第3讲第三章P和L2TP协议

0安全协议与标准北京信息科技大学刘凯liukai@第三讲1安全协议与标准

第三章PPTP和L2TP协议2上节课回顾TCP/IP协议簇的分层结构

TCP/IP协议簇协议的安全隐患

TCP/IP的安全架构3第三章PPTP和L2TP协议

3.1概述

3.2PPP协议

3.3PPTP协议

3.4L2TP协议

3.5PPTP协议和L2TP协议分析

43.1概述

PPTP和L2TP都属于第二层的隧道协议.PPP协议是为同等单元之间设计的链路层协议.上述二个协议依靠PPP协议的各种特性链路层的隧道技术将第二层连接的端点与PPP会话的端点分离,通过公共网进行互联.

为改变PPTP协议的兼容性问题,Microsoft和Cisco提交了L2TP协议,作为IETF规范.该协议保证了L2F和PPTP中最出色的部分.

比起PPTP,L2TP突破了只能在IP网络上传输的局限性,并且提供了较为完善的身份认证机制.53.2PPP协议

设计的目的是通过拨号或专线方式建立点对点的连接.是建立各种简单连接的共同解决方案.

3.2.1PPP协议的基本原理

PPP协议的定义：PPP协议提供了一种标准的方式在点对点的链路上传输多种网络层协议的数据报。如图(书中p35),主机通过调制解调器接入Internet,在主机和ISP的路由器之间通过PPP协议建立连接.63.2PPP协议

73.2PPP协议

3.2.1PPP协议的基本原理

PPP协议的特点:支持点到点的连接，不同于X.25、framerelay等数据链路层协议，具有CHAP、PAP验证协议，更好的保证了网络的安全性。PPP的物理层既支持数据为8位和无奇偶校验的异步模式，还支持面向比特位的同步链接，如framerelay必须为同步电路。PPP有针对不同网络层的网络控制协议，如IPCP,IPXCP。并且允许双方协商是否对报文首部进行压缩。83.2PPP协议

3.2.1PPP协议的基本原理

PPP协议分3个组成部分:

一种将上层数据包封装到串行链路的方法一个用来建立、配置和测试数据链路连接的链路控制协议（LCP）一套网络控制协议（NCP）封装格式如下图：标志1B1B2B缺省1500B0x7E0xFF0x031B2B1B0x7E1B=1Byte（字节）固定值93.2PPP协议3.2.1PPP协议的基本原理

PPP协议的状态图如下：链路不可用阶段链路建立阶段验证阶段网络层协议阶段链路终止阶段失败LCP报文可选，由配置决定LCP报文通过关闭103.2PPP协议3.2.2PPP协议中的安全机制

PAP协议(二次握手)用户名/密码路由器A路由器B被验证方验证方接受/拒绝PPP封装113.2PPP协议CHAP协议回应接受/拒绝PPP封装路由器A路由器B被验证方验证方挑战123.2PPP协议

CHAP协议工作过程

CHAP对PAP进行了改进,但依然存在一些风险:

在服务器端,用户口令是以明文形式存放的协议只支持认证服务器对用户的单向认证为防止插入信道攻击,服务器需要周期性地发送呼叫信息以重新认证.周期过长,会为入侵者留下攻击时间;周期过短,增加通信双方的计算量133.2PPP协议

MPPE协议由微软设计.

规定了如何在数据链路层对通信进行机密性保护的机制.

通过PPPCCP协商,实现MPPE加密.

协议没有规定协商密钥的方法,而是假定使用MPPE协议之前,双方已经共享了一个密钥.143.3PPTP协议

3.3.1PPTP协议综述

最初是由Microsoft设计、PPTP论坛开发的点对点安全隧道协议可以建立PC到LAN的VPN连接相关术语解释呼叫（CALL）控制连接（controlconnection)

网络接入服务器（NAS）

PPTP接入控制器（PAC）

PPTP网络服务器（PNS）会话（session)

隧道（tunnel)153.3PPTP协议

3.3.1PPTP协议综述

协议的目标只在PAC和PNS之间实现在IP网络上也能给PPP会话提供隧道PAC和PNS之间可形成多对多的关系

PPTP使用改进的通用路由封装协议（GREv2）来传输用户的PPP数据包。

163.3PPTP协议

3.3.1PPTP协议综述

PPTP的应用拓扑，有三种模式没有安装PPTP协议的PPP客户，首先连接提供PPTP支持的接入服务器同时装有PPP和PPTP两种适配器的客户，可以通过拨号连接到ISP，再使用PPTP客户端软件与远端PPTP服务器实现通信一台直接连入互联网的PC机可以配置成PPTP客户机，直接与服务器建立VPN隧道。173.3PPTP协议

183.3PPTP协议

PPTP协议两大组成部分

控制连接在PAC和PNS建立隧道前，必须在它们之间建立一个控制连接。控制连接负责隧道传输的会话的建立、管理和释放隧道隧道操作用来为用户会话传送由GRE封装的PPP包。一条隧道中同时可以封装多条用户会话。193.3PPTP协议203.3PPTP协议PPTP协议工作流程

