Windows NT 网络中 PPTP 协议的应用与配置
1. 数据加密与认证
在网络通信中,数据安全至关重要。对于特定操作系统,如果无法找到 CHAP 实现方式,可能不得不采用明文密码,这无疑增加了数据泄露的风险。
在 Windows NT 的 RAS 属性里,存在一个用于要求 RAS 连接进行数据加密的复选框。勾选此选项后,连接流中的所有数据将对拦截者变得不可读。不过,只有在同时选择要求 Microsoft 加密认证(即使用 MS - CHAP)时,才能勾选该复选框。这是因为 RAS 客户端和服务器会利用 MD4 哈希生成的值来推导加密会话密钥,采用的加密算法是 RSA 的 RC4,会话密钥长度为 40 位。
但由于美国出口法律限制,无法分发使用超过 40 位会话密钥的加密算法。而 40 位密钥在互联网上传输安全数据时又常被认为易受攻击。为满足对更好加密方法的需求,Microsoft 在 Windows NT 4.0 的美国版服务包 3 中加入了 128 位的“强”加密模块。
2. PPTP 协议的特点
PPTP 协议具有诸多优势,使其在网络连接中得到广泛应用。
-可用性:PPTP 包含在 Windows NT Server、Workstation 和 Windows 98 中,这些平台的用户无需额外购买软件即可使用。Microsoft 还免费提供 Windows 95/98 的 PPTP 升级。此外,许多不同品牌的远程访问交换机,如 Ascend、3Com 和 ECI Telematics 设备,也免费包含了 PPTP。这使得 PPTP 在产品部署方面具有巨大优势,Windows NT 网络管理员无需额外花费即可开始尝试使用 VPN。
-易于实现:在 Windows NT 系统中,PPTP 作为一种网络协议进行安装,就像 IPX/SPX、TCP/IP 或 NetBEUI 一样。在 RAS 中,使用名为 RASPPTPM 的 VPN 端口代替调制解调器作为 RAS 设备。熟悉网络协议和 RAS 设置的 Windows NT 管理员使用 PPTP 并不困难。在 Windows 95 系统中,PPTP 作为拨号适配器的新版本进行安装,而在 Windows 98 中,VPN 适配器可像调制解调器一样安装和用于 VPN 连接。在支持 PPTP 的远程访问交换机上,启用 PPTP 通常很简单,用户只需在其配置文件中添加 PPTP 服务器的 IP 地址即可。使用认证和计费软件(如 Merit Network 的 RADIUS 服务器)的 ISP 会发现,在用户配置文件中实现 PPTP 与 PPP 一样容易。
-多协议隧道:PPTP 的一大优势是能够对多种协议进行隧道传输。有些隧道软件只能传输 IP 数据包,而 PPTP 可以传输 RAS 当前支持的所有协议。通过 VPN 连接到 RAS 服务器的用户可以访问他们在局域网中通常可以使用的所有协议和服务器。对于 Windows NT 和 Windows 95/98 用户来说,他们的常规用户名、密码和与配置文件相关的所有访问权限都适用于拨号用户,他们可以像往常一样通过“网络邻居”浏览网络、访问文件服务器和网络打印机。
-使用企业和未注册 IP 地址的能力:当 VPN 用户通过 PPTP 连接到 RAS 服务器时,服务器可以为其分配 IP 地址。该地址可以是公司 IP 地址范围的一部分,使 RAS 用户的系统看起来就像在公司 IP 网络上。有些公司在内部网络中使用未注册的 IP 地址,这些地址由 Internet 编号分配机构(IANA)预留,可用于没有互联网访问或通过使用网络地址转换(NAT)的路由器访问互联网的 IP 网络。如果公司使用未注册的地址范围,使用 PPTP 的 RAS 客户端可以获得其中一个地址并访问公司 IP 网络。如果用户不使用 PPTP 直接拨号到 ISP 并尝试访问网络,则需要在公司防火墙中为该用户打开一个漏洞,而如果用户每次拨号到 ISP 时都获得动态 IP 地址,这几乎是不可能实现的。
3. 在 Windows NT RAS 服务器上安装和配置 PPTP
在 Windows NT 4.0 上安装和配置 PPTP 就像安装其他 Windows NT 组件一样简单,主要包括以下三个基本步骤:
