Главная страница Случайная страница
КАТЕГОРИИ:
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Огляд РРТР протоколу
|
|
Основний опис протоколу PPTP поданий в RFC2637 [1] відкритим міжнародним співтовариством проектувальників, учених, мережних операторів і провайдерів (Internet Engineering Task Force — IETF). РРТР за замовчуванням використовують передачу за допомогою ТСР пакетів і резервують для РРТР порт 1723. Основні методи авторизації визначаються протоколом РРР і вибираються з PAP, CHAP, Microsoft CHAP V1/V2 або EAP - TLS. Можливий тільки один метод шифрування даних, розроблений компанією Майкрасофт, – шифрування Майкрасофт для з'єднання «точка-точка» (Microsoft Point to Point Encryption – МРРЕ). Визначено в стандарті IETF RFC 3078, 3079 [2, 3]. У основі МРРЕ лежить алгоритм RC4 (Rivest Cipher 4) з довжиною ключів 40, 56 або 128 біт, розроблений в 1998. Цей алгоритм шифрування застосовується в ранніх рекомендаціях SSL, TLS, в паролях Windows NT і в алгоритмі бездротових мереж Wi-Fi (Wireless Fidelity – «бездротова точність») WEP (Wired Equivalent Privacy). З 2001 по 2005 в роботах Мантин, Шамир і Андреаса Кляйна [4] була показана сильна коррельованість ключа і ключового потоку RC4. Це дозволяє при довгому аналізі шифрованих повідомлень без зміни ключа у відносно короткий реальний час підібрати ключ і дешифрувати повідомлення стороннього спостерігача. Подані рекомендації: пропускати початок ключового потоку з обміну повідомлень та використовувати напрямок циклу зворотній в алгоритмі ключового розкладу дозволяють істотно підвищити криптостійкість алгоритму.
РРТP тунель складається з каналу управління і з каналу передачі даних. Спочатку за допомогою пакетів, що управляють, встановлюється канал управління, а потім канал даних. Організація каналу даних здійснюється за допомогою протоколу інкапсулювання GRE (Generic Routing Encapsulation).
Формат управляючих пакетів РРТР відображан у таблиці 1. Довжина – вказується довжина усього сполучення із заголовком.
Тип PPTP повідомлення завжди рівне " 1" і вказує на те, що це повідомлення є керівником.
Табл. 1 Формат управляючих пакетів РРТР
| Довжина | Тип РРТР повідомлення | ||||||||||||||||||||||||||||||
| Magic cookie | |||||||||||||||||||||||||||||||
| Тип повідомлення, що управляє | Зарезервовано | ||||||||||||||||||||||||||||||
| Дані |
Magic cookie призначене для цілей синхронізації і завжди містить значення 0x1A2B3C4D.
Табл. 2 Управляючи типи повідомлень пакетів РРТР
| Код повідомлення | Тип повідомлення | Призначення |
| Управління каналом контролю | ||
| Start - Control - Connection - Request | Запит на встановлення каналу управління | |
| Start - Control - Connection - Reply | Відповідь на встановлення каналу управління | |
| Stop - Control - Connection - Request | Запит на розрив каналу управління | |
| Stop - Control - Connection - Reply | Підтвердження розриву каналу управління | |
| Echo - Request | “Ехо-сигнала" запит | |
| Echo - Reply | " Ехо-сигнала" у відповідь | |
| Управління з'єднанням | ||
| Outgoing - Call - Request | Запит на витікаючи з'єднання | |
| Outgoing - Call - Reply | Підтвердження на витікаюче з'єднання | |
| Incoming - Call - Request | Запит на вхідне з'єднання | |
| Incoming - Call - Reply | Підтвердження на вхідні з'єднання | |
| Incoming - Call - Connected | Вхідне з'єднання встановлене | |
| Call - Clear - Request | Запит на розрив з'єднання | |
| Call - Disconnect - Notify | Повідомлення про розрив з'єднання | |
| Повідомлення про помилку | ||
| WAN - Error - Notify | Повідомлення про помилку на зовнішньому інтерфейсі | |
| Контроль РРР сесії | ||
| Set - Link - Info | Встановити параметри каналу |
Після встановлення каналу управління створенням каналу даних займається протокол РРР за допомогою протоколу інкапсулювання GRE.
Табл. 3 Формат заголовка пакета GRE
| S | резерв | А | резерв | Версія | Тип протоколу | |||||||||||||||||||||||||||
| Довжина поля даних | Номер з'єднання | |||||||||||||||||||||||||||||||
| Порядковий номер | ||||||||||||||||||||||||||||||||
| Номер підтвердження | ||||||||||||||||||||||||||||||||
Поле S вказує, що в пакеті є присутнім порядковий номер пакета, якщо поле дорівнює 1. Резерв – на даний момент в стандарті біти цього поля визначені усі рівні 0. Поле А вказує, що в пакеті є присутнім номер підтвердження пакету, якщо поле дорівнює 1. Поле версія для протоколу GRE це поле дорівнює 1. Поле довжина даних вказує довжину пакета без урахування заголовка. Полі номер з'єднання містить номер поточного з'єднання, якому належить цей пакет. Полі порядковий номер містить номер поточного пакета. Полі номер підтвердження містить номер останнього підтвердженого пакета.
