第3講第三章P和L2TP協(xié)議

0安全協(xié)議與標準北京信息科技大學劉凱liukai@第三講1安全協(xié)議與標準

第三章PPTP和L2TP協(xié)議2上節(jié)課回顧TCP/IP協(xié)議簇的分層結構

TCP/IP協(xié)議簇協(xié)議的安全隱患

TCP/IP的安全架構3第三章PPTP和L2TP協(xié)議

3.1概述

3.2PPP協(xié)議

3.3PPTP協(xié)議

3.4L2TP協(xié)議

3.5PPTP協(xié)議和L2TP協(xié)議分析

43.1概述

PPTP和L2TP都屬于第二層的隧道協(xié)議.PPP協(xié)議是為同等單元之間設計的鏈路層協(xié)議.上述二個協(xié)議依靠PPP協(xié)議的各種特性鏈路層的隧道技術將第二層連接的端點與PPP會話的端點分離,通過公共網(wǎng)進行互聯(lián).

為改變PPTP協(xié)議的兼容性問題,Microsoft和Cisco提交了L2TP協(xié)議,作為IETF規(guī)范.該協(xié)議保證了L2F和PPTP中最出色的部分.

比起PPTP,L2TP突破了只能在IP網(wǎng)絡上傳輸?shù)木窒扌?并且提供了較為完善的身份認證機制.53.2PPP協(xié)議

設計的目的是通過撥號或?qū)＞€方式建立點對點的連接.是建立各種簡單連接的共同解決方案.

3.2.1PPP協(xié)議的基本原理

PPP協(xié)議的定義：PPP協(xié)議提供了一種標準的方式在點對點的鏈路上傳輸多種網(wǎng)絡層協(xié)議的數(shù)據(jù)報。如圖(書中p35),主機通過調(diào)制解調(diào)器接入Internet,在主機和ISP的路由器之間通過PPP協(xié)議建立連接.63.2PPP協(xié)議

73.2PPP協(xié)議

3.2.1PPP協(xié)議的基本原理

PPP協(xié)議的特點:支持點到點的連接，不同于X.25、framerelay等數(shù)據(jù)鏈路層協(xié)議，具有CHAP、PAP驗證協(xié)議，更好的保證了網(wǎng)絡的安全性。PPP的物理層既支持數(shù)據(jù)為8位和無奇偶校驗的異步模式，還支持面向比特位的同步鏈接，如framerelay必須為同步電路。PPP有針對不同網(wǎng)絡層的網(wǎng)絡控制協(xié)議，如IPCP,IPXCP。并且允許雙方協(xié)商是否對報文首部進行壓縮。83.2PPP協(xié)議

3.2.1PPP協(xié)議的基本原理

PPP協(xié)議分3個組成部分:

一種將上層數(shù)據(jù)包封裝到串行鏈路的方法一個用來建立、配置和測試數(shù)據(jù)鏈路連接的鏈路控制協(xié)議（LCP）一套網(wǎng)絡控制協(xié)議（NCP）封裝格式如下圖：標志1B1B2B缺省1500B0x7E0xFF0x031B2B1B0x7E1B=1Byte（字節(jié)）固定值93.2PPP協(xié)議3.2.1PPP協(xié)議的基本原理

PPP協(xié)議的狀態(tài)圖如下：鏈路不可用階段鏈路建立階段驗證階段網(wǎng)絡層協(xié)議階段鏈路終止階段失敗LCP報文可選，由配置決定LCP報文通過關閉103.2PPP協(xié)議3.2.2PPP協(xié)議中的安全機制

PAP協(xié)議(二次握手)用戶名/密碼路由器A路由器B被驗證方驗證方接受/拒絕PPP封裝113.2PPP協(xié)議CHAP協(xié)議回應接受/拒絕PPP封裝路由器A路由器B被驗證方驗證方挑戰(zhàn)123.2PPP協(xié)議

CHAP協(xié)議工作過程

CHAP對PAP進行了改進,但依然存在一些風險:

在服務器端,用戶口令是以明文形式存放的協(xié)議只支持認證服務器對用戶的單向認證為防止插入信道攻擊,服務器需要周期性地發(fā)送呼叫信息以重新認證.周期過長,會為入侵者留下攻擊時間;周期過短,增加通信雙方的計算量133.2PPP協(xié)議

MPPE協(xié)議由微軟設計.

