EAP-MSCHAP v2 est-il sécurisé?
On février 14, 2021 by adminJe suis en train dappliquer une politique daccès VPN plus stricte après avoir pris connaissance de lattaque sur PPTP avec MSCHAP v2. Fondamentalement, je désactiverai les méthodes dauthentification PPP traditionnelles et utiliserai une méthode EAP à la place.
Windows fournit toute une gamme dEAP, parmi lesquels EAP-MSCHAP v2. Ai-je raison de comprendre quil ne sagit que de lancien MSCHAP v2 réalisé au format EAP sans aucune protection supplémentaire? En dautres termes, il doit être utilisé dans PEAP (ou similaire) pour vaincre lattaque, non?
Réponse
Si vous utilisez PEAPv0 avec lauthentification EAP-MSCHAPv2, alors vous devez être en sécurité car les messages MSCHAPv2 sont envoyés via un tunnel protégé par TLS. Si vous nutilisez pas de tunnel protégé, vous êtes effectivement vulnérable .
Réponse
Dans ces cas, puisque vous utilisez un VPN SSL au lieu du tunnel de type IPSEC traditionnel, il est possible que vous avez désactivé le cryptage. Vous auriez à vérifier le paramètre, mais pour moi, le seul moyen sûr de le faire est dutiliser le TLS 1.2 le plus puissant. Si vous effectuez un tunneling et faites du B2B, jéviterais cette solution et ferais un tunnel plus traditionnel avec lIPSEC.
Commentaires
- Le protocole VPN dans question est PPTP pas SSL. SSL et VPN IPSec chiffrent le processus dauthentification afin que la vulnérabilité de MS-CHAPv2 ne puisse pas être exploitée. PPTP est le seul protocole couramment utilisé avec ce problème.
Laisser un commentaire