Onko EAP-MSCHAP v2 turvallinen?
On helmikuu 14, 2021 by adminKäytän tiukempaa VPN-käyttöoikeuskäytäntöä saatuaan tietää PPTP: n hyökkäyksestä MSCHAP v2: lla. Pohjimmiltaan poistan käytöstä perinteiset PPP-todennusmenetelmät ja käytän sen sijaan EAP-menetelmää.
Windows tarjoaa melkoisen määrän EAP: ita, muun muassa EAP-MSCHAP v2. Ymmärränkö oikein, että tämä on vain vanha MSCHAP v2, joka on tehty EAP-muodossa ilman mitään lisäsuojaa? Toisin sanoen sitä on käytettävä PEAP: n (tai vastaavan) sisällä hyökkäyksen voittamiseksi, eikö?
Vastaa
Jos käytät PEAPv0: ta EAP-MSCHAPv2-todennuksen kanssa, sinun on oltava turvallinen, koska MSCHAPv2-viestit lähetetään TLS-suojatun tunnelin kautta. Jos et käytä suojattua tunnelia, olet todellakin haavoittuvainen .
Vastaa
Näissä tapauksissa, koska käytät SSL VPN: ää perinteisen IPSEC-tyyppisen tunneloinnin sijaan, on mahdollista, että salaus on pois päältä. Sinun on vahvistettava asetus, mutta minulle ainoa todellinen turvallinen tapa tehdä tämä on vahvimman TLS 1.2: n kautta. Jos tunnelit ja teet B2B: ta, vältän tämän ratkaisun ja tekisin perinteisemmän tunnelin IPSEC: n kanssa.
Kommentit
- VPN-protokolla kysymys on PPTP ei SSL. SSL ja IPSec VPN salaavat todennusprosessin, joten MS-CHAPv2: n haavoittuvuutta ei voida hyödyntää. PPTP on ainoa yleisesti käytetty protokolla, jossa on tämä ongelma.
Vastaa