PPTP đưa ra một số dịch vụ khác nhau cho PPTP client và server. Những dịch vụ này bao gồm các dịch vụ sau:
• Mã hóa và nén dữ liệu.
• Thẩm định quyền ( Authentication).
• Điều khiển truy cập ( Accsee control).
• Trích học Packet.
Ngoài các cơ chế bảo mật cơ bản nói trên, PPTP có thể được sử dụng kết hợp với firewall va router.
Mã hóa và nén dữ liệu PPTP
PPTP không cung cấp cơ chế mã hóa bảo mật dữ liệu. Thay vì nó dùng dịch vụ mã hóa được đưa ra bởi PPP. PPP lần lượt dùng Microsoft Point-to-Point Encryption (MPPE), đây là phương pháp mã hóa shared secret.
Phương pháp shared secret thường dùng trong mục đích mã hóa trong trường hợp PPP là ID của người dùng và nó tương ứng với mật khẩu. 40-bit session key thường dùng để mã hóa user. Thuật toán băm được dùng để cấp khóa là thuật toán RSA RC4. Khóa này được dùng để mã hóa tất cả dữ liệu được trao đổi qua tunnel. Tuy nhiên, 40- bit key thì quá ngắn và quá yếu kém đói với các kĩ thuật hack ngày nay. Vì thế, phiên bản 128-bit key ra đời. Nhằm làm giảm rủi ro, Microsoft đòi hỏi khóa phải được làm tươi sau 256 gói packet.
PPTP Data Authentication IP
Header HeaderGRE HeaderPPP (IP datagram, IPX datagram, NetBEUI frame)PPP Payload Encrypted
- MS-CHAP ( Microsoft Challenge Handshake Authentication Protocol). MS- CHAP là một phiên bản tùy biến của Microsoft của CHAP và được dùng làm phương pháp xác nhận cơ bản cho PPP. Bởi vì nó tương đối mạnh như CHAP, chức năng của MS-CHAP thì hoàn toàn tương tự CHAP. Hai điểm khác nhau chính giữa hai cơ chế này là CHAP dựa trên thuật toán hàm băm RSA MD5, MS-CHAP thì dựa trên RSA RC4 và DES. Vì lý do thực tế MS-CHAP đã phát triển đơn độc cho các sản phẩm của Microsoft ( Windows 9x và một số phiên bản Windows NT), nó không được hổ trợ bởi các nền tảng khác.
- PAP ( Pasword Authentication Protocol). PAP là phương pháp đơn giản và thương được triển khai nhiều nhất trong giao thức xác nhận quay số. Nó cũng dùng để các nhận các kết nối PPP. Tuy nhiên, nó gửi user ID và mật khẩu trong một định dạng chưa mã hóa thông qua kết nối. Một kẻ hở khác của PAP là chie xác nhận 1 lần điêmt thông tin cuối ở giai đoạn thiết lập kết nối. Vì lý do đó, nếu một hacker xâm nhập vào kết nối được một lần, anh ta sẽ không phải lo lắng gì hơn nữa về xác nhận. Chính vì lý do đó, PAP được xem là một giao thức xác nhận kém nhất và vì thế nó không được ưu thích trong cơ chế xác nhận của VPN.
Điều kiện truy cập PPTP.
Sau khi PPTP Client từ xa được xác nhận thành công, nó sẽ truy csspj vào tài nguyên mạng đã bị giới hạn bới lý do bảo mật, Để đạt được mục tiêu này, có thể triển khai một số cơ chế điều khiển truy cập sau:
• Access rights
•Permissions
•Workgroups
Trích lọc các gói dữ liệu PPTP
Việc trích lọc các gói dữ liệu PPTP cho phép một PPTP server trên một mạng riêng chấp nhận và định tuyến các gói dữ liệu từ những PPP client đã được xá nhận thành công. Kết quả, chỉ có những PPP Client đã được xác nhận mới được cấp quyền truy cập vào mạng từ xa riêng biệt. Bằng cách này, PPTP không chỉ cung cấp các cơ chế xác nhận, điều khiển truy cập và mã hóa mà còn tăng độ bảo mật trong mạng.