Czy protokół EAP-MSCHAP v2 jest bezpieczny?
On 14 lutego, 2021 by adminJestem w trakcie egzekwowania bardziej rygorystycznej polityki dostępu VPN po uzyskaniu informacji o ataku na PPTP z użyciem protokołu MSCHAP v2. Zasadniczo wyłączę tradycyjne metody uwierzytelniania PPP i zamiast tego użyję metody EAP.
System Windows zapewnia szeroki zakres protokołów EAP, w tym EAP-MSCHAP v2. Czy mam rację, rozumiejąc, że to tylko stary MSCHAP v2 wykonany w formacie EAP bez dodatkowej ochrony? Innymi słowy, musi być używany w PEAP (lub podobnym), aby pokonać atak, prawda?
Odpowiedź
Jeśli korzystasz z protokołu PEAPv0 z uwierzytelnianiem EAP-MSCHAPv2, powinieneś być bezpieczny, ponieważ wiadomości MSCHAPv2 są wysyłane przez tunel chroniony TLS. Jeśli nie używałbyś chronionego tunelu, to rzeczywiście jesteś podatny na ataki .
Odpowiedź
W takich przypadkach, ponieważ używasz SSL VPN zamiast tradycyjnego tunelowania typu IPSEC, istnieje możliwość, że masz wyłączoną encypcję. Musiałbyś zweryfikować ustawienie, ale dla mnie jedynym bezpiecznym sposobem na to jest użycie najsilniejszego TLS 1.2. Jeśli tunelujesz i robisz B2B, unikałbym tego rozwiązania i zrobiłbym bardziej tradycyjny tunel z IPSEC.
Komentarze
- Protokół VPN w pytanie brzmi: PPTP, a nie SSL. SSL i IPSec VPN szyfrują proces uwierzytelniania, więc nie można wykorzystać luki MS-CHAPv2. PPTP jest jedynym powszechnie używanym protokołem z tym problemem.
Dodaj komentarz