3.1 安装 PPTP 协议
PPTP 协议不会自动安装在 Windows NT 4.0 服务器上,需要管理员手动将其添加到系统的活动网络协议列表中,并且需要 NT 4.0 CD - ROM 磁盘或可从其他位置访问的 NT 安装层次结构。具体安装步骤如下:
1. 在控制栏的“开始”菜单下,选择“设置”,然后选择“控制面板”。
2. 当控制面板窗口出现时,双击“网络”图标。
3. 在“网络”对话框中,点击“协议”选项卡。
4. 在对话框的“网络协议”列表中,查看当前系统中已安装的协议。如果之前未安装过 PPTP,它应该不在列表中。点击列表底部的“添加”按钮。
5. 会出现“选择网络协议”对话框,显示可用的协议列表。使用滚动条向下滚动列表,直到找到“点对点隧道协议”。选择该项并点击“确定”按钮。
6. 会出现一个名为“PPTP 配置”的对话框,在此必须选择要支持的虚拟专用网络数量(即允许同时连接到 RAS 服务器的 PPTP 连接数量),范围从 1 到 256。这里我们从选择框中选择 8 并点击“确定”。安装程序将扫描 NT 4.0 CD - ROM 磁盘以查找所需文件,或者要求您提供这些文件的位置。
3.2 设置 RAS
安装 PPTP 协议后,会自动进入 RAS 配置。会弹出一个设置消息,提示将调用 RAS 设置,点击此消息上的“确定”按钮继续。设置 RAS 以进行虚拟专用网络的步骤如下:
1. 会出现“远程访问设置”对话框,列出当前的 RAS 端口和设备。如果已经为 RAS 配置了调制解调器,它将显示在该框中。要配置 RAS 使用 PPTP 设备,点击“添加”按钮。
2. 会出现“添加 RAS 设备”对话框,使用下拉选择列表选择一个支持 RAS 的设备。除了系统的串行端口外,在“端口”标题下应该会看到一个 VPN 设备列表。每个设备将从 1 编号到安装 PPTP 协议时配置的最大 VPN 端口数。这里我们会看到为配置的八个端口各有一个设备。虽然 RAS 会自动为我们包含这些端口,但它只允许我们一次从列表中选择一个。选择要添加的端口后,点击“确定”按钮。然后需要再次从“远程访问设置”中点击“添加”按钮以重新开始该过程。
3. 新的 VPN 端口默认配置为仅用于拨号接入。如果希望将端口也设置为用于拨号呼出(后续会详细介绍),点击“远程访问设置”对话框中的“配置”按钮。
4. 同样从“远程访问设置”对话框中,可以点击“网络”按钮,进入所选 VPN 端口的“网络配置”对话框。后续会详细讨论该对话框中提供的选项。由于无法强制特定用户拨号到特定的 VPN 端口,因此最好将所有端口设置为相同的值。有经验的 RAS 管理员会发现这个对话框与配置常规拨号 RAS 连接时使用的对话框相同。
在“网络配置”对话框中,还可以进行以下设置:
-选择要隧道传输的协议:可以选择允许通过特定 VPN 端口的协议,选项包括 IP、IPX 和 NetBEUI。例如,为了让 Sara N. 能够访问 Internet 邮件服务器,我们启用 IP;为了让她能够连接到桌面机器的共享驱动器,我们启用 NetBEUI;同时禁用未使用的 IPX 协议。此外,还可以选择将用户限制在 RAS 服务器上,而不是让其访问整个网络,但不建议这样做,原因如下:
- 限制用户访问 RAS 服务器会降低 VPN 的吸引力,因为 VPN 的一大优势是为用户提供安全的远程访问,就像他们直接连接到局域网一样。
- 如果将远程用户访问限制在 RAS 服务器本身,可能意味着在 RAS 服务器上运行其他服务(如电子邮件或打印服务),或者将 RAS 服务器用作应用程序服务器。除非网络上的客户端不超过四个,否则不建议将 RAS 服务器用于除 RAS 之外的其他用途,否则服务器可能会因同时充当路由器和服务器而负担过重。
- PPTP RAS 服务器本身需要至少部分可从 Internet 访问,因此容易受到网络攻击。如果在 RAS 服务器上运行关键应用程序,并且服务器受到攻击而崩溃,应用程序也会随之停止。