При використання шифрування МРРЕ передаються дані за допомогою МРРЕ пакетів, основний формат яких поданий нижче.
Табл. 4 Формат пакета МРРЕ
| РРР протокол | А | B | C | D | Лічильник | ||||||||||||||||||||||||||||
| Далі слідують шифровані дані | |||||||||||||||||||||||||||||||||
Перші два байти заповнено даними протоколу РРР, які розглянуті в лабораторній роботі № 2. Коли параметри МРРЕ погоджені і передаються шифровані пакети, значення цього поля дорівнює 0x00FD.
Поле А вказує, що шифровані таблиці були згенеровані заново перед передачею цього повідомлення. Одержувач також повинен згенерувати шифровані таблиці перед дешифруванням пакета.
Поля B і C не визначені в МРРЕ.
Поле D вказує на присутність шифрованих даних в пакеті, якщо рівний 1, або на відсутність шифрованих даних при значені 0.
Лічильник показує, який номер даного пакета.
Розглянемо як створюється РРТР тунель в операційній системі Windows.
2. Хід роботи
2.1 Налаштування РРТР клієнта на базі операційної системи Windows
Для того, щоб з ОС Windows можливо було підключатися до сервера PPTP в ній має бути присутнім Microsoft VPN Adapter. Розглянемо приклад підключення OC Windows XP, в ній цей драйвер встановлений за замовчуванням. Для створення РРТР підключення необхідно виконати наступні кроки:
1) пуск-> Панель управління-> Мережні підключення-> Створення нового підключення;
2) буде запущений майстер створення підключення;
3) на другому кроці вибрати «Підключити до мережі на робочому місці»;
4) на наступному кроці «Підключення до віртуальної приватної мережі»;
5) далі вказати назву підключення «pptp»;
6) далі «Не набирати номер для попереднього підключення»;
7) далі вказати IP адресу запущеного PPTP сервера (192.168.0.122);
8) готово.
3. Домашнє завдання
Вивчити ключові питання.
Підготувати протокол виконання лабораторної роботи.
Привести приклад заголовка РРTP пакета.
Дати короткі письмові відповіді на контрольні питання.
4. Контрольні питання
1. У яких мережах може застосовуватися протокол РРТP?
2. Які канали організовуються в РРТР тунелі?
3. За яким протоколом відбувається шифрування у РРTP?
4. Які основні довжини ключів для шифрування застосовуються у РРTP?
5. Для чого застосовується GRE у PPTP тунелі?
6. Можлива організація канала даних до канала управління?
7. Для чого необхідні порядковий номер та номер підтвердження у формате заголовка пакета GRE?
8. Який порт застосовує РРТР?
5. Лабораторне завдання
1. Створіть з’єднання PPTP, але не підключайте.
2. Запустіть програмний аналізатор протоколів Wireshark.
3. Включіть режим захоплення пакетів.
4. Підключити з’єднання PPTP.
5. Пропінгуйте сервер.
6. Роз’єднати PPTP тунель.
7. Зупиніть режим захоплення пакетів в Wireshark.
8. Проаналізуйте пакети з’єднання та роз’єднання PPTP тунелю. Занесіть отримані результати до протоколу.
Варіанти завдань для виконання лабораторної роботи:
1. Змініть логін на інший, спробуйте з’єднатися, занесіть основні пакети відмови з’єднання у протокол.
2. За допомогою Wireshark відфільтрувати тільки ARP відповіді
3. За допомогою Wireshark відфільтрувати тільки ARP пакети у тунелі.
4. Запустити ICMP-пакети в іншу локальну мережу, яка відрізняється іншим діапазоном IP-адресов, знайдіть ці пакети у Wireshark.
5. Коли створено з’єднання PPTP тунелю, зробіть HTTP-запит і знайдіть цей пакет у аналізаторі Wireshark.
6. За допомогою Wireshark відфільтрувати тільки ICMP пакети у тунелі.
7. Знайдіть у дампі пакетів на який порт приходить з’єднання.
8. Змініть пароль на інший, спробуйте з’єднатися, занесіть основні пакети відмови з’єднання у протокол.
6. Зміст протоколу
1. Назва роботи.
2. Мета роботи.
3. Виконане домашнє завдання.
4. Результати виконання лабораторного завдання.
5. Висновки.
Звіт повинен містити дамп пакетів.