Suchen

Definition Point-to-Point Tunneling Protocol (PPTP) Was ist PPTP?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Mit dem Point-to-Point Tunneling Protocol (PPTP) lassen sich virtuelle private Netze über IP-basierte Netzwerke wie das Internet realisieren. Es handelt sich um eine Erweiterung des Point-to-Point Protocols und ist in vielen Betriebssystemen implementiert. Aufgrund bekannter Schwachstellen gilt PPTP heute als nicht mehr sicher.

Firmen zum Thema

Das Point-to-Point Tunneling Protocol (PPTP) ist ein nicht mehr sicheres Tunnelprotokoll für virtuelle private Netze (VPNs).
Das Point-to-Point Tunneling Protocol (PPTP) ist ein nicht mehr sicheres Tunnelprotokoll für virtuelle private Netze (VPNs).
(Bild: gemeinfrei)

Die Abkürzung PPTP steht für Point-to-Point Tunneling Protocol. Das Protokoll zählt zu den VPN-Protokollen und ist eine Erweiterung von PPP (Point-to-Point Protocol). Mithilfe von PPTP lassen sich virtuelle private Netze über IP-basierte Netzwerke realisieren. Die Entwicklung des Point-to-Point Tunneling Protocols trieben mehrere Hersteller wie Microsoft und 3Com voran. Standardisiert ist es im RFC 2637 aus dem Jahr 1999. Nach der Veröffentlichung wurde es in vielen Betriebssystemen wie Microsoft Windows oder Linux implementiert. Es sind neben Windows und Linux PPTP-Clients für fast alle Betriebssysteme wie macOS, iOS, OpenBSD oder Android verfügbar. Auch viele Firewalls oder Router unterstützen das Protokoll. PPTP ist mit verschiedenen Verschlüsselungs- und Authentifizierungsverfahren einsetzbar.

Mit PPTP lassen sich Protokolle wie IP, IPX oder NetBEUI über IP tunneln. Aufgrund bekannt gewordener Schwachstellen gilt das Point-to-Point Tunneling Protocol heute als nicht mehr sicher. Es wurde von anderen VPN-Protokollen wie L2TP/IPsec, IPsec/IKEv2 oder OpenVPN größtenteils abgelöst.

Merkmale und Architektur des Point-to-Point Tunneling Protocols

Zentrale Komponenten der PPTP-Architektur sind der PAC (PPTP Access Concentrator) und der PNS (PPTP Network Server). Der PNS nimmt Datenpakete des Tunnels entgegen und ist für das Routing und die Kontrolle der Daten zuständig. Für das Herstellen der Verbindung ist der PAC verantwortlich. Er ist in der Regel im Clientsystem integriert. Der TCP-Port 1723 wird für die Initialisierung verwendet. Über diesen Port überträgt der Client die Kontrolldaten der Verbindung zum Server. Das Tunneling der PPP-Daten findet über eine GRE-Verbindung (Generic Routing Encapsulation Verbindung) statt. GRE kommt zum Einsatz, um die PPP-Pakete in IP zu verpacken. Verfahren wie MS-CHAPv1 oder MS-CHAPv2 sind für die Authentifizierung des Clients zuständig. Ist der Client authentifiziert, erhält er eine IP-Adresse vom Server. Die Verschlüsselung der Daten ist zusätzlich zwischen Client und Server auszuhandeln. Da das Point-to-Point Tunneling Protocol und GRE Probleme mit der Network Address Translation haben (NAT), verwenden NAT-Router Verfahren wie PPTP-Passthrough, die eine Zuordnung von GRE-Paketen zu Clients ermöglichen.

Die Sicherheit des Point-to-Point Tunneling Protocols

Aufgrund 2012 bekannt gewordener Schwachstellen des Protokolls gilt PPTP als nicht mehr sicher. Prinzipiell ist jede PPTP-Verbindung mit relativ geringem Aufwand zu knacken. Im Internet existieren Angebote, die dies innerhalb weniger Stunden schaffen. Es wird lediglich ein mitgeschnittener Anmeldevorgang benötigt. Die Schwachstelle ist auf die verwendeten Authentifizierungsverfahren MS-CHAPv1 und MS-CHAPv2 zurückzuführen. Über einfache Brute-Force-Attacken lassen sich die zur Authentifizierung benötigten Hash-Werte schnell ermitteln.

Alternativen zum Point-to-Point Tunneling Protocol

PPTP sollte aufgrund der Schwachstellen nicht mehr für VPNs eingesetzt werden. Sichere Alternativen zum Point-to-Point Tunneling Protocol sind beispielsweise:

L2TP mit IPsec (Layer 2 Tunneling Protocol mit Internet Protocol Security)

• IPsec und IKEv2 (Internet Key Exchange Version 2)

SSTP (Secure Socket Tunneling Protocol)

• OpenVPN mit OpenSSL

(ID:45751147)

Über den Autor