Ist EAP-MSCHAP v2 sicher?
On Februar 14, 2021 by adminIch bin dabei, strengere VPN-Zugriffsrichtlinien durchzusetzen, nachdem ich von dem Angriff auf PPTP mit MSCHAP v2 erfahren habe. Grundsätzlich werde ich die herkömmlichen PPP-Authentifizierungsmethoden deaktivieren und stattdessen eine EAP-Methode verwenden.
Windows bietet eine ganze Reihe von EAPs, darunter EAP-MSCHAP v2. Kann ich zu Recht verstehen, dass dies nur das alte MSCHAP v2 ist, das im EAP-Format ohne zusätzlichen Schutz erstellt wurde? Mit anderen Worten, es muss innerhalb von PEAP (oder ähnlichem) verwendet werden, um den Angriff zu vereiteln, richtig?
Antwort
Wenn Sie Wenn Sie PEAPv0 mit EAP-MSCHAPv2-Authentifizierung verwenden, sollten Sie sicher sein, da die MSCHAPv2-Nachrichten über einen TLS-geschützten Tunnel gesendet werden. Wenn Sie keinen geschützten Tunnel verwenden würden, sind Sie tatsächlich anfällig .
Antwort
In diesen Fällen besteht die Möglichkeit, dass Sie ein SSL-VPN anstelle des herkömmlichen Tunnels vom Typ IPSEC verwenden Sie haben die Encyption ausgeschaltet. Sie müssten die Einstellung überprüfen, aber für mich ist der einzig sichere Weg, dies zu tun, das stärkste TLS 1.2. Wenn Sie tunneln und B2B ausführen, würde ich diese Lösung vermeiden und einen traditionelleren Tunnel mit der IPSEC durchführen.
Kommentare
- Das VPN-Protokoll in Frage ist PPTP nicht SSL. SSL und IPSec VPN verschlüsseln den Authentifizierungsprozess, sodass die Sicherheitsanfälligkeit von MS-CHAPv2 nicht ausgenutzt werden kann. PPTP ist das einzige häufig verwendete Protokoll mit diesem Problem.
Schreibe einen Kommentar