Is EAP-MSCHAP v2 veilig?
Geplaatst op februari 14, 2021 door adminIk ben bezig met het handhaven van een strikter VPN-toegangsbeleid nadat ik heb vernomen over de aanval op PPTP met MSCHAP v2. In principe zal ik de traditionele PPP-authenticatiemethoden uitschakelen en in plaats daarvan een EAP-methode gebruiken.
Windows biedt een behoorlijk aantal EAPs, waaronder EAP-MSCHAP v2. Heb ik gelijk als ik begrijp dat dit gewoon de oude MSCHAP v2 is, gedaan in het EAP-formaat zonder enige aanvullende bescherming? Met andere woorden, het moet binnen PEAP (of vergelijkbaar) worden gebruikt om de aanval te verslaan, toch?
Answer
Als je gebruik PEAPv0 met EAP-MSCHAPv2-authenticatie, dan zou u veilig moeten zijn aangezien de MSCHAPv2-berichten worden verzonden via een TLS-beveiligde tunnel. Als u geen beschermde tunnel zou gebruiken, bent u inderdaad kwetsbaar .
Antwoord
Aangezien u in deze gevallen een SSL VPN gebruikt in plaats van de traditionele IPSEC-tunneling, bestaat de mogelijkheid dat je hebt de encyption uitgeschakeld. Je zou de instelling moeten verifiëren, maar voor mij is de enige echt veilige manier om dit te doen via de sterkste TLS 1.2. Als je tunnelt en B2B doet, zou ik deze oplossing vermijden en een meer traditionele tunnel doen met de IPSEC.
Opmerkingen
- Het VPN-protocol in vraag is PPTP, niet SSL. SSL en IPSec VPN versleutelen het authenticatieproces zodat de kwetsbaarheid van MS-CHAPv2 niet kan worden misbruikt. PPTP is het enige veelgebruikte protocol met dit probleem.
Geef een reactie