Курс лекций «Проблемы безопасности в информационных технологиях»


Протоколы канального уровня PPTP, L2TP



жүктеу 4.51 Mb.
бет26/44
Дата13.09.2017
өлшемі4.51 Mb.
түріКурс лекций
1   ...   22   23   24   25   26   27   28   29   ...   44

Протоколы канального уровня PPTP, L2TP


PPTP (Point-to-Point Tunneling Protocol) — туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети. PPTP может также использоваться для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение для обслуживания туннеля.

Спецификация протокола была опубликована как «информационная» RFC2637 в 1999 году. Она не была ратифицирована IETF. Протокол считается менее безопасным, чем IPSec. PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation (GRE). Второе соединение (TCP, порт 1723) используется для инициации и управления GRE-соединением.

PPTP-трафик может быть зашифрован с помощью MPPE. Для аутентификации клиентов могут использоваться различные механизмы, наиболее безопасные из них — MS-CHAPv2 и EAP-TLS.


Рис.77 Стек протокола PPTP



Рис.78 IP дейтаграмма
Cisco первой реализовала PPTP и позже лицензировала эту технологию корпорации Microsoft. Все версии Microsoft Windows, начиная с Windows 95 OSR2, включают в свой состав PPTP-клиента, однако существует ограничение на два одновременных исходящих соединения. Сервис удалённого доступа для Microsoft Windows включает в себя PPTP сервер.


Рис.79 Туннель PPTP

Некоторое время в Linux-дистрибутивах отсутствовала полная поддержка PPTP из-за опасения патентных претензий по поводу протокола MPPE. Впервые полная поддержка MPPE появилась в Linux 2.6.13 (2005 год). Официально поддержка PPTP была начата с версии ядра Linux 2.6.14. Тем не менее, сам факт применения MPPE в PPTP фактически не обеспечивает безопасность протокола PPTP.

С точки зрения безопасности PPTP имел и имеет некоторые проблемы. PPTP неоднократно подвергался анализу безопасности, и в нём были обнаружены различные серьёзные уязвимости. Наиболее известные относятся к используемым протоколам аутентификации PPP, устройству протокола MPPE, и интеграции между аутентификациями MPPE и PPP для установки сессионного ключа. Краткий обзор некоторых известных уязвимостей протокола PPTP:


  • MSCHAP-v1 совершенно ненадёжен. Существуют утилиты для лёгкого извлечения хешей паролей из перехваченного обмена MSCHAP-v1.

  • MSCHAP-v2 уязвим к словарной атаке на перехваченные challenge-response пакеты. Существуют программы, выполняющие данный процесс.

  • В 2012 году было показано, что сложность подбора ключа MSCHAP-v2 эквивалентна подбору ключа к шифрованию DES, и был представлен онлайн-сервис, который способен восстановить ключ за 23 часа.

  • При использовании MSCHAP-v1, MPPE использует одинаковый RC4 сессионный ключ для шифрования информационного потока в обоих направлениях. Поэтому стандартным методом является выполнение XOR потоков из разных направлений вместе, благодаря чему криптоаналитик может узнать ключ.

  • MPPE использует RC4 поток для шифрования. Не существует метода для аутентификации цифробуквенного потока и поэтому данный поток уязвим к атаке с подменой битов. Злоумышленник легко может изменить поток при передаче и заменить некоторые биты, чтобы изменить исходящий поток без опасности своего обнаружения. Данная подмена битов может быть обнаружена с помощью протоколов, считающих контрольные суммы.


L2TP (Layer 2 Tunneling Protocol — протокол туннелирования второго уровня) — в компьютерных сетях туннельный протокол, использующийся для поддержки виртуальных частных сетей. Главное достоинство L2TP состоит в том, что, в отличие от, например, PPTP, этот протокол позволяет создавать туннель не только в сетях IP, но и в таких, как ATM, X.25 и Frame Relay.

Несмотря на то, что для «внешнего» пользователя L2TP действует и выглядит подобно протоколу канального уровня модели OSI, на самом деле он является протоколом сеансового уровня и использует зарегистрированный UDP-порт 1701.

