Är EAP-MSCHAP v2 säker?
On februari 14, 2021 by adminJag håller på att genomföra strängare VPN-åtkomstpolicy efter att ha lärt mig om attacken mot PPTP med MSCHAP v2. I grund och botten kommer jag att inaktivera de traditionella PPP-autentiseringsmetoderna och använda en EAP-metod istället.
Windows tillhandahåller ett stort antal EAP, bland dem EAP-MSCHAP v2. Är jag korrekt med att förstå att detta bara är den gamla MSCHAP v2 gjord i EAP-format utan något extra skydd? Med andra ord måste den användas inom PEAP (eller liknande) för att besegra attacken, eller hur?
Svar
Om du använder PEAPv0 med EAP-MSCHAPv2-autentisering, då ska du vara säker eftersom MSCHAPv2-meddelanden skickas genom en TLS-skyddad tunnel. Om du inte skulle använda en skyddad tunnel är du verkligen sårbar .
Svar
I dessa fall, eftersom du använder ett SSL VPN istället för den traditionella IPSEC-typen, finns det möjligheten att du har inaktiverat krypteringen. Du måste verifiera inställningen, men för mig är det enda verkliga säkra sättet att göra detta genom den starkaste TLS 1.2. Om du tunnlar och gör B2B skulle jag undvika den här lösningen och göra en mer traditionell tunnel med IPSEC.
Kommentarer
- VPN-protokollet i frågan är PPTP inte SSL. SSL och IPSec VPN krypterar autentiseringsprocessen så att sårbarheten för MS-CHAPv2 inte kan utnyttjas. PPTP är det enda vanliga protokollet med detta problem.
Lämna ett svar