Поддержка Консалтинг Обучение Jamf Pro Блог

Почему стоит отказаться от PPTP

Федор Костылев 28.09.2016

VPN

Из macOS Sierra, как мы недавно рассказывали, была убрана поддержка PPTP. И хотя многие до сих пор пользуются этим протоколом, он уже давно устарел и крайне небезопасен. Как и обещали, в этой статье мы опишем доступные способы подключаться по PPTP на Sierra. Но перед этим мы постараемся убедить вас, почему стоит перестать его использовать.

Критическая уязвимость

Статья о PPTP на английской википедии начинается со слов PPTP – это устаревший протокол… И не зря. Одна из его ключевых частей, отвечающая за непосредственное установление соединения – MS-CHAP v2. Модифицированный компанией Microsoft (MS) алгоритм проверки подлинности Challenge Handshake Authentication Protocol (CHAP) второй версии (v2). Сама Microsoft признала еще в 2012, что MS-CHAP v2 безнадежно скомпрометирован. Простой перехват трафика (атакой Man-in-the-Middle или сниффером в беспроводной сети) позволит получить DES-ключи. DES – еще один устаревший стандарт, на этот раз прямиком из 1970-х.

MS-CHAPv2

Коллеги из Heise Media показывают, как с помощью chapcrack, утилиты с открытым исходным кодом, можно извлечь хэши паролей из DES-ключей. И хотя CloudCracker – инструмент, который они используют для вскрытия самих хэшей, в последние годы работает с перебоями1, его аналог OnlineHashCrack вскроет ваши хэши и предоставит пароли за разумную сумму BTC.

Увы, заменить Handshake-алгоритм в PPTP фактически невозможно – такой протокол просто станет несовместим с предыдущими версиями. Поэтому единственный выход – переходить на более безопасные решения.

Кстати, MS-CHAP v2 используется также в WPA-Enterprise, Wi-Fi аутентификации через RADIUS-сервер. Поэтому если вы, по какой-то причине, используете WPA, а не WPA2 – будьте осторожны.

PPTP и Sierra

Мышки плакали, кололись…

screen-shot-2016-09-25-at-2-22-23-pm

VPN-клиентов, поддерживающих PPTP и доступных для Sierra нам удалось подобрать только два. К счастью, оба они нашпигованы функциями и при этом радикально отличаются, поэтому каждый сможет найти что-то свое.

Shimo

shimovpn.com

screen-shot-2016-09-25-at-2-15-06-pm

Shimo – это приложение для тех, кто хочет чуть большего, чем готова предоставить панель System Preferences > Network. Программа поддерживает восемь различных протоколов2 и обладает всеми присущими VPN-клиенту функциями. Здесь даже есть полезные побочные дополнения вроде активации VPN во время определенных событий, например, подключения к незнакомой Wi-Fi сети или открытия определенного сайта.

screen-shot-2016-09-25-at-6-51-57-pm

При этом Shimo – легкая и ненавязчивая. У нее нет главного окна, только окно настроек. Программа доступна из лаконичной иконки в Menu Bar или, если вы предпочитаете, через контекстное меню иконки в Dock. Лицензия на одного пользователя (для всех компьютеров этого пользователя) стоит 49€, пробный период составляет 30 дней.

VPN Tracker 365

VPNTracker.com

screen-shot-2016-09-25-at-2-18-30-pm

Если бы клиенты VPN были текстовыми редакторами, Shimo был бы TextEdit, а VPN Tracker 365 был бы Microsoft Word. Программа предлагает столько функций, что глаза разбегаются. VPN Tracker может создать подключение как и на основе протокола, так и на основе конкретного оборудования3, которое вы используете. Программа также предлагает собственную сеть VPN-серверов World Connect на случай, если вам просто нужно подключение из другой страны.

screen-shot-2016-09-25-at-2-22-18-pm

В приложении есть встроенный сетевой сканер, облачное хранилище, доступное только пользователям конкретного подключения и возможность создания автоматизаций, удачно названных VPN Shortcuts4. С помощью VPN Shortcuts можно поручить вашему Mac выполнить за вас ряд действий после установления VPN соединения – подключиться к файловому серверу, скачать почту, открыть нужные приложения и документы и не только. Цена начинается от 83,29€ в год, а за дополнительную плату вы сможете получить доступ к профессиональному консультанту или даже личному менеджеру вашей учетной записи. Пробный период – 30 дней, пробный период World Connect – 24 часа.

В заключение я хочу попросить вас только об одном – пожалуйста, не используйте PPTP. А если вы хотите перестать им пользоваться, но не знаете, как – мы будем рады помочь.


  1. А на момент написания статьи и вовсе был недоступен. 

  2. Соединение можно создать на основе PPTP/L2TP, OpenVPN, SSH, Cisco SSL или одного из четырех видов IPSec. 

  3. От Amazon AWS до Zyxel ZyWALL, VPN Tracker снабжен профилями для порядка сотни различных устройств. 

  4. Да, нам нравится это слово:)