Про­токол для VPN в иде­але дол­жен быть безопас­ным, фун­кци­ональ­ным и быс­трым. Но есть и еще один фак­тор: популяр­ность. Непопу­ляр­ный про­токол слож­нее внед­рить и под­держи­вать: его прог­рам­мное обес­печение тре­бует­ся уста­нав­ливать и нас­тра­ивать, а поль­зовате­лей и адми­нис­тра­торов нуж­но обу­чать.

Иног­да про­токо­лы ста­новят­ся популяр­ными воп­реки сво­им тех­ничес­ким недос­таткам, прос­то из‑за агрессив­ного прод­вижения круп­ной ком­пани­ей. Быва­ет и наобо­рот, про­токол незави­симых раз­работ­чиков реша­ет нас­толь­ко насущ­ную проб­лему какой‑то час­ти поль­зовате­лей, что быс­тро набира­ет популяр­ность сам по себе. Так про­изош­ло с OpenVPN или WireGuard.

Не­кото­рые про­токо­лы теря­ют популяр­ность. Некото­рые так и не ста­новят­ся широко извес­тны­ми, иног­да зас­лужен­но, иног­да нет. В этой статье мы погово­рим о нес­коль­ких таких про­токо­лах.

 

PPTP

Про­токол PPTP (Point to Point Tunneling Protocol) ока­зал­ся на зад­ворках впол­не спра­вед­ливо. Хочет­ся верить, что молодые читате­ли с ним уже не стал­кивались, но лет десять назад он был хрес­томатий­ным при­мером незас­лужен­но популяр­ного про­токо­ла.

По­пуляр­ность ему обес­печила монопо­лия его раз­работ­чика — кор­порации Microsoft. С середи­ны девянос­тых до кон­ца двух­тысяч­ных абсо­лют­ное боль­шинс­тво кли­ент­ских устрой­ств были компь­юте­рами с Windows. Оче­вид­но, наличие в Windows встро­енно­го кли­ента авто­мати­чес­ки делало про­токол как минимум рас­простра­нен­ным.

Microsoft не была бы самой собой, если бы не вос­поль­зовалась этим для сох­ранения и укрепле­ния сво­его монополь­ного положе­ния. Про­токол PPTP исполь­зовал стан­дар­тные PPP и GRE для переда­чи дан­ных, но для аутен­тифика­ции и шиф­рования при­менял­ся нес­тандар­тный, патен­тован­ный набор про­токо­лов: MPPE (Microsoft Point-to-Point Encryption) и MS-CHAP.

Из‑за это­го сво­бод­ные реали­зации что кли­ента, что сер­вера PPTP были в свое вре­мя такой же боль­ной темой, как GIF и MP3. Затем срок дей­ствия патен­тов истек, poptop для Linux и MPD для FreeBSD ста­ли популяр­ными аль­тер­натива­ми проп­риетар­ным про­дук­там.

Од­нако пре­дуп­режде­ния о проб­лемах безопас­ности самодель­ной крип­тогра­фии не были бес­почвен­ными. Оцен­ки стой­кос­ти MPPE и MS-CHAP неод­нократ­но сни­жались, и в 2012 году про­токол был дис­кре­дити­рован окон­чатель­но: иссле­дова­тели доказа­ли, что стой­кость MS-CHAP-v2 не луч­ше DES. Пос­ле это­го вос­при­нимать PPTP как безопас­ный про­токол ста­ло невоз­можно, и он быс­тро потерял пос­ледние остатки популяр­ности.

Стоит ли использовать PPTP?

Оче­вид­но, катего­ричес­ки не рекомен­дует­ся.

 

SSTP

SSTP (Secure Socket Tunneling Protocol) — вто­рая попыт­ка Microsoft соз­дать собс­твен­ный про­токол для VPN. В этот раз они не ста­ли изоб­ретать свои крип­тогра­фичес­кие алго­рит­мы, а исполь­зовали стан­дар­тный SSL/TLS. Они так­же боль­ше не пре­пятс­тву­ют соз­данию сво­бод­ных реали­заций.

SSTP пред­став­ляет собой PPP поверх HTTPS. Оче­вид­ное пре­иму­щес­тво — он отлично про­ходит через NAT и теоре­тичес­ки даже через прок­си. Пре­иму­щес­тво далеко не уни­каль­ное, OpenVPN умел работать поверх TCP/443 задол­го до это­го.

OpenVPN, впро­чем, не прос­то так по умол­чанию исполь­зует UDP, а не TCP. У тун­нелей поверх TCP наб­люда­ются серь­езные проб­лемы с про­изво­дитель­ностью — на одном и том же железе они могут быть в десят­ки раз мед­леннее.

В Windows, оче­вид­но, есть встро­енный кли­ент — начиная с Windows Vista. Для Linux есть реали­зации кли­ента и пла­гины к NetworkManager. Есть и сто­рон­ние кли­енты для macOS, нап­ример EasySSTP. Для мобиль­ных устрой­ств тоже при­дет­ся искать и ста­вить сто­рон­ние при­ложе­ния.

Ес­ли нуж­но раз­вернуть сер­вер SSTP, из сво­бод­ных про­ектов его под­держи­вают ACCEL-PPP и SoftEther.

Стоит ли использовать SSTP?

Раз­ве что если вынуж­дает кор­поратив­ная полити­ка.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


5 комментариев

  1. Аватар

    helgun

    23.11.2020 в 13:08

    Хотелось бы в заключении видеть: по скорости этот рекомендуют, по безопасности тот…
    А не: про­токо­лов для VPN в мире великое мно­жес­тво…

    Скатились вы конечно знатно. Нормальные авторы в блекхат наверное ушли

  2. Аватар

    shchko25

    24.11.2020 в 10:47

    Ни о чем статья. В википедии и то подробнее расписывается.

  3. Аватар

    Quantos

    29.11.2020 в 15:20

    Согласег с позицией shchko25.
    Уважаемый автор, слог хороший, но для наглядности протестируйте на виртуалках соединения, бенчи по скорости, п потом с результатами в статью. Например «разрабы заявляют, что в 10 раз выше скорость, чем у опенвпн, но при тестировании в виртуальной среде оказалось, что скорость выше в 2 )»
    Это же тех журнал)

    • Аватар

      dignus

      01.12.2020 в 16:15

      Не совсем справедливо. Есть аппаратные ускорителя для отдельных протоколов, типа IPSEC, обрабатывающие целый пакет в один опкод. Тогда с OpenVPN не потягаешься. А может аппаратного ускорения и не быть, все зависит от конкретного устройства.

  4. Аватар

    ylllakov

    02.01.2021 в 13:57

    Согласен со всеми комментами

Оставить мнение