PPTP: Giao thức VPN bị hỏng vẫn ẩn nấp trong các cấu hình cũ

Lịch sử

Microsoft đã xây dựng PPTP vào năm 1996 làm giao thức VPN gốc cho Windows NT 4.0. Một tập đoàn nhà cung cấp (Microsoft, Ascend Communications, 3Com và các hãng khác) đã công bố thông số kỹ thuật chính thức là RFC 2637 vào tháng 7 năm 1999. PPTP được cung cấp trong mọi bản phát hành Windows từ Windows 95 trở đi dưới dạng máy khách và máy chủ VPN mặc định — trong hơn một thập kỷ, đây là giao thức VPN được triển khai nhiều nhất trên hành tinh, hoàn toàn vì nó dễ cài đặt nhất.

Microsoft đã chính thức loại bỏ máy chủ PPTP đi kèm khỏi Windows Server Năm 2022. Máy khách PPTP vẫn tồn tại trong Windows 11 để có khả năng tương thích ngược cho đến năm 2024 và sau đó bắt đầu bị xóa. macOS đã xóa ứng dụng khách PPTP tích hợp trong macOS 10.12 Sierra (2016). Hầu hết các bản phân phối Linux hiện đại vẫn cung cấp ứng dụng khách không gian người dùng (pptp-linux) nhưng có cảnh báo bảo mật nổi bật.

Cách thức hoạt động của PPTP

PPTP mang các khung Giao thức điểm-điểm (PPP) bên trong các đường hầm Đóng gói định tuyến chung (GRE, giao thức số 47), với kênh điều khiển TCP trên cổng 1723 xử lý việc thiết lập và quản lý đường hầm. Xác thực sử dụng giao thức MS-CHAP của Microsoft (v1 ban đầu, v2 được thêm sau). Mã hóa sử dụng Mã hóa điểm-điểm của Microsoft (MPPE) dựa trên RC4.

Không có lựa chọn nào trong số này đã cũ.

Tại sao PPTP bị hỏngMã hóa

RC4

MPPE được xây dựng trên RC4 với khóa 128 bit. Bản thân RC4 là một mật mã luồng tiên tiến vào năm 1987 và đã bị coi là bị phá vỡ trong cộng đồng mật mã ít nhất kể từ năm 2013. RFC 7465 2015 đã cấm hoàn toàn RC4 trong TLS. Các trình duyệt chính đã ngừng chấp nhận RC4 vào năm 2015–2016. PPTP là giao thức VPN chính duy nhất phụ thuộc vào nó.

Không xác thực văn bản mã hóa

MPPE mã hóa dữ liệu nhưng không xác thực dữ liệu. Không có cấu trúc MAC hoặc AEAD nào chứng minh văn bản mật mã không bị giả mạo. Kẻ tấn công có thể sửa đổi byte trong quá trình truyền có thể sửa đổi văn bản gốc một cách dự đoán — cuộc tấn công lật bit cổ điển chống lại mật mã luồng mà không cần xác thực.

Cùng một khóa theo cả hai hướng

Khi sử dụng MS-CHAP-v1, MPPE sử dụng cùng một khóa phiên RC4 cho cả hai hướng của luồng giao tiếp. Kẻ tấn công có thể XOR hai luồng cùng nhau để loại bỏ dòng khóa và khôi phục trực tiếp bản rõ. Đây là một lỗi mật mã trong sách giáo khoa đã được sửa trong phiên bản v2 nhưng hầu như không bao giờ xảy ra với các bản triển khai v1 cũ vẫn còn phổ biến.

MS-CHAP-v1 về cơ bản là không an toàn. Băm mật khẩu

NT có thể được trích xuất một cách đơn giản từ trao đổi MS-CHAP-v1 đã thu thập. Các công cụ để thực hiện việc này đã tồn tại hơn 20 năm.

