EAP-MSCHAP v2 è sicuro?
Su Febbraio 14, 2021 da adminSono in procinto di applicare criteri di accesso VPN più rigidi dopo aver appreso dellattacco a PPTP con MSCHAP v2. Fondamentalmente questo disabiliterò i metodi di autenticazione PPP tradizionali e utilizzerò invece un metodo EAP.
Windows fornisce una vasta gamma di EAP, tra cui EAP-MSCHAP v2. Ho ragione a capire che questo è solo il vecchio MSCHAP v2 fatto nel formato EAP senza alcuna protezione aggiuntiva? In altre parole, deve essere utilizzato allinterno di PEAP (o simile) per sconfiggere lattacco, giusto?
Rispondi
Se tu stai utilizzando PEAPv0 con lautenticazione EAP-MSCHAPv2, dovresti essere al sicuro poiché i messaggi MSCHAPv2 vengono inviati attraverso un tunnel protetto da TLS. Se non utilizzi un tunnel protetto, sei effettivamente vulnerabile .
Risposta
In questi casi, poiché stai utilizzando una VPN SSL invece del tradizionale tunneling di tipo IPSEC, cè la possibilità che hai lencyption disattivato. Dovresti verificare limpostazione, ma per me lunico vero modo sicuro per farlo è attraverso il più potente TLS 1.2. Se esegui il tunneling e fai B2B, eviterei questa soluzione e farei un tunnel più tradizionale con IPSEC.
Commenti
- Il protocollo VPN in la domanda è PPTP non SSL. SSL e VPN IPSec crittografano il processo di autenticazione in modo che la vulnerabilità di MS-CHAPv2 non possa essere sfruttata. PPTP è lunico protocollo comunemente usato con questo problema.
Lascia un commento