Protocollo PPTP
Una soluzione VPN, originalmente proposta come soluzione proprietaria da Microsoft, è quella del Point-to-Point Tunneling Protocol (o PPTP).
Sostanzialmente il protocollo consente l’attivazione di un collegamento PPP sfruttando il servizio di tunneling offerto dal protocollo GRE.
Per consentire la realizzazione di collegamenti punto-punto “sicuri” tra due terminazioni di rete, il protocollo PPTP prevede sia funzioni di autenticazione sia di codifica (tramite algoritmi simmetrici) dei dati scambiati tra i due partecipanti.
Le terminazioni di rete possono essere sia singole stazioni sia router di frontiera di una rete locale.
Questa versatilità del PPTP consente di utilizzare il protocollo, oltre che per collegare più reti locali in un’unica rete virtuale, anche per realizzare una VPN in cui alcune componenti sono rappresentate da singoli utenti connessi a Internet (magari in modalità dial-up).
La versione originale del PPTP prevedeva solo la possibilità di utilizzare MSCHAPv2 per l’autenticazione.
Recentemente Microsoft ha esteso al PPTP la possibilità di utilizzare EAP-TLS.
Per la cifratura dei dati è invece disponibile solo lo schema proprietario noto come MPPE (Microsoft Point-to-Point Encryption, alla base del quale sta l’utilizzo di uno schema crittografico simmetrico basato su RC4, con chiavi di lunghezza variabile, 40, 56 o 128 bit).
Una descrizione del protocollo MPPE è contenuta nella RFC 3078.
una volta instaurato un tunnel PPTP diviene possibile per i due partecipanti veicolare pacchetti di livello collegamento dati (PPP frame) incapsulati in datagrammi IP.
La principale differenza con una soluzione GRE nativa, è che il PPTP prevede la possibilità di negoziare dinamicamente più sessioni per ogni tunnel PPTP instaurato.
Le sessioni sono aperte on-demand tramite la componente Control Connection Protocol (che prevede l’instaurazione preliminare di una connessione TCP tra le terminazioni di rete, porta servizio riservata 1723/tcp).
Per minimizzare il carico di lavoro dei terminatori, in infrastrutture molto estese, i messaggi per la negoziazione di nuove sessioni possono essere inviati anche utilizzando il protocollo di trasporto UDP (porta 1723/udp).
I pacchetti IP appartenenti a un tunnel PPTP trasportano quindi in parte oggetti GRE (dati utente), in parte messaggi di controllo (incapsulati in TCP o UDP).
Un dispositivo PPTP può essere configurato per utilizzare il protocollo GRE solo per veicolare parte del traffico offerto al terminatore di tunnel.
La soluzione PPTP, pur avendo incontrato in passato notevole diffusione (forse perchè sponsorizzata da un colosso come Microsoft), si è dimostrata sul campo poco affidabile.
Numerosi sono i lavori di crittoanalisi che hanno dimostrato la non completa efficienza delle soluzioni crittografiche e del meccanismo di autenticazione proposto originalmente dal protocollo.
Anche se questo dibattito ha stimolato il lavoro di revisione degli ideatori del PPTP, portando al rilascio di successive versioni, più affidabili e sicure, l’interesse attorno a questa soluzione è oggi estremamente limitato.
La stessa Microsoft ha abbandonato lo standard per passare a implementare nei propri sistemi operativi una soluzione VPN più robusta (L2TP over IPsec).