Схема работы протокола L2TP представлена на рисунке ниже:


Рис.80 Схема работы L2TP
Удалённая система инициирует PPP-соединение с LAC через коммутируемую сеть PSTN. LAC прокладывает туннель для PPP-соединения через Интернет, Frame Relay или ATM к LNS, и таким образом осуществляется доступ к исходной LAN. Адреса удалённой системе предоставляются исходной LAN через согласование с PPP NCP. Аутентификация, авторизация могут быть предоставлены областью управления LAN, как если бы пользователь был непосредственно соединен с сервером сетевого доступа NAS.

LAC-клиент (узел, который исполняет L2TP) может также участвовать в туннелировании до исходной LAN без использования отдельного LAC, если компьютер, содержащая программу LAC-клиента, уже имеет соединение с Интернет. Создается «виртуальное» PPP-соединение, и локальная программа L2TP LAC формирует туннель до LNS. Как и в вышеописанном случае, адресация, аутентификация и авторизация будут обеспечены областью управления исходной LAN.

L2TP использует два вида пакетов: управляющие и информационные сообщения. Управляющие сообщения используются при установлении, поддержании и аннулировании туннелей и вызовов. Информационные сообщения используются для инкапсуляции PPP-кадров, пересылаемых по туннелю. Управляющие сообщения используют надёжный контрольный канал в пределах L2TP, чтобы гарантировать доставку. Информационные сообщения при потере не пересылаются повторно. В таблице ниже представлена структура протокола:


PPP кадры

L2TP информационные сообщения

L2TP управляющие сообщения

L2TP информационный канал (ненадёжный)

L2TP канал управления (надёжный)

Транспортировка пакетов (UDP, FR, ATM и т.д.)




Рис.81 Архитектура L2TP
Управляющее сообщение имеет порядковый номер, используемый в управляющем канале для обеспечения надёжной доставки. Информационные сообщения могут использовать порядковые номера, чтобы восстановить порядок пакетов и детектировать потерю кадров. Все коды посылаются в порядке, принятом для сетей.

В отличие от PPTP, протокол L2TP предоставляет возможность открывать между оконечными узлами сразу несколько туннелей, каждый из которых может быть назначен для отдельного приложения.

Пакеты L2TP для контрольного и информационного каналов используют один и тот же формат заголовка:



Рис.82 Формат заголовка L2TP
Необходимая процедура установления PPP-сессии туннелирования L2TP включает в себя два этапа:


  • установление управляющего канала для туннеля

  • формирование сессии в соответствии с запросом входящего или исходящего вызова.

Туннель и соответствующий управляющий канал должны быть сформированы до инициализации входящего или исходящего вызовов. L2TP-сессия должна быть установлена до того, как L2TP сможет передавать PPP-кадры через туннель.




Рис.83 PPP-туннелирование
Протокол L2TP сталкивается при своей работе с несколькими проблемами безопасности. Ниже рассмотрены некоторые подходы для решения этих проблем:


  • Концы туннеля могут опционально выполнять процедуру аутентификации друг друга при установлении туннеля. Эта аутентификация имеет те же атрибуты безопасности, что и CHAP, и обладает разумной защитой против атак воспроизведения и искажения в процессе установления туннеля. Для реализации аутентификации LAC и LNS должны использовать общий секретный ключ.

  • Обеспечение безопасности L2TP требует, чтобы транспортная среда могла обеспечить шифрование передаваемых данных, целостность сообщений и аутентификацию услуг для всего L2TP-трафика. Сам же L2TP ответственен за конфиденциальность, целостность и аутентификацию L2TP-пакетов внутри туннеля.

  • При работе поверх IP, IPSec предоставляет безопасность на пакетном уровне. Все управляющие и информационные пакеты L2TP в конкретном туннеле выглядят для системы IPSec, как обычные информационные UDP/IP-пакеты. Помимо транспортной безопасности IP, IPSec определяет режим работы, который позволяет туннелировать IP-пакеты, а также средства контроля доступа, которые необходимы для приложений, поддерживающих IPSec. Эти средства позволяют фильтровать пакеты на основе характеристик сетевого и транспортного уровней. В модели L2TP-туннеля аналогичная фильтрация выполняется на PPP-уровне или сетевом уровне поверх L2TP.



Достарыңызбен бөлісу:
1   ...   22   23   24   25   26   27   28   29   ...   44


©kzref.org 2019
әкімшілігінің қараңыз

    Басты бет