有一种新的工具和服务可以很容易地破解用于保护 VPN 的 MS-CHAP v2。可以在 Ars Technica 找到针对 MS-CHAP 附加的一个很好的总结。这是我目前在 Windows 2003 R2 SP2 上运行 VPN 服务的配置方式:
我应该或可以只使用 EAP 吗?我使用 VPN 的客户端机器是 Windows-XP(我可以关闭的少数机器)、Windows 7 和 iPad。我没有任何 RADIUS 路由器或 wifi 或任何其他依赖 Windows VPN 服务的东西。我的机器拥有的 EAP 方法是:
PEAP 通过 SSL 保护身份验证。如果证书经过验证,它必须是强大的。 http://en.wikipedia.org/wiki/Protected_Extensible_Authentication_Protocol
它实际上并不容易破解,需要中间人攻击才能工作。如果我正确地阅读了漏洞利用——在实验室之外几乎不可能做到。只要有足够的时间和精力,几乎任何东西都是易碎的。我建议的一件事是停止使用 Server 2003(现在是 2012 年……而 Server 2012 即将推出)……并且至少查看内置于 2008 R2 服务器中的 SSTP VPN,或者将 directconnect 视为一个解决方案。其他人会使用诸如 Cisco ASA 5510 和 anyconnect 之类的专用设备。如果您要保护有价值的数据,您还需要拥有一个多重身份验证系统——例如 RSA 安全 ID 钥匙扣……只要知道几乎所有解决方案都是可以破解的,尽管在适当的条件下——你正在尝试做什么是制造是人类可能的困难。