Portar

Port 1723: PPTP

Äldre VPN-kontrollkanal. Dataplanet använder GRE och säkerhetsmodellen är föråldrad.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

TCP port 1723 används av PPTP, ett äldre VPN-protokoll, och det visar att en port endast kan representera en del av en större tunnel. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd. En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar.

Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda. Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket.

PPTP använder TCP 1723 för kontrollkanalen där klienten och servern förhandlar om tunnelinstallation och autentisering. Den faktiska användardatan överförs separat med GRE, vilket är IP-protokoll 47, inte TCP eller UDP, så en fungerande PPTP-anslutning kräver vanligtvis att både TCP 1723 och GRE tillåts genom brandväggar.

I praktiken upprättar en klient först kontrollanslutningen till port 1723, tunneln skapas och sedan kapslas PPP-ramar in i GRE för datavägen. Säkerhetsmässigt anses PPTP vara föråldrad på grund av kända kryptografiska svagheter, så att se 1723 öppen indikerar ofta äldre fjärråtkomst som bör migreras till moderna VPN:er.

Hur det fungerar i stora drag

  1. Klienten ansluter till 1723 för att ställa in en kontrollsession och förhandla om PPP-parametrar.
  2. En GRE-tunnel bär den inkapslade datatrafiken.
  3. Autentisering och kryptering beror på de valda PPP-mekanismerna, som är svaga enligt moderna standarder.

Konkret exempel

En fjärranvändare ansluter till en äldre PPTP-server. Kontrollsessionen är på 1723, men själva trafiken är inne i GRE. Många brandväggar behandlar denna kombination olika, vilket är en anledning till att PPTP orsakar supportärenden.

Varför det är viktigt

PPTP är huvudsakligen en risksignal. Dess kryptografiska val är föråldrade och det är allmänt avskräckt. Om du tycker att PPTP är aktiverat bör du anta att det finns av äldre skäl och prioritera en migrering till ett modernt VPN.

Säkerhetsperspektiv

  • Föredrar moderna VPN som WireGuard eller IPsec baserade lösningar.
  • Om PPTP inte kan tas bort omedelbart, begränsa det till ett litet internt användningsfall och planera en tidslinje för att ta bort det.
  • Övervaka anslutningar och inaktivera svaga autentiseringsmetoder.

Vanliga fallgropar

  • Förutsatt att PPTP är säkert eftersom det kallas ett VPN.
  • Blockering endast 1723 och glömma GRE krävs för tunneln.
  • Lämna det aktiverat för kompatibilitet långt efter att det behövs.