie połączeniem PPTP. Przez połączenie internetowe, ustanowione za pomocą protokołu PPP, protokół PPTP tworzy drugie, sterowane połączenie od klienta PPTP do serwera PPTP. To nowe połączenie używa TCP i jest nazywane tunelem PPTP. Protokół PPTP specyfikuje serię wiadomości sterujących (kontrolnych), przesyłanych między klientem PPTP i serwerem PPTP. Wiadomość sterująca ustala, wspiera i kończy tunel PPTP. Wszystkie te wiadomości są wysyłane w pakietach sterujących, umieszczonych w datagramach TCP. Pomiędzy klientem PPTP a serwerem PPTP tworzy się jedno połączenie TCP, które jest wykorzystywane do wymiany wiadomości sterujących. Datagram TCP zawiera nagłówek PPP, nagłówek TCP, wiadomość sterującą i zakończenie (trailer).
3. Tunelowanie danych PPTP. W końcu protokół PPTP tworzy datagramy IP, zawierające zaszyfrowane pakiety, które są wysyłane przez tunel PPTP do serwera PPTP. Serwer ten usuwa ramki IP, a następnie odszyfrowuje pakiety PPP. Odszyfrowane pakiety są kierowane do sieci prywatnej.

Serwer NAS, znajdujący się w sieci ISP, może wymagać uwierzytelnienia klienta inicjującego połączenie.

Uwierzytelnienie zdalnych klientów PPTP jest przeprowadzane za pośrednictwem protokołów CHAP, MS-CHAP czy PAP.

• CHAP (Challange Handshake Authentication Protocol) – protokół uwierzytelniania użytkowników zdalnego dostępu do sieci lokalnej, bezpieczniejszy niż PAP. Serwer przed potwierdzeniem autentyczności danych użytkownika wysyła najpierw do jego urządzenia specjalny 16-znakowy kod tożsamości, nazywany unikalnym kluczem, którym funkcjonujące tam oprogramowanie szyfruje hasła użytkownika. Kod taki jest zmieniany przed każdą sesją;
• PAP (Password Authentication Protocol) – popularny protokół uwierzytelniania użytkowników podczas uaktywniania zdalnego dostępu do sieci LAN; autentyczność identyfikatora użytkownika i jego hasło musi potwierdzić oddalony ruter czy serwer dostępu. Wada tej metody, polegająca na przesyłaniu tych danych otwartym tekstem, doprowadziła do powstania CHAP.