規(guī)定了如何在數(shù)據(jù)鏈路層對通信進行機密性保護的機制.

通過PPPCCP協(xié)商,實現(xiàn)MPPE加密.

協(xié)議沒有規(guī)定協(xié)商密鑰的方法,而是假定使用MPPE協(xié)議之前,雙方已經(jīng)共享了一個密鑰.143.3PPTP協(xié)議

3.3.1PPTP協(xié)議綜述

最初是由Microsoft設計、PPTP論壇開發(fā)的點對點安全隧道協(xié)議可以建立PC到LAN的VPN連接相關術語解釋呼叫（CALL）控制連接（controlconnection)

網(wǎng)絡接入服務器（NAS）

PPTP接入控制器（PAC）

PPTP網(wǎng)絡服務器（PNS）會話（session)

隧道（tunnel)153.3PPTP協(xié)議

3.3.1PPTP協(xié)議綜述

協(xié)議的目標只在PAC和PNS之間實現(xiàn)在IP網(wǎng)絡上也能給PPP會話提供隧道PAC和PNS之間可形成多對多的關系

PPTP使用改進的通用路由封裝協(xié)議（GREv2）來傳輸用戶的PPP數(shù)據(jù)包。

163.3PPTP協(xié)議

3.3.1PPTP協(xié)議綜述

PPTP的應用拓撲，有三種模式?jīng)]有安裝PPTP協(xié)議的PPP客戶，首先連接提供PPTP支持的接入服務器同時裝有PPP和PPTP兩種適配器的客戶，可以通過撥號連接到ISP，再使用PPTP客戶端軟件與遠端PPTP服務器實現(xiàn)通信一臺直接連入互聯(lián)網(wǎng)的PC機可以配置成PPTP客戶機，直接與服務器建立VPN隧道。173.3PPTP協(xié)議

183.3PPTP協(xié)議

PPTP協(xié)議兩大組成部分

控制連接在PAC和PNS建立隧道前，必須在它們之間建立一個控制連接?？刂七B接負責隧道傳輸?shù)臅挼慕ⅰ⒐芾砗歪尫潘淼浪淼啦僮饔脕頌橛脩魰拏魉陀蒅RE封裝的PPP包。一條隧道中同時可以封裝多條用戶會話。193.3PPTP協(xié)議203.3PPTP協(xié)議PPTP協(xié)議工作流程

PPTP提供PPTP客戶機和PPTP服務器之間的加密通信撥號用戶建立PPTP會話的過程：撥號客戶端首先按常規(guī)方式撥號到ISP的接入服務器NAS，建立PPP連接客戶端進行第二次撥號建立到PPTP服務器的連接

PPTP采用了基于RSA公司RC4的數(shù)據(jù)加密方法，保證了虛擬連接隧道的安全性。213.3PPTP協(xié)議3.3.3PPTP分組封裝

PPTP協(xié)議分組封裝的工作方式是在TCP/IP包中封裝原始包

IP分組或其它非IP分組被封裝入PPP分組之中當PPP分組發(fā)送至PAC時，PPTP協(xié)議將其封裝入擴展的GRE頭之中。封裝后的數(shù)據(jù)作為IP分組的數(shù)據(jù)部分發(fā)送采用GRE封裝，從層次上將數(shù)據(jù)鏈路層的PPP分組提升到傳輸層協(xié)議數(shù)據(jù)223.3PPTP協(xié)議233.4L2TP協(xié)議

3.4.1L2TP協(xié)議綜述之前有PPTP和L2F協(xié)議

1996年Mirrosoft和Cisco向IETFPPP擴展工作組提交了PPTP和L2F的聯(lián)合版本，被命名第二層隧道協(xié)議（L2TP）

L2TP與PPTP很相似，一部分采用PPTP協(xié)議

L2TP實現(xiàn)了PPP幀在IP、X.25、幀中繼及ATM等多種網(wǎng)絡上的傳輸

L2TP提供了較為完善的身份認證機制243.4L2TP協(xié)議

3.4.1L2TP協(xié)議綜述術語解釋呼叫(call)

控制連接(controlconnection)

會話(session)

隧道（tunnel)

