Creds för denna text går till Jörgen Ottosson (tack för att jag fick använda texten!!).
(TIPS: klicka på bilderna för att kunna läsa texten lättare)
Pga det allmänna tekniska läget och nya förvecklingar sedan förra sommaren så bör vi börja betrakta PPTP som ett i praktiken öppet protokoll och därigenom olämpligt att använda i affärssammanhang.
PPTP är en typ av tunneltjänst som funnits inbyggd i Windows-system sedan Win95. Den har på senare år varit populär och inte minst efter allt prat om FRA-lagen och fildelning så känner en stor andel av sk ”vanligt folk” till detta också; inte ngn som har läst mainstream PC/IT-tidningar senaste 3 åren har undgått information om detta. Det finns alltså en massiv användning av PPTP på Internet.
Det har dock funnits kritik mot PPTP under lång tid och det har även tidigare gjorts justeringar för att lösa en del av de gamla problemen. Bruce Schneier var med och skrev ett paper tillsammans med Mudge (han som låg bakom L0phtcrack för er som har koll på hackerhistorien) redan 98/99:
http://www.schneier.com/paper-pptpv2.html
( http://en.wikipedia.org/wiki/Peiter_Zatko )
Angående senaste tidens förvecklingar, här lite snabbinfo, från en hackerkonferens i Las Vegas 2012:
Som en följd av ovanstående så har även Microsoft gått ut med information om hur man agerar för att hantera den nya situationen:
http://technet.microsoft.com/en-us/security/advisory/2743314
http://support.microsoft.com/kb/2744850
http://en.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol
Exempel på info från
Wikipedia.
Ett praktiskt resultat av detta
är att man tex genom att avlyssna trafik på ett relativt enkelt sätt skulle
kunna få tag i användaruppgifter för användare av PPTP-VPN och även läsa trafik
från både VPN samt WPA2-”enterprise”-skyddade trådlösa nät.
Generellt sett kan man säga att
PPTP är ett osäkert protokoll som har flera inbyggda svagheter och som även om
det går att lappa till viss del, helst bör undvikas helt, eftersom det finns
både IPsec och TLS-baserade lösningar som inte har den här typen av kända svagheter
idag.
//Jörgen
PS: För er som kör PPTP hemma
gäller följande: dumpa det och ta en tjänst baserad på OpenVPN istället. Dock
bör den vara certifikatbaserad och inte med enbart lösenord eftersom du annars
inte har perfect forward secrecy. (http://en.wikipedia.org/wiki/Perfect_forward_secrecy
)
Komplettering (även dessa av Jörgen, jag kan inte ta cred här heller :))
http://blog.cryptohaze.com/2012/08/cryptohaze-cloud-cracking-slides-writeup.html
https://www.cloudcracker.com/
https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/
http://blog.cryptohaze.com/2012/08/cryptohaze-cloud-cracking-slides-writeup.html
https://www.cloudcracker.com/
https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/
Inga kommentarer:
Skicka en kommentar