-选择认证方法:RAS 中可用的认证方法有加密认证(CHAP)、Microsoft 增强加密认证(MS - CHAP)和明文认证(PAP)。可以要求使用 CHAP 或 MS - CHAP,也可以允许同时使用这两种加密方法和 PAP。在“网络配置”对话框中进行选择。如果所有客户端都支持(例如都是 Windows 客户端或在 Mac 上使用 TunnelBuilder),建议使用 MS - CHAP,因为使用它可以开启数据加密,使 PPTP 连接真正安全。如果客户端不支持 MS - CHAP,使用其他方法也是可以的,但存在通过 Internet 发送未加密数据和未加密密码(在使用 PAP 的情况下)的风险。
-使用 DHCP 进行 IP 地址协商:动态主机配置协议(DHCP)是为传入的 PPTP 客户端配置动态 IP 地址的理想方式。Windows NT 4.0 自带 DHCP 服务器服务,必须通过“网络控制面板”进行安装。按照安装 RAS 的说明进行操作,但安装的是 Microsoft DHCP 服务器服务。服务安装完成后,“开始”菜单的“管理工具”中会安装一个 DHCP 管理器程序。配置 DHCP 的步骤如下:
1. 在“开始” - “程序” - “管理工具”列表中,打开 DHCP 管理器。会出现 DHCP 管理器对话框。
2. 在“DHCP 服务器”列下,选择“本地机器”。然后转到“范围”菜单项并选择“创建”。
3. 会出现“创建范围”对话框,输入分配的起始地址和结束地址。这里我们选择 2.1.1.129 作为起始地址,2.1.1.136 作为结束地址。
4. 输入该范围的子网掩码。由于这些地址属于 2.1.1.0 范围,我们输入 255.255.255.0。
5. 此时,将排除范围地址留空,即不排除该范围内的任何地址。
6. 输入范围的名称为“拨号地址范围”,然后点击“确定”。当出现对话框询问是否要激活该范围时,点击“是”。
如果有多个 RAS 服务器,可能需要使用同样通过“网络控制面板”安装的 DHCP 中继代理 NT 服务。使用此服务,RAS 服务器会将连接客户端的 IP 地址请求转发到 DHCP 中继代理属性中指定的 DHCP 服务器,从而可以从单个中央池为网络上的每个 RAS 服务器分配 IP 地址,即使这些服务器位于不同的局域网中。
以下是安装和配置 PPTP 的步骤流程图:
graph LR A[开始] --> B[安装 PPTP 协议] B --> C[设置 RAS] C --> D[配置用户拨号访问] B1(选择设置和控制面板) --> B2(双击网络图标) B2 --> B3(点击协议选项卡) B3 --> B4(点击添加按钮) B4 --> B5(选择点对点隧道协议) B5 --> B6(配置 VPN 数量) C1(点击添加 RAS 设备) --> C2(选择 VPN 设备) C2 --> C3(配置端口属性) C3 --> C4(选择网络配置) C4 --> C5(选择协议) C4 --> C6(选择认证方法) C4 --> C7(配置 DHCP) D1(使用用户管理器) --> D2(编辑用户属性) D2 --> D3(设置拨号权限)3.3 PPTP 过滤
PPTP 过滤可用于限制谁可以连接到系统的 LAN 适配器。设置 PPTP 过滤的步骤如下:打开“网络控制面板”,点击“协议”选项卡,选择 TCP/IP,然后点击“属性”按钮,最后点击 TCP/IP 设置对话框中的“高级”按钮。在“高级 IP 寻址”框的底部是“启用 PPTP 过滤”复选框。
-使用 PPTP 过滤进行出站认证:在多宿主主机上,通过在连接到 LAN 的网络适配器上启用 PPTP 过滤,可以将其用作一种出站防火墙。内部网络的用户将像通过 PPP 链接一样拨打 PPTP 服务器,使用 RAS 服务器的 IP 地址作为电话号码。然后他们必须在 RAS 服务器上进行认证,才能使用服务器的路由功能隧道连接到 Internet。这使网络管理员能够限制 Internet 访问、监控谁在访问 Internet 以及访问时长,并限制同时进行的 Internet 连接数量。
