Er EAP-MSCHAP v2 sikker?
On februar 14, 2021 by adminJeg er i en proces med at håndhæve strengere VPN-adgangspolitik efter at have lært om angrebet på PPTP med MSCHAP v2. Dybest set vil jeg deaktivere de traditionelle PPP-godkendelsesmetoder og bruge en EAP-metode i stedet.
Windows leverer en hel række EAPer, blandt dem EAP-MSCHAP v2. Er jeg korrekt med at forstå, at dette kun er den gamle MSCHAP v2, der er udført i EAP-format uden yderligere beskyttelse? Med andre ord skal det bruges i PEAP (eller lignende) for at besejre angrebet, ikke?
Svar
Hvis du bruger PEAPv0 med EAP-MSCHAPv2-godkendelse, så skal du være sikker, da MSCHAPv2-meddelelserne sendes gennem en TLS-beskyttet tunnel. Hvis du ikke bruger en beskyttet tunnel, er du faktisk sårbar .
Svar
I disse tilfælde, da du bruger en SSL VPN i stedet for den traditionelle IPSEC-type tunnel, er der muligheden for du har kryptering slået fra. Du bliver nødt til at kontrollere indstillingen, men for mig er den eneste rigtige sikre måde at gøre dette på gennem den stærkeste TLS 1.2. Hvis du tunnellerer og laver B2B, ville jeg undgå denne løsning og gøre en mere traditionel tunnel med IPSEC.
Kommentarer
- VPN-protokollen i spørgsmålet er PPTP ikke SSL. SSL og IPSec VPN krypterer godkendelsesprocessen, så sårbarheden ved MS-CHAPv2 ikke kan udnyttes. PPTP er den eneste almindeligt anvendte protokol med dette problem.
Skriv et svar