網(wǎng)絡接入服務器（NAS）

L2TP接入控制器（LAC）

L2TP網(wǎng)絡服務器（LNS）253.4L2TP協(xié)議

3.4.1L2TP協(xié)議綜述

L2TP的兩種實現(xiàn)模式強制模式：在這種方式中，提供L2TP服務的網(wǎng)絡訪問服務器作為LAC。遠程用戶只需向LAC撥號，建立PPP連接，然后由LAC建立一條通向目的LNS的隧道自愿模式：自愿模式是由LAC客戶自己建立、控制和管理VPN。

L2TP能夠支持多種網(wǎng)絡層協(xié)議如IP、IPX、Appleetalk等，支持任意的廣域網(wǎng)技術如幀中繼、ATM、X.25、SDH/SONET以及其它的以太網(wǎng)技術。263.4L2TP協(xié)議

3.4.2L2TP工作流程在強模式下建立L2TP會話的過程主要包括建立控制連接和建立會話。遠程用戶向ISP發(fā)起PPP請求

ISP判斷對此用戶是否提供虛擬的撥號訪問服務由LAC向LNS發(fā)起建立隧道的請求，并分配TunnelID

為用戶分配呼叫ID，之后，LAC向LNS發(fā)出入站呼叫請求

LNS為此呼叫產(chǎn)生一個虛擬接口進行L2TP封裝用戶向LNS發(fā)送終止請求分組，斷開鏈路273.4L2TP協(xié)議

3.4.3L2TP協(xié)議消息

L2TP使用兩種消息類型；控制消息和數(shù)據(jù)消息控制消息用于建立、維護和清除隧道與呼叫數(shù)據(jù)消息用于封裝在隧道上傳輸?shù)腜PP幀控制消息使用L2TP的可靠信道傳輸，而數(shù)據(jù)消息使用不可靠信道進行傳輸。

L2TP分組的封裝控制消息的類型與格式屬性值對（AVP）283.4L2TP協(xié)議

3.4.4控制連接控制連接建立是一個三次握手的過程。LAC和LNS都可以作為控制連接建立的發(fā)起者。與PPTP建立控制連接時有所不同，在L2TP中，不需要建立TCP連接的過程。在IP網(wǎng)絡中，L2TP封裝分組是通過UDP報文方式進行傳送的在控制連接的建立過程中，還可選擇性地進行身份認證。隧道的維護隧道的關閉293.4L2TP協(xié)議

3.4.5L2TP呼叫在控制連接建立后，就可進行會話建立的協(xié)商、維護和管理了出站呼叫的建立：當總部主機希望同遠程用戶進行通信時，LNS就要向用戶所在的LAC發(fā)起出站呼叫，此呼叫需要進行三次握手入站呼叫的建立：遠程用戶向總部發(fā)起訪問時，就必須建立入站呼叫。該呼叫也是一個三次握手過程。會話的維護會話的關閉303.5PPTP協(xié)議和L2TP協(xié)議分析3.5.1PPTP協(xié)議分析安全風險如下：在PAC和PNS之間，沒有提供任何認證機制對隧道上傳輸?shù)臄?shù)據(jù)沒有提供機密性的保護對隧道上的數(shù)據(jù)不提供完整性的保護可以通過PPP協(xié)議來提供補救措施，但控制消息與數(shù)據(jù)消息的機密性和完整性仍得不到有效的保護其安全性需要通過其它類型的安全服務（如IPsec)來彌補。

PPTP協(xié)議控制消息采用了固化的消息格式，不利于協(xié)議擴展

PPTP只適用于IP網(wǎng)絡，缺乏可移植性313.5PPTP協(xié)議和L2TP協(xié)議分析3.5.2L2TP協(xié)議分析與PPTP所做的改進：在協(xié)議的適用性方面，實現(xiàn)了在IP或非IP網(wǎng)絡的公共網(wǎng)絡上傳輸PPP分組在消息構造方面，L2TP協(xié)議利用AVP來構造消息，更加靈活在安全性方面，L2TP協(xié)議可以通過AVP隱藏，使用戶可以在隧道中安全地傳輸一些敏感信息，如用戶的ID、口令等。L2TP還可以在控制連接的建立之時選擇性地進行身份認證認證機制有限、不完善很大程度上要依賴PPP協(xié)議中提供的安全機制323.5PPTP協(xié)議和L2TP協(xié)議分析3.5.2L2TP協(xié)議分析

將IPSec與L2TP結合使用,既解決了IPSec只支持IP協(xié)議的問題,又保證了多協(xié)議數(shù)據(jù)報在隧道中傳輸?shù)陌踩?33小結

什么是PPP