-过滤注意事项:在只有一块网卡的 Windows NT 4.0 系统上启用 PPTP 过滤,可能会使正在运行的其他 NT 网络服务(如 DHCP 服务器服务和 FTP 服务器服务)对非 PPTP 客户端不可访问,因为适配器会对收到的任何请求都要求进行 PPTP 认证。有一种方法可以允许数据包到达 RAS 服务器本身,而不进入外部网络。需要安装 Windows NT 4.0 服务包 3 或更高版本,并在 Windows NT 注册表中添加特定条目。但编辑 Windows NT 注册表非常危险,无效的数据输入可能会损坏注册表并导致许多可能无法逆转的系统问题,甚至可能需要重新安装 Windows NT。因此,在操作之前一定要确保有最近的系统备份。具体操作是通过“开始”菜单中的“运行”选项,输入“REGEDIT.EXE”运行注册表编辑器。要添加的参数位于以下注册表键下:HKEY_LOCAL_MACHINE\SYSTEM\Services\RASPPTPE\Parameters\Configuration 。添加一个数据类型为 REG_DWORD 的新注册表项,命名为“AllowPacketsForLocalMachine”,并将其值设置为 1,然后输入更改并关闭注册表编辑器。更改需要重新启动系统才能生效。同时,不建议在 RAS 服务器上运行可能导致安全漏洞(如匿名 FTP)或干扰内部网络运行(如 DHCP)的服务。
3.4 按 IP 地址过滤
另一种安全措施是指定 RAS 服务器允许 PPTP 连接的 IP 地址。要实现这一点,远程用户需要其 ISP 分配的固定 IP 地址,并且需要知道这些地址。结合 PPTP 过滤,这可以使 RAS 服务器免受未经认证的连接和来自未经授权主机的连接的攻击。但这不能简单地通过图形用户界面完成,需要回到 Windows NT 4.0 注册表进行操作。再次运行注册表编辑器,转到以下注册表键:HKEY_LOCAL_MACHINE\SYSTEM\Services\RASPPTPE\Parameters\Configuration 。在此键下,需要创建一个数据类型为 REG_DWORD 的新条目,命名为“AuthenticateIncomingCalls”,并将其设置为十进制值 1。在同一键下,创建一个数据类型为 REG_MULTI_SZ 的新条目,命名为“PeerClientIPAddresses”,在此输入希望使用 PPTP 连接到 RAS 服务器的主机的有效 IP 地址,地址之间用单个空格分隔。
3.5 配置用户拨号访问
Windows NT RAS 下的拨号用户的设置方式与常规 Windows NT 域用户基本相同:
1. 使用“管理工具”菜单中的“域用户管理器”来添加或修改用户。
2. 编辑用户属性时,点击对话框左下角的“拨号”按钮。
3. 会出现“拨号信息”对话框,对于 PPTP 用户,勾选“授予用户拨号权限”,并将“回拨”单选按钮设置为“不回拨”。
通过以上步骤,可以在 Windows NT 网络中成功安装、配置和使用 PPTP 协议,实现安全、高效的虚拟专用网络连接。
Windows NT 网络中 PPTP 协议的应用与配置(续)
4. 应对不同 ISP 对 PPTP 的支持情况
不同的 ISP 对 PPTP 的支持情况各不相同,我们需要针对不同情况采取相应的措施,以确保 PPTP 连接的顺利建立。
- ISP 支持 PPTP:如果 ISP 支持 PPTP,对于用户来说是较为方便的。用户只需在其配置文件中添加 PPTP 服务器的 IP 地址,即可使用 PPTP 进行拨号连接。使用认证和计费软件(如 Merit Network 的 RADIUS 服务器)的 ISP 会发现,在用户配置文件中实现 PPTP 与 PPP 一样容易。
- ISP 不支持 PPTP:当 ISP 不支持 PPTP 时,我们可以考虑通过其他方式来解决。可以选择更换支持 PPTP 的 ISP,这是最直接的方法,但可能需要考虑费用、网络质量等因素。也可以使用其他支持 PPTP 的网络设备或软件来建立连接,不过这可能需要额外的设备或软件成本,并且配置过程可能会更加复杂。
以下是不同 ISP 支持情况的处理方式表格:
| ISP 支持情况 | 处理方式 | 优点 | 缺点 |
| — | — | — | — |
| 支持 PPTP | 在配置文件添加 PPTP 服务器 IP 地址 | 配置简单,与现有认证计费软件兼容 | 依赖 ISP 稳定性 |