PPTP提供PPTP客户机和PPTP服务器之间的加密通信拨号用户建立PPTP会话的过程：拨号客户端首先按常规方式拨号到ISP的接入服务器NAS，建立PPP连接客户端进行第二次拨号建立到PPTP服务器的连接

PPTP采用了基于RSA公司RC4的数据加密方法，保证了虚拟连接隧道的安全性。213.3PPTP协议3.3.3PPTP分组封装

PPTP协议分组封装的工作方式是在TCP/IP包中封装原始包

IP分组或其它非IP分组被封装入PPP分组之中当PPP分组发送至PAC时，PPTP协议将其封装入扩展的GRE头之中。封装后的数据作为IP分组的数据部分发送采用GRE封装，从层次上将数据链路层的PPP分组提升到传输层协议数据223.3PPTP协议233.4L2TP协议

3.4.1L2TP协议综述之前有PPTP和L2F协议

1996年Mirrosoft和Cisco向IETFPPP扩展工作组提交了PPTP和L2F的联合版本，被命名第二层隧道协议（L2TP）

L2TP与PPTP很相似，一部分采用PPTP协议

L2TP实现了PPP帧在IP、X.25、帧中继及ATM等多种网络上的传输

L2TP提供了较为完善的身份认证机制243.4L2TP协议

3.4.1L2TP协议综述术语解释呼叫(call)

控制连接(controlconnection)

会话(session)

隧道（tunnel)

网络接入服务器（NAS）

L2TP接入控制器（LAC）

L2TP网络服务器（LNS）253.4L2TP协议

3.4.1L2TP协议综述

L2TP的两种实现模式强制模式：在这种方式中，提供L2TP服务的网络访问服务器作为LAC。远程用户只需向LAC拨号，建立PPP连接，然后由LAC建立一条通向目的LNS的隧道自愿模式：自愿模式是由LAC客户自己建立、控制和管理VPN。

L2TP能够支持多种网络层协议如IP、IPX、Appleetalk等，支持任意的广域网技术如帧中继、ATM、X.25、SDH/SONET以及其它的以太网技术。263.4L2TP协议

3.4.2L2TP工作流程在强模式下建立L2TP会话的过程主要包括建立控制连接和建立会话。远程用户向ISP发起PPP请求

ISP判断对此用户是否提供虚拟的拨号访问服务由LAC向LNS发起建立隧道的请求，并分配TunnelID

为用户分配呼叫ID，之后，LAC向LNS发出入站呼叫请求

LNS为此呼叫产生一个虚拟接口进行L2TP封装用户向LNS发送终止请求分组，断开链路273.4L2TP协议

3.4.3L2TP协议消息

L2TP使用两种消息类型；控制消息和数据消息控制消息用于建立、维护和清除隧道与呼叫数据消息用于封装在隧道上传输的PPP帧控制消息使用L2TP的可靠信道传输，而数据消息使用不可靠信道进行传输。

L2TP分组的封装控制消息的类型与格式属性值对（AVP）283.4L2TP协议

3.4.4控制连接控制连接建立是一个三次握手的过程。LAC和LNS都可以作为控制连接建立的发起者。与PPTP建立控制连接时有所不同，在L2TP中，不需要建立TCP连接的过程。在IP网络中，L2TP封装分组是通过UDP报文方式进行传送的在控制连接的建立过程中，还可选择性地进行身份认证。隧道的维护隧道的关闭293.4L2TP协议

3.4.5L2TP呼叫在控制连接建立后，就可进行会话建立的协商、维护和管理了出站呼叫的建立：当总部主机希望同远程用户进行通信时，LNS就要向用户所在的LAC发起出站呼叫，此呼叫需要进行三次握手入站呼叫的建立：远程用户向总部发起访问时，就必须建立入站呼叫。该呼叫也是一个三次握手过程。会话的维护会话的关闭303.5PPTP协议和L2TP协议分析3.5.1PPTP协议分析安全风险如下：在PAC和PNS之间，没有提供任何认证机制对隧道上传输的数据没有提供机密性的保护对隧道上的数据不提供完整性的保护可以通过PPP协议来提供补救措施，但控制消息与数据消息的机密性和完整性仍得不到有效的保护其安全性需要通过其它类型的安全服务（如IPsec)来弥补。

PPTP协议控制消息采用了固化的消息格式，不利于协议扩展

PPTP只适用于IP网络，缺乏可移植性313.5PPTP协议和L2TP协议分析3.5.2L2TP协议分析与PPTP所做的改进：在协议的适用性方面，实现了在IP或非IP网络的公共网络上传输PPP分组在消息构造方面，L2TP协议利用AVP来构造消息，更加灵活在安全性方面，L2TP协议可以通过AVP隐藏，使用户可以在隧道中安全地传输一些敏感信息，如用户的ID、口令等。L2TP还可以在控制连接的建立之时选择性地进行身份认证认证机制有限、不完善很大程度上要依赖PPP协议中提供的安全机制323.5PPTP协议和L2TP协议分析3.5.2L2TP协议分析

将IPSec与L2TP结合使用,既解决了IPSec只支持IP协议的问题,又保证了多协议数据报在隧道中传输的安全性.33小结

什么是PPP