Az EAP-MSCHAP v2 biztonságos?
On február 14, 2021 by adminSzigorúbb VPN-hozzáférési házirendet hajtok végre, miután megismertem a PPTP elleni támadást az MSCHAP v2-vel. Alapvetően ezzel kikapcsolom a hagyományos PPP hitelesítési módszereket, és ehelyett EAP módszert használok.
A Windows meglehetősen sokféle EAP-t biztosít, köztük az EAP-MSCHAP v2-t. Helyesen értem, hogy ez csak a régi MSCHAP v2, amelyet EAP formátumban készítettek minden további védelem nélkül? Más szavakkal, a PEAP-on belül (vagy hasonlóval) kell használni a támadás legyőzéséhez, igaz?
Válasz
Ha PEAPv0-t használnak EAP-MSCHAPv2 hitelesítéssel, akkor biztonságban kell lennie, mivel az MSCHAPv2 üzeneteket TLS-védett alagúton keresztül küldik. Ha nem használna védett alagutat, akkor valóban sebezhető .
Válasz
Ezekben az esetekben, mivel SSL VPN-t használ a hagyományos IPSEC típusú alagutak helyett, fennáll annak a lehetősége, hogy ki van kapcsolva a titkosítás. Ellenőriznie kellene a beállítást, de számomra ennek egyetlen igazi biztonságos módja a legerősebb TLS 1.2. Ha alagutat végez és B2B-t csinál, kerülném ezt a megoldást, és egy hagyományosabb alagutat csinálnék az IPSEC-szel.
Megjegyzések
- A VPN protokoll kérdés a PPTP és nem SSL. Az SSL és az IPSec VPN titkosítja a hitelesítési folyamatot, így az MS-CHAPv2 sebezhetőségét nem lehet kihasználni. A PPTP az egyetlen általánosan használt protokoll ezzel a problémával.
Vélemény, hozzászólás?