| 不支持 PPTP | 更换支持 PPTP 的 ISP | 直接解决问题,享受稳定 PPTP 服务 | 可能涉及费用、网络质量问题 |
| 不支持 PPTP | 使用其他支持 PPTP 的网络设备或软件 | 不依赖 ISP 支持 | 有额外成本,配置复杂 |
5. 配置常用路由器支持 PPTP
为了让网络更好地支持 PPTP 连接,我们还可以对一些常用路由器进行配置。以下以两种常见路由器为例,介绍配置步骤:
5.1 路由器 A 配置步骤
- 打开浏览器,输入路由器的管理 IP 地址,进入路由器管理界面。
- 使用管理员用户名和密码登录。
- 在管理界面中找到“VPN 设置”或“PPTP 设置”选项。
- 启用 PPTP 功能,并设置相关参数,如最大连接数、认证方式等。
- 保存设置并重启路由器,使配置生效。
5.2 路由器 B 配置步骤
- 通过命令行界面(CLI)或图形用户界面(GUI)登录路由器。
- 进入系统配置模式,输入相应命令或在界面中找到 PPTP 配置选项。
- 配置 PPTP 服务器的 IP 地址、端口号等信息。
- 设置访问控制规则,如允许哪些 IP 地址进行连接。
- 保存配置并退出配置模式,重启路由器。
以下是路由器配置 PPTP 的流程图:
graph LR A[开始] --> B[登录路由器管理界面] B --> C{选择配置方式} C -->|GUI| D[找到 PPTP 设置选项] C -->|CLI| E[进入系统配置模式] D --> F[启用 PPTP 并设置参数] E --> G[配置 PPTP 相关信息] F --> H[保存设置并重启] G --> H H --> I[完成配置]6. PPTP 连接的测试与监控
当 PPTP 连接首次尝试失败时,我们需要进行一系列的测试和监控,以找出问题所在。以下是一些常见的测试和监控项目:
- 网络连通性测试:使用 ping 命令测试客户端与 PPTP 服务器之间的网络连通性。例如,在客户端命令提示符中输入“ping [PPTP 服务器 IP 地址]”,如果能够收到回复,则说明网络基本连通;如果无法收到回复,则需要检查网络线路、防火墙设置等。
- 端口开放测试:使用端口扫描工具(如 Nmap)检查 PPTP 服务器的相关端口(通常是 TCP 1723 端口)是否开放。如果端口未开放,可能是防火墙阻止了连接,需要调整防火墙规则。
- 日志监控:查看 PPTP 服务器和客户端的日志文件,了解连接过程中出现的错误信息。日志中可能会记录认证失败、协议不匹配等问题,根据日志信息进行针对性的排查。
以下是 PPTP 连接测试与监控的步骤列表:
1. 进行网络连通性测试,使用 ping 命令。
2. 进行端口开放测试,使用端口扫描工具。
3. 查看服务器和客户端日志文件,分析错误信息。
4. 根据测试和日志结果,调整网络设置、防火墙规则等。
5. 再次尝试连接,检查是否成功。
7. PPTP 与其他网络安全产品的交互
在实际网络环境中,PPTP 可能会与其他网络安全产品(如防火墙、入侵检测系统等)进行交互。我们需要了解它们之间的相互影响,以确保网络的安全性和稳定性。
- 与防火墙的交互:防火墙可能会阻止 PPTP 连接,需要在防火墙上开放 PPTP 所需的端口(如 TCP 1723 端口)和协议(如 GRE 协议)。同时,防火墙还可以对 PPTP 流量进行过滤,只允许特定的 IP 地址或用户进行连接。
- 与入侵检测系统的交互:入侵检测系统可以监测 PPTP 连接中的异常行为,如大量的连接请求、异常的数据包等。当检测到异常时,入侵检测系统可以发出警报或采取相应的防护措施。
以下是 PPTP 与其他网络安全产品交互的关系表格:
| 网络安全产品 | 与 PPTP 交互方式 | 作用 |
| — | — | — |
| 防火墙 | 开放端口和协议,过滤流量 | 保障 PPTP 连接安全,限制非法访问 |
| 入侵检测系统 | 监测异常行为,发出警报 | 及时发现并处理 PPTP 连接中的安全威胁 |
通过以上对不同情况的处理、路由器配置、连接测试监控以及与其他安全产品交互的介绍,我们可以更全面地掌握在 Windows NT 网络中使用 PPTP 协议的方法和技巧,从而建立更加安全、稳定的虚拟专用网络连接。
