EAP-MSCHAP v2 este sigur?
On februarie 14, 2021 by adminSunt într-un proces de aplicare a unei politici de acces VPN mai stricte după ce am aflat despre atacul asupra PPTP cu MSCHAP v2. Practic, voi dezactiva metodele tradiționale de autentificare PPP și voi folosi în schimb o metodă EAP.
Windows oferă o gamă largă de EAP-uri, printre care EAP-MSCHAP v2. Sunt corect să înțeleg că acesta este doar vechiul MSCHAP v2 realizat în format EAP fără nicio protecție suplimentară? Cu alte cuvinte, trebuie utilizat în cadrul PEAP (sau similar) pentru a învinge atacul, nu?
Răspuns
Dacă utilizați PEAPv0 cu autentificare EAP-MSCHAPv2, atunci ar trebui să fiți sigur deoarece mesajele MSCHAPv2 sunt trimise printr-un tunel protejat TLS. Dacă nu ați folosi un tunel protejat, atunci sunteți într-adevăr vulnerabil .
Răspuns
În aceste cazuri, deoarece utilizați un VPN SSL în loc de tunelarea tradițională de tip IPSEC, există posibilitatea ca aveți criptarea dezactivată. Ar trebui să verificați setarea, dar pentru mine singurul mod sigur de a face acest lucru este prin cel mai puternic TLS 1.2. Dacă faci tuneluri și faci B2B, aș evita această soluție și aș face un tunel mai tradițional cu IPSEC.
Comentarii
- Protocolul VPN din întrebarea este PPTP nu SSL. SSL și IPSec VPN criptează procesul de autentificare, astfel încât vulnerabilitatea MS-CHAPv2 nu poate fi exploatată. PPTP este singurul protocol utilizat în mod obișnuit cu această problemă.
Lasă un răspuns