Microsoft предупреждает, что VPN через PPTP с MS-CHAP v2 небезопасен

20 августа 2012 г. Microsoft выпустила совет по безопасности (2743314), предупреждающий, что решения VPN, использующие PPTP в сочетании с MS-CHAP v2 в качестве единственного метода аутентификации, уязвимы.

Microsoft известно, что подробный код эксплойта был опубликован для известных слабых мест в протоколе аутентификации Microsoft Challenge Handshake Authentication версии 2 (MS-CHAP v2). Протокол MS-CHAP v2 широко используется в качестве метода аутентификации в виртуальных частных сетях на основе протокола туннелирования точка-точка (PPTP).

Microsoft также утверждает, что в настоящее время им ничего не известно. о любых атаках, нацеленных на эту угрозу, но мы будем активно следить за ситуацией.

Согласно The H Security, код эксплойта был впервые представлен экспертом по шифрованию Мокси Марлинспайком на конференции Black Hat Conference 3 недели назад, который может взломать любое PPTP-соединение в течение 24 часов.

Основная проблема известна много лет: MS-CHAP v2 использует странно запутанную комбинацию трех операций DES. Эту комбинацию можно надежно взломать, испробовав все 256 возможных ключей DES — независимо от того, насколько сложен пароль. Специально разработанный сервер может выполнить эту задачу менее чем за день, используя FPGA.

Чтобы исправить дыру, Microsoft предлагает либо защитить PPTP/MS-CHAP v2 с помощью PEAP (2744850 КБ). или использовать более безопасный VPN-туннель, такой как L2TP, VPN Reconnect или SSTP.

Решение VPN на основе PPTP существует уже слишком долго. Пора отказаться от этого и ради лучшего.

Оцените статью
toodcast.ru
Добавить комментарий