پروتکل احراز هویت PPTP VPN اثبات شده بسیار مستعد حمله است

بعداً امروز ، جوشوا رایت نسخه به روزرسانی شده از ابزار کرک رمز عبور فوق العاده با سرعت بالا به نام ASLEAP را منتشر کرد. برای کسانی که قبلاً با ASLEAP آشنا هستید ، ممکن است تعجب کنید که این چه ارتباطی با پروتکل PPTP VPN مایکروسافت دارد زیرا ASLEAP یک ابزار حمله به فرهنگ لغت تأیید اعتبار است. خوب آن زمان بود و اکنون این است. ASLEAP فقط پشتیبانی احراز هویت PPTP را اضافه کرده است تا بتواند جلسات احراز هویت PPTP VPN را به همان راحتی که ممکن است با احراز هویت LEAP Wireless LAN کرک کند. نتیجه نهایی این است که ما هنوز یک پروتکل تأیید هویت دیگری داریم که طول عمر آن طولانی تر شده است و فقط نشان می دهد که بیل گیتس وقتی او اعلام کرد رمز عبور را مرده بود ، شوخی نمی کند.

سه ماه پیش ، من در تلاش بودم تفاوت بین آنها را توضیح دهم. PPTP و L2TP VPN به یک دوست در حالی که مشغول کار روی یک داستان شکستن در SP2 بود که Windows XP SP2 به طور پیش فرض عملکرد NAT-T را در L2TP VPN شکست. در حالی که سعی داشتم تفاوت ها را توضیح دهم ، متوجه شدم که چگونه تأیید هویت PPTP مشابه به تأیید هویت LEAP است که در آن هر دو فقط برای محافظت از رمز عبور کاربر فقط به MSCHAPv2 متکی بودند. من کلمه ای را به جوشوا رایت ارسال کردم و او بلافاصله گفت که می توان ASLEAP را تغییر داد تا روی PPTP درست کار کند ، همانطور که در تأیید اعتبار LEAP انجام داد. سه ماه بعد ، کد کاملاً عملیاتی شده است و من فرصتی برای بررسی اثربخشی آن داشتم.

ASLEAP در سال 2003 توسط جوشوا رایت ایجاد شد تا ثابت کند که یک سیستم احراز هویت مبتنی بر گذرواژه مانند Cisco LEAP به دلیل وجود امنیت نیست. ضعف ناخوشایند ، به انسان اعتماد می کند تا رمزهای عبور قوی را حفظ کند. هشت ماه بعد در اواسط 2004 پس از اینکه سیسکو شانس انتشار پروتکل به روز شده در LEAP را داشت ، جوشوا ASLEAP را به SourceForge منتشر کرد. PPTP یک پروتکل مایکروسافت VPN است که در سال 1999 به عنوان RFC برای دسترسی از راه دور ایمن منتشر شده است. در سال های اخیر ، در بسیاری از شبکه های مستقر در مایکروسافت ، لوازم فایروال و حتی محیط های خالص لینوکس و منبع باز استفاده می شود. به طور دقیق ، هرگز از لحاظ فنی با پروتکل احراز هویت LEAP یا PPTP MSCHAPv2 هیچ اشتباهی از نظر فنی وجود نداشت ، زیرا هر دو به عنوان تبلیغ کار می کردند. هر دو سیسکو و مایکروسافت از همان ابتدا هشدار داده اند که هنگام استفاده از برنامه های تأیید اعتبار مبتنی بر گذرواژه ، باید از رمزهای عبور قوی استفاده کرد. متأسفانه رمزهای عبور قوی (یا حتی عبارات عبور قوی) به سادگی با اکثر Homo sapiens ناسازگار هستند و اگر مسئله را مجبور کنید ، آنها را با نوشتن رمزهای عبور بر روی یک یادداشت چسبناک و ضربه زدن به آن به مانیتور خود از راه خود خارج خواهید کرد. . از آنجا که کلمات عبور قوی به ندرت در عمل پیاده می شوند ، شما شرایطی دارید که محصول به سادگی از امنیت کافی برخوردار نیست تا ما را از خود محافظت کند . همانطور که بروس اشنیر دوست دارد بگوید ، "هر رمز عبوری که منطقی انتظار داشته باشید کاربر را بخاطر بسپارد ، می تواند اجباری یا حدس زده شود". ASLEAP فقط اتفاق می افتد که آن نکته را کاملاً واضح می کند زیرا این امکان را داشت که از طریق یک رایانه رومیزی رایانه ای ، از طریق جدول هش رمز عبور از پیش محاسبه شده 4 گیگابایتی با سرعت 45 میلیون رمز عبور ، اسکن شود. این نسخه جدید ASLEAP نه تنها سازگاری PPTP را اضافه می کند ، بلکه حداکثر اندازه دیتابیس را به 4 ترابایت و امکان اسکن مستقیم هوا با استفاده از کارت شبکه بی سیم و یک اسنایفر معمولی در Microsoft Windows گسترش می دهد. در نتیجه ، نقاط مهم شبکه بی سیم به تازگی برای تأیید هویت PPTP کشنده شده اند و افرادی که از PPTP برای جایگزینی لایه واقعی Datalink استفاده می کنند ، امنیت بی سیم LAN نیز از آنها صرفه جویی نمی شود و برای رمز عبور رمز باز است.

