VPN-протокол PPTP (точка-точка): что это такое и как работает

Point-to-Point Tunneling Protocol (PPTP, туннельный протокол типа точка-точка) — это один из самых ранних VPN-протоколов, который, впрочем, используется и по сей день.

Но на фоне таких современных решений, как OpenVPN, WireGuard и Lightway (собственная разработка ExpressVPN), PPTP считается устаревшим и совершенно небезопасным.

Из этого руководства вы узнаете историю PPTP, принцип работы этого протокола, его преимущества и недостатки. Также мы покажем, стоит ли использовать его современным пользователям VPN-сервисов.

Что такое PPTP?

PPTP — это VPN-протокол, то есть набор правил, управляющих работой VPN, уровнем защиты и скоростью передачи данных.

Существует несколько VPN-протоколов, и PPTP является едва ли не самым старым из всех — он с нами еще со времен Windows 95.

Во время оно бизнесу требовался способ подключать сотрудников, находящихся вне офисов, ко внутренним ресурсам с помощью коммутируемых подключений (т. н. «диал-ап»), а такие подключения не были ни защищенными, ни приватными. И тут на помощь пришел протокол PPTP:

• он создавал защищенный туннель в публичной Сети;
• он использовал протокол PPP (Point-to-Point Protocol, точка-точка) для авторизации и обработки пакетов данных;
• он применял шифрование Microsoft Point-to-Point Encryption — базовое, но все же.

Посмотрим поближе, как всё это работало.

Как работает VPN-протокол PPTP?

Как мы уже сказали, PPTP был создан в основном для удаленных работников, которым требовался безопасный доступ к сетям компаний — без физического доступа или дорогих выделенных линий. Разработчики этого протокола не задумывались про приватность отдельных пользователей — в отличие от их коллег, работавших над современными VPN-протоколами.

Вот пошаговый разбор работы PPTP:

1. Пользователь подключается к Сети. Например, удаленный работник подключается к Интернету из дома через ресурсы своего провайдера. В те героические годы для этого использовался коммутируемый доступ, но PPTP поддерживал и другие форматы интернет-подключений.
2. Устанавливается подключение к серверу сетевого доступа (NAS) провайдера: пользовательское устройство подключается к NAS-серверу, который управляет соединением на стороне провайдера.
3. Устанавливается PPP-соединение (Point-to-Point Protocol): между клиентом и NAS-сервером создается стандартное PPP-подключение, благодаря чему пользователь получает возможность отправлять и получать обычный интернет-трафик.
4. Второй виртуальный вызов совершается по PPP-соединению link: пользователь запускает вторую сессию, на этот раз к PPTP-серверу компании, находящемуся в приватной локальной сети.
5. Начинается обмен инкапсулированным трафиком: данные второго подключения отправляются как IP-пакеты, инкапсулирующие PPP-фреймы. Эти пакеты образуют собой VPN-туннель.
6. Устанавливается PPTP-туннель: вторая виртуальная сессия образует PPTP-туннель между пользователем и PPTP-сервером компании. С помощью этого туннеля удаленный работник может получить безопасный доступ к файлам, приложениям и системам, обычно доступным только в офисе.

Стоит отметить, что на фоне современных VPN-протоколов, в том числе OpenVPN и Lightway от ExpressVPN, PPTP является скорее рудиментом былых эпох, чем полноценным VPN-протоколом, так как у него нет ни намека на механизмы маршрутизации трафика к конечной точке.

Плюсы и минусы VPN-протокола PPTP

В определенных случаях у VPN-протокола PPTP есть свои преимущества. Но есть у него и характерные недостатки, которые нередко перевешивают собой любые плюсы.

Преимущества использования PPTP

Главный плюс PPTP — его простота. Он просто настраивается, и даже у начинающих пользователей с этим не возникнет проблем. В некоторых ОС он встроен по умолчанию, поэтому дополнительные приложения вам не понадобятся. Он также достаточно быстрый, так как его устаревшее шифрование не в силах замедлить трафик заметным образом, и требует для своей работы минимум ресурсов, что отлично подходит для старых устройств. Но современные протоколы, вроде Lightway, отличаются аналогичным уровнем простоты, но куда более высоким качеством работы, также они окружают трафик пользователя более надежной защитой.

