El protocolo PPTP especifica una serie de mensajes que son usados para la sesión de control. Estos mensajes son enviados entre el cliente PPTP y el servidor PPTP. Los mensajes de control establecidos, mantienen y terminan el Tunnel PPTP. La siguiente lista presenta el control primario de mensajes usados para establecer y mantener la sesión PPTP:
Message Type Purpose
PPTP_START_SESSION_REQUEST Starts Session
PPTP_START_SESSION_REPLY Replies to Start Session Request
PPTP_ECHO_REQUEST Maintains Session
PPTP_ECHO_REPLY Replies to Maintain Session Request
PPTP_WAN_ERROR_NOTIFY Reports an error in the PPP connection
PPTP_SET_LINK_INFO Configures PPTP Client/Server Connection
PPTP_STOP_SESSION_REQUEST Ends Session
PPTP_STOP_SESSION_REPLY Replies to End Session Request
Los mensajes de control son enviados dentro de los paquetes de control en un datagrama TCP. Una conexión TCP es activada entre el cliente PPTP y el server. Este path es usado para enviar y recibir mensajes de control. El datagrama contiene una cabecera PPP, una TCP, un mensaje de control PPTP y sus apropiadas reglas. La construcción es como sigue:
PPP Delivery Header
IP Header
PPTP Control Message
Trailers
Transmisión de datos PPTP
Después de que el Tunnel PPTP ha sido creado, los datos del usuario son trasmitidos entre el cliente y el server PPTP. Los datos son enviados en datagramas IP conteniendo paquetes PPP. El datagrama IP es creado usando una versión modificada de la versión de Generic Routing Encapsulation (GRE) protocol (RFC1701-2). La estructura de datagrama IP es:
PPP Delivery Header
IP Header
GRE Header
PPP Header
IP Header
TCP Header
Data
Prestando atención a la construcción del paquete, podrás ver como es capaz de ser transmitido a través de Internet desmenuzando las cabeceras. La cabecera de envío del PPP proporciona información necesaria para el datagrama para atravesar Internet. La cabecera GRE es usada para encapsular el paquete PPP sin el datagrama IP. El paquete PPP es creado por RAS. El paquete PPP es encriptado y si es interceptado, será ilegible.
Entendiendo la seguridad PPTP
El PPTP usa la estricta autentificación y encriptacion de seguridad disponible por los ordenadores que corren RAS bajo WindowsNT Server v4.0.El PPTP puede también proteger el server PPTP y la red privada ignorando todo excepto el trafico PPTP. A pesar de esta seguridad es fácil configurar un firewall para permitir al PPTP acceder a la red interna.
Autentificación:
La autentificación inicial en la llamada puede ser requerida por un ISP de servidor de acceso a la red. Un servidor PPTP es un gateway a tu red, y necesita la base estándar de "login" de WindowsNT. Todos los clientes PPTP deben proporcionar un login y password. De todas formas, el login de acceso remoto usando un PC bajo NT server o Workstation es tan seguro como hacer un login en un PC conectado a una LAN (teóricamente). La autentificación de los clientes remotos PPTP es hecha usando los mismos métodos de autentificación PPP usados para cualquier cliente RAS llamando directamente en un NT Server. Porque esto, soporta completamente MS-CHAP.
Control de acceso:
Después del "auth", todo el acceso a la LAN privada continúa usando las estructuras de seguridad basadas en NT. El acceso a recursos en devices NTFS o otros recursos de la red requieren los permisos correctos, tal como si estuvieses conectado dentro de la LAN.
Encriptacion de los datos:
Para la encriptación de datos, el PPTP usa el proceso de encriptación RAS "shared secret". Es referido a un "shared-secret" porque ambos terminan la conexión "sharing" the encryption key. Bajo la implentanción del RAS de MS, el secreto "shared" es el pass del usuario (Otros métodos incluyen llave pública de encriptación. El PPTP usa la encriptación PPP y los métodos de compresión PPP. El CCP (Compression Control Protocol es usado para negociar la encriptación usada. El nombre de usuario y el passwd esta disponible al server y sustituida por el cliente. Una llave de encriptación es generada usando una mínima parte del passwd situados en cliente y server. El RSA RC4 standard es usado para crear estos 40 bits (128 dentro de EEUU y Canada) de llave de sesión basada en el passwd de un cliente. Esta llave es después usada para encriptar y desencriptar todos los datos intercambiados entre el server PPTP y el cliente. Los datos en los paquetes PPP son encriptados. El paquete PPP que contiene un bloque de datos encriptados es después metido en un largo datagrama IP para su ruteo.
Flitrado de paquetes PPTP:
La seguridad de la red contra intrusos puede ser mejorada activando el flitro PPTP en el server PPTP. Cuando el flitro PPTP esta activado, el server PPTP en la red privada acepta y rutea solo paquetes PPTP. Esto previene de todos los tipos de paquetes de la red entera. El tráfico PPTP usa el puerto 1723.
PPTP y el Registro:
La siguiente lista pertenece a un registro de llaves de WindowsNT que el usuario define y puede ser encontrada en:
KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RASPPTPE\
Parameters\Configuration
Values: AuthenticateIncomingCalls
DataType = REG_WORD
Range = 0 - 1
Default = 0
Pon este valor a 1 para forzar al PPTP a aceptar llamadas solo de IP`s listadas en el valor de registros del PeerClientIPAddresses. Si el apartado AuthenticateIncomingCalls esta puesto a 1 y no hay direcciones IP en el PeerClientIPAddresses, los no clientes no serán capaces de conectar
PeerClientIPAddresses
DataType = REG_MULTI_SZ
Range = The format is a valid IP address
Este parámetro es una lista de direcciones IP que el server aceptara como conexiones:
KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
Parameters\Tcpip
Values: DontAddDefaultGateway
DataType = REG_WORD
Range = 0 - 1
Default = 1
Cuando el PPTP esta instalado, una ruta por defecto es hecha por cada adaptador de la LAN. Este parámetro desactivara la ruta de defecto en el adaptador de LAN.
PPTPFiltering
Key:
*El protocolo PPTP especifica una serie de mensajes que son usados para la sesión de control.
*Los mensajes de control son enviados dentro de los paquetes de control en un datagrama TCP.
*Los datos son enviados en datagramas IP conteniendo paquetes PPP.
*La cabecera de envío del PPP proporciona información necesaria para el datagrama para atravesar Internet.
*El PPTP usa la estricta autentificación y encriptacion de seguridad disponible por los ordenadores que corren RAS bajo WindowsNT Server v4.0.El PPTP puede también proteger el server PPTP y la red privada ignorando todo excepto el trafico PPTP.
*La autentificación inicial en la llamada puede ser requerida por un ISP de servidor de acceso a la red.
*Un servidor PPTP es un gateway a tu red, y necesita la base estándar de "login" de WindowsNT
*Todos los clientes PPTP deben proporcionar un login y password.
*El acceso a recursos en devices NTFS o otros recursos de la red requieren los permisos correctos, tal como si estuvieses conectado dentro de la LAN.
*el PPTP usa el proceso de encriptación RAS "shared secret".
No hay comentarios:
Publicar un comentario