VPN 보안
보안은 VPN의 중요한 부분입니다. 다음은 PPTP VPN 연결의 보안 기능에 대한 설명입니다.
PPTP 연결
PPTP는 사용자 인증과 암호화를 제공합니다.
PPP에서 사용자 인증
PPTP 연결을 시도하는 사용자는 MS-CHAP, CHAP, SPAP, PAP 등과 같은 PPP 기반 사용자 인증 프로토콜을 사용하여 인증됩니다. PPTP 연결에는 상호 인증을 제공하고 자격을 교환하기 위한 가장 안전한 방법인 MS-CHAP 버전 2를 권장합니다.
MPPE에서 암호화
PPTP는 RSA RC4 스트림 암호를 사용하는 MPPE 암호화를 상속합니다. MPPE는 MS-CHAP(버전 1 또는 2) 인증 프로토콜을 사용하는 경우에만 사용할 수 있습니다.
MPPE는 40비트나 128비트 암호화 키를 사용할 수 있습니다. 40비트 키는 국제적으로 사용할 수 있게 설계되었으며 미국 암호화 내보내기 법(encryption export law)을 따릅니다. 128비트 키는 남미에서 사용할 수 있게 설계되었습니다. 기본적으로 VPN 클라이언트와 VPN 서버에서 지원하는 최고 키 크기는 연결 성립 과정에서 협상됩니다. VPN 서버가 VPN 클라이언트에서 지원하는 키 크기보다 높은 것을 요구하면 연결 시도가 거절됩니다.
MPPE는 기본적으로 보낸 순서대로 패킷을 받는 지점간 링크을 통해 암호화하도록 설계되었습니다(이때 패킷이 약간 손실됨). 이 환경에서 각 패킷의 해독은 이전 패킷의 해독에 따라 다릅니다.
그러나 VPN의 경우 인터넷으로 보낸 IP 데이터그램을 보낸 순서와 다르게 받을 수 있지만 패킷의 많은 부분이 손실될 수 있습니다. 따라서 MPPE는 VPN 연결에 맞게 각 패킷의 암호화를 변경합니다. 각 패킷의 해독은 이전 패킷과 관련이 없습니다. MPPE에는 MPPE 머리글의 일련 번호가 들어 있습니다. 패킷을 손실하거나 순서와 다르게 받으면 일련 번호에 따라 암호화 키가 변경됩니다.
PPTP 패킷 필터링
PPTP 기반 VPN 서버는 일반적으로 두 가지 물리적 인터페이스를 가집니다. 하나는 인터넷과 같은 공유 또는 공용 네트워크의 인터페이스고 다른 하나는 개인 인트라넷의 인터페이스입니다. 이것은 또한 모든 VPN 클라이언트에 연결된 가상 인터페이스를 가집니다. VPN 서버에서 VPN 클라이언트 간에 소통을 전달하려면 모든 인터페이스에서 IP를 전달할 수 있어야 합니다. 그러나 두 물리적 인터페이스 간에 전달하면 VPN 서버가 모든 IP 소통을 공유 또는 공용 네트워크에서 인트라넷으로 라우팅하게 됩니다. 인트라넷에서 VPN 클라이언트가 모든 소통을 보내지 않도록 하려면 VPN 서버가 VPN 클라이언트와 인트라넷 간에만 라우팅하고 공유 또는 공용 네트워크와 인트라넷 사용자 간에는 라우팅하지 않도록 PPTP 패킷 필터링을 설정해야 합니다.
VPN 서버나 중간 방화벽에서 PPTP 패킷 필터링을 설정할 수 있습니다.