Недостатки использования PPTP

• Слабое шифрование: PPTP использует алгоритм Microsoft Point-to-Point Encryption (MPPE), где применяется шифр потока RC4. Раньше он был популярен, но сейчас в нем известно немало уязвимостей, в связи с чем от его использования повсеместно отходят.
• Ненадежная аутентификация: комбинация MPPE с RC4 особенно уязвима при использовании вместе с MS-CHAPv2 — протоколом аутентификации, используемом в PPTP. Взломать MS-CHAPv2 можно буквально за несколько минут, после чего доступ к ключам шифрования получают все желающие.
• Проблемы с файрволами: PPTP использует протокол GRE (протокол общей инкапсуляции маршрутов, generic routing encapsulation), который блокируется по умолчанию многими файрволами. Из-за этого использовать PPTP со строгими сетевыми экранами или NAT-устройствами становится или очень сложно, или просто невозможно.
• Устаревшее решение: было время, когда PPTP поддерживался повсюду, но сегодня большинство основных платформ считают этот протокол устаревшим из-за множества уязвимостей. Компания Apple, к примеру, избавилась от его поддержки в macOS и iOS, многие VPN-сервисы также его не поддерживают.
• Нет дополнительных инструментов защиты: современные VPN-протоколы предлагают куда больше инструментов для защиты своих пользователей. Многие обеспечивают совершенную прямую секретность (PFS), что защищает от взлома прошлых и будущих сессий при компрометации ключа текущей сессии. PPTP же не поддерживает PFS.

Что такое PPTP pass-through, зачем это нужно?

Технология PPTP pass-through поддерживается некоторыми роутерами, особенно устройствами старых моделей. Ее задача в том, чтобы разрешить VPN-трафику, использующему протокол PPTP, «проходить» (англ. pass through) через файрволы и NAT-устройства, которые в противном случае заблокировали бы его. Таким образом, эта технология нужна, чтобы установить подключения по PPTP через роутер без ограничений.

Но полезна эта опция только в том случае, если вы используете PPTP и сталкиваетесь с проблемами, связанными с файрволами и NAT.

PPTP и другие VPN-протоколы: полное сравнение

Теперь давайте посмотрим, как соотносятся VPN-протокол PPTP и более современные решения — например, OpenVPN и IKEv2.

PPTP и OpenVPN

OpenVPN — это один из самых популярных и активно используемых VPN-протоколов на сегодняшний день. Он имеет открытый исходный код, который могут проверить или даже изменить все желающие. Множество независимых экспертов проверили OpenVPN и подтвердили, что это безопасный и надежный протокол.

На фоне PPTP OpenVPN отличается куда более надежной защитой, мощным шифрованием, безопасным механизмом аутентификации и поддержкой совершенной прямой секретности.

PPTP и L2TP/IPSec

L2TP, он же протокол туннелирования второго уровня, работает вместе с протоколом IPSec для установки защищенных VPN-подключений. Протокол L2TP управляет вопросами подключения и туннелирования, а IPSec занимается шифрованием.

Это довольно старый протокол, как и PPTP, и столь же простой в настройке и работе. L2TP/IPSec в целом более безопасный, так как IPSec поддерживает 256-битное шифрование и отличается большей стабильностью. Но есть и несколько современных протоколов, которые безопаснее, чем PPTP и L2TP/IPSec.

PPTP и IKEv2

Вторая версия протокола обмена интернет-ключами (Internet Key Exchange version 2, IKEv2), как и L2TP, является VPN-протоколом, который работает вместе с протоколом защиты IPSec. IKEv2/IPSec является одним из самых распространенных VPN-протоколов, так как он обеспечивает быстрые, защищенные и стабильные соединения, также он замечательно работает на мобильных устройствах и позволяет быстро переключаться между сетями Wi-Fi и ресурсами мобильного оператора.

В отличие от PPTP, IKEv2/IPSec использует более надежное шифрование и более качественные механизмы аутентификации, то есть лучше защищает пользовательский трафик. При этом, несмотря даже на уровень шифрования, IKEv2/IPSec быстрее и стабильнее, чем PPTP.

PPTP и WireGuard

WireGuard — это еще один популярный VPN-протокол, в чем-то похожий на OpenVPN. Его открытый исходный код также прошел множество независимых проверок, не выявивших серьезные уязвимости. WireGuard славится оптимизированной кодовой базой — чуть больше 7000 строк кода. Работать с ним очень удобно и просто.

Легковесная и оптимизированная природа WireGuard обеспечивает этому протоколу преимущество в плане скорости перед PPTP. Также он использует алгоритм шифрования, ChaCha20-256, что во всем лучше всего, что может предложить PPTP. В общем говоря, WireGuard безопаснее, стабильные и куда надежнее, чем PPTP.

Когда и почему стоит использовать PPTP?

Множество недостатков и наличие более удобных и качественных VPN-протоколов заставляет задаться вопросом о том, если ли сегодня вообще какой-то смысл в PPTP. Возможны ли ситуации, в которых этот протокол может понадобиться?

Мы не советуем использовать PPTP, если у вас есть другие варианты — и особенно в тех случаях, когда вам доступны такие современные протоколы, как Lightway и WireGuard, которые быстрее, безопаснее и проще в работе. Но если вы используете старые устройства, у которых нет доступа к новейшим разработкам из сферы VPN-протоколов, даже PPTP будет лучше, чем ничего. Он окружит ваш трафик какой-никакой защитой и приватностью, и в некоторых сетях он по-прежнему активно используется, так как совместим с устаревшими системами и прост в настройке.