وقتی جوشوا رایت این را اعلام کرد تیم رسمی پاسخگویی امنیتی مایکروسافت ، مایکروسافت این پاسخ رسمی را داد.

• یک خط مشی رمز عبور قوی را پیاده سازی و اجرا کنید.
• اگر کاربران مایل به ادامه استفاده از PPTP باشند ، باید به جای مکانیسم پیش فرض تأیید MSCHAPv2 ، احراز هویت EAP-TLS را به کار گیرند.
• به یک VPN مبتنی بر L2TP / IPSEC تغییر دهید.

ارزیابی و توصیه های من در مورد این توصیه است:

• مشکل اولین توصیه این است که کلمات عبور قوی به ندرت در واقعیت اجرا می شوند و استفاده از آن برای کاربران بسیار دشوار است. این واقعیت که کاربران احتمالاً در پایان نوشتن رمزهای عبور خود را در یک مکان مناسب به پایان می رسانند ، احتمالاً صدمات بیشتری را نسبت به خوبی ایجاد می کند. بیل گیتس وقتی درست می گوید "رمز عبور مرده است" کاملاً درست است.
• در مورد استفاده از احراز هویت EAP-TLS با PPTP ، این یک راه حل قوی است و در هنگام احراز هویت PPTP از رمزهای عبور ضعیف محافظت می کند. با این حال ، اجرای احراز هویت EAP-TLS با Microsoft PPTP به "گواهی های رایانه" از طرف سرور نیاز دارد و به "گواهی های کاربر" در سمت مشتری نیاز دارد. استقرار خودکار "گواهینامه های رایانه" در یک شبکه مبتنی بر Active Directory Microsoft 2000 2000 یا 2003 Active Directory نسبتاً ساده است ، اما "گواهی کاربر" چندان ساده نیست. شما باید از سرور Windows 2003 Enterprise Edition استفاده کنید تا از ثبت نام خودکار "گواهی کاربر" پشتیبانی کند.
• تبدیل به پایگاه L2TP / IPSEC احتمالاً بهترین توصیه در اینجاست و شما می توانید از رمزگذاری IPSEC 3DES مبتنی بر استاندارد استفاده کنید. از آنجا که L2TP فقط به سرور و Client به "گواهینامه های رایانه" نیاز دارد ، می توان از طریق فروشگاههای Windows 2000 یا Windows 2003 Standard Edition این گواهینامه ها را مستقر کرد. توجه داشته باشید که برای عملی شدن L2TP VPN ، باید آخرین مشتری VPN با قابلیت NAT-T مایکروسافت را به صورت رایگان برای همه نسخه های ویندوز در دسترس داشته باشید. ویندوز XP SP2 دارای یک سرویس دهنده NAT-T است ، اما به طور پیش فرض تا حدودی فلج شده است و این در یک داستان قبلی توضیح داده شده است. اگر این مقاله دانش بنیان را بخوانید می توانید آن را برطرف کنید. برای اطلاعات بیشتر در مورد گواهینامه های L2TP و دیجیتال مایکروسافت می توانید به اینجا و اینجا بروید.

نامربوط به مایکروسافت ، بسیاری از وسایل فایروال و پروژه های منبع باز وجود دارند که از PPTP با احراز هویت MSCHAPv2 استفاده می کنند. برای آن دسته از سازمانهایی که به این دسته تعلق دارند ، توصیه مشابه است و آنها باید به یک راه حل L2TP / IPSEC VPN تغییر دهند. خوشبختانه برای آنها ، گواهینامه های L2TP و دیجیتال کاملاً توسط منبع آزاد پشتیبانی می شوند. می توانید اطلاعات خوبی در مورد اجرای L2TP Open Source در اینجا کسب کنید.