MS-CHAP-v2 đã bị hỏng hoàn toàn vào năm 2012

Sự kiện tai hại nhất trong lịch sử của PPTP. Tại DEF CON 20 vào tháng 7 năm 2012, Moxie Marlinspike và David Hulton đã chứng minh rằng việc khôi phục thông tin xác thực MS-CHAP-v2 về mặt toán học tương đương với việc khôi phục khóa DES một cách mạnh mẽ. Họ đã xây dựng CloudCracker, một dịch vụ trực tuyến trả phí có thể khôi phục bất kỳ hàm băm mật khẩu NT cơ bản nào của cái bắt tay MS-CHAP-v2 bị bắt trong khoảng 23 giờ với chi phí điện toán khoảng 200 USD.

Ý nghĩa: kẻ tấn công chiếm được thông tin đăng nhập PPTP có thể đảm bảo khôi phục thông tin xác thực một cách hiệu quả trong vòng một ngày với giá bằng một bữa tối ngon miệng. Không có biện pháp phòng thủ nào khắc phục được điều này trong MS-CHAP-v2 — phép toán của giao thức này sai.

Phản hồi chính thức của Microsoft sau buổi trình diễn CloudCracker là khuyến nghị khách hàng ngừng sử dụng hoàn toàn MS-CHAP-v2 và chuyển sang các giao thức VPN khác. PPTP không có MS-CHAP-v2 về cơ bản là vô dụng vì không có tùy chọn xác thực được hỗ trợ nào khác.

Điều gì sẽ thay thế PPTP

• WireGuard: hiện đại, nhanh chóng, được xác minh chính thức. Giá trị mặc định phù hợp cho các hoạt động triển khai mới.
• IKEv2/IPsec: có sẵn trong Windows, macOS, iOS hiện đại. Chuyển vùng di động tốt hơn qua MOBIKE.
• OpenVPN: linh hoạt hơn, có thể ẩn dưới dạng HTTPS trên TCP/443 đối với các mạng hạn chế.

Bất kỳ điều nào trong số này đều an toàn hơn đáng kể so với PPTP. Không có kịch bản nào vào năm 2026 mà PPTP là câu trả lời đúng.

Nơi bạn vẫn có thể gặp phải PPTP

• Các bộ tập trung VPN công ty cũ mà không có kế hoạch di chuyển. Nếu công ty của bạn vẫn yêu cầu bạn kết nối qua PPTP thì đây thực sự là một sự cố bảo mật — hãy báo cáo vấn đề này.
• Bộ định tuyến tiêu dùng giá rẻ đi kèm với máy chủ PPTP được bật theo mặc định. Tắt nó.
• Cấu hình máy chủ Linux cũ hơn với pptpd được cài đặt từ hướng dẫn từ năm 2012. Ngừng hoạt động và thay thế bằng danh sách thả xuống của bộ chọn giao thức WireGuard.
• VPN trong một số ứng dụng VPN thương mại. Chọn bất kỳ thứ gì khác theo đúng nghĩa đen.

Bài học kế thừa Lịch sử của

PPTP là câu chuyện tiêu chuẩn cho các giao thức bảo mật độc quyền được xây dựng vào những năm 1990 — Microsoft ưu tiên khả năng tích hợp dễ dàng hơn là tính nghiêm ngặt của mật mã, tiêu chuẩn này được đặt ra theo những gì thực tế sẽ có trong Windows NT 4.0 và kết quả là thiết kế không đủ để chống lại những kẻ tấn công một thập kỷ sau đó. Thiết kế giao thức VPN hiện đại (WireGuard, chế độ IPsec ESP) học hỏi rõ ràng từ những lỗi này bằng cách bắt buộc sử dụng mật mã AEAD, phân tách khóa thích hợp, bảo mật hoàn hảo về phía trước và các khóa tạm thời.

Nếu bạn phát hiện ra việc triển khai PPTP vào năm 2026, hãy xử lý nó theo cách bạn xử lý với một máy chủ vẫn chạy Windows XP — tạo tác lịch sử thú vị, mục tiêu di chuyển bảo mật khẩn cấp.