Ist das Windows-VPN sicher?

15

Ich habe im Laufe der Jahre einige VPN-Lösungen verwendet. Die meisten sind schwer einzurichten, langsam zu verbinden und / oder verhalten sich eher schlecht (Systemtreiber ersetzen, sich gegenseitig stören usw.).

Eine Lösung, die ich noch nie zuvor verwendet habe, ist die in Windows integrierte. Dies liegt vor allem daran, dass die Infrastruktur-Leute es immer ablehnen, es zu nutzen, weil sie behaupten, es sei "nicht sicher".

Jetzt habe ich endlich die Möglichkeit gehabt, es zu benutzen (unter Windows 7), und wow, es ist ein Kinderspiel! Es ist einfach einzurichten, verhält sich gut, stellt fast sofort eine Verbindung her, authentifiziert sich automatisch mit meinen Anmeldeinformationen und lässt sich hervorragend in die Benutzeroberfläche integrieren. Ich muss sagen, wenn es nicht wirklich sicher ist, bin ich froh, wenn ich nie wieder ein anderes VPN-Produkt verwenden muss.

Ich sammle das Windows-VPN, das verwendet wird, um sich auf PPTP zu verlassen, was nicht als sicher angesehen wird. In Windows 7/2008 werden jedoch L2TP / IPSec, SSTP und IKEv2 unterstützt und die Authentifizierung erfolgt mit EAP oder CHAP / CHAPv2. Das scheint mir ziemlich aktuell zu sein.

Aber ich bin nur ein bescheidener Entwickler. Kann mir jemand, der Bescheid weiß, einen Überblick darüber geben?

Tor Haugen
quelle

Antworten:

17

Wie bei allen Sicherheitsaspekten hängt es davon ab, wie Sie sie konfigurieren.

Es kann sehr sicher eingerichtet werden. Zu einem bestimmten Zeitpunkt (Circa Win98) hatte es Probleme. Seitdem hat MS es behoben (Circa 1999). Es gibt eine Kryptoanalyse davon hier ; Unterm Strich sind Benutzerpasswörter das schwächste Glied (wie es sein sollte).

Einige Probleme mit dem Benutzerkennwort können mithilfe von Clientauthentifizierungszertifikaten behoben werden. Wenn Sie bereits über eine gute PKI-Infrastruktur verfügen, stellen Sie wahrscheinlich bereits automatisch Client-Zertifikate (Computer) aus. PPTP kann diese verwenden, um zu beweisen, dass der Computer einen Benutzernamen und ein Kennwort versuchen darf. Zertifikate sind jedoch nicht erforderlich, und PPTP ist immer noch so sicher wie Ihre Passwörter.

MS bietet Artikel zum Einrichten von PPTP (einschließlich EAP / TLS) und L2TP (für L2TP sind Zertifikate / PKI erforderlich) . Beide sind für Win2003, aber sie reichen aus, um eine Vorstellung davon zu bekommen, was erforderlich ist. und es gibt Dokumente für 2008. Wie in den Kommentaren erwähnt, sind alle Variationen von PAP und CHAP unsicher (weil sie mit unbedeutenden Ressourcen brutal gezwungen werden können).

Wenn Ihre IT Ihnen mitteilt, dass PPTP unsicher ist, haben sie die Probleme entweder nicht behoben (seit <1999) oder sie verwenden "unsicher" aus einem anderen Grund als Abhilfemaßnahme.

Chris S
quelle
1
MSCHAPv2 ist fehlerhaft. es kann in Stunden brutal gezwungen werden. Sie müssen hier EAP-TLS für die Authentifizierung ausführen. Und dann ist da noch RC4 ...
Michael Hampton
7

In der Zwischenzeit ist Chris 'Antwort veraltet. PPTP ist unsicher, wie von Moxie Marlinspike bewiesen . Daher sollten nur L2TP / IPSec, IPSec mit IKEv2 oder OpenVPN verwendet werden.

Fuggi
quelle
Ja, das passiert im Laufe der Zeit ...
Chris S
Ganz
Aber warum ist PPTP noch in Windows 10?
Sleeper Smith