Je EAP-MSCHAP v2 bezpečný?
On 14 února, 2021 by adminJsem v procesu prosazování přísnějších zásad přístupu VPN poté, co jsem se dozvěděl o útoku na PPTP s MSCHAP v2. V zásadě to deaktivuji tradiční metody autentizace PPP a místo toho použiji metodu EAP.
Windows poskytuje celou řadu EAP, mezi nimi EAP-MSCHAP v2. Mám pravdu, když chápu, že se jedná pouze o starý MSCHAP v2 ve formátu EAP bez další ochrany? Jinými slovy, musí být použit v rámci PEAP (nebo podobného) k porážce útoku, že?
Odpovědět
Pokud používáte PEAPv0 s ověřováním EAP-MSCHAPv2, měli byste být v bezpečí, protože zprávy MSCHAPv2 jsou odesílány prostřednictvím tunelu chráněného TLS. Pokud byste nepoužili chráněný tunel, jste skutečně zranitelní .
Odpověď
V těchto případech, protože místo tradičního tunelování typu IPSEC používáte SSL VPN, existuje možnost, že máte vypnutou encyklaci. Budete muset toto nastavení ověřit, ale jediný skutečný bezpečný způsob, jak toho dosáhnout, je přes nejsilnější TLS 1.2. Pokud tunelujete a děláte B2B, vyhnul bych se tomuto řešení a provedl bych tradičnější tunel s IPSEC.
Komentáře
- Protokol VPN v otázka je PPTP, ne SSL. SSL a IPSec VPN šifrují proces ověřování, takže nelze zneužít zranitelnost MS-CHAPv2. PPTP je jediný běžně používaný protokol s tímto problémem.
Napsat komentář