Come posso sapere se un tunnel PPTP è sicuro?

8

È stato dimostrato che il PPTP è danneggiato in molti modi e la maggior parte delle installazioni non sono sicure. Ma è anche non teoricamente rotto se configurato correttamente.

Come utente finale, c'è un modo semplice per me di dire se un tunnel PPTP offerto a me (ad esempio dal mio posto di lavoro, o società di hosting) è sicuro?

    
posta tylerl 21.01.2013 - 19:46
fonte

1 risposta

5

PPTP, in base alla progettazione, aveva vulnerabilità note. Soprattutto quando si tratta di sistemi basati su Windows. La maggior parte delle vulnerabilità note sono state affrontate, ma alcune di esse esistono ancora che porteranno ad attacchi come il DoS o la compromissione delle informazioni. Quando si considerano i sistemi basati su Windows, anche MSChap v2. Crittografia Point to Point di Microsoft abbastanza debole (un massimo di 128 bit). Fondamentalmente è necessario utilizzare i metodi EAP per una protezione strong.

Anche se fornisce l'autenticazione, la crittografia e il filtraggio dei pacchetti, esistono altri problemi:

  1. Nessuna protezione per le informazioni di intestazione IP, GRE e PPP (fondamentalmente, problemi di protezione per i pacchetti PPP NCP). I dati sono sicuri ma le negoziazioni iniziali sulla connessione possono essere vulnerabili se acquisite (durante l'autenticazione).
  2. Vulnerabilità come difesa bassa contro il dirottamento di sessione, attacchi di bit-flipping ecc.
  3. Se la crittografia RC4 presenta alcuni punti deboli.

È consigliato L2TP con IPSec (o qualsiasi altro con ssl / tls ipsec / ike).

Gli strumenti di penetrazione possono essere utilizzati per testare ma non è un compito facile per un utente finale. Fondamentalmente, gli strumenti sviluppati per Linux con l'intenzione di test di penetrazione (nessun singolo strumento, combinazione) possono essere utilizzati, ma il processo non è adatto all'utente normale.

L'utente ha la possibilità di verificare i metodi di sicurezza utilizzati nella connessione. Ad esempio, aprendo il quadrante nelle proprietà e andando alla scheda Sicurezza (Windows). La crittografia dei dati deve essere "Massima crittografia della forza (disconnetti se il server declina)". L'autenticazione dovrebbe essere EAP-TLS, PEAP o Smart Card. MSChapv2 è assolutamente sconsigliato (meno sicuro). Si raccomanda la sicurezza basata sui certificati. Per verificare se le richieste DNS sono sicure, lui / lei può utilizzare strumenti online come GRC. A proposito: PPTP non è affatto sicuro. È obsoleto e può essere rotto usando nthash

    
risposta data 05.02.2013 - 07:26
fonte

Leggi altre domande sui tag