几个月前我们买了一个新的防火墙,一个 Netgear UTM9S,我们启用的功能之一是 PPTP VPN,使远程用户能够访问 SQL、Web 和文件服务器。但是现在,在阅读了这篇关于 MSCHAP V2 被破坏的 Ars Technica 文章后,我想知道我们是否应该为此担心并关闭 PPTP 并启用其他 VPN 选项之一?SSL 和 IPSEC 选项可用,需要阅读手册才能移动到它们,还要配置每台用户机器,所以我们应该花时间在这上面吗?或者这只是 FUD?
AskOverflow.Dev
几个月前我们买了一个新的防火墙,一个 Netgear UTM9S,我们启用的功能之一是 PPTP VPN,使远程用户能够访问 SQL、Web 和文件服务器。但是现在,在阅读了这篇关于 MSCHAP V2 被破坏的 Ars Technica 文章后,我想知道我们是否应该为此担心并关闭 PPTP 并启用其他 VPN 选项之一?SSL 和 IPSEC 选项可用,需要阅读手册才能移动到它们,还要配置每台用户机器,所以我们应该花时间在这上面吗?或者这只是 FUD?
好吧,这不是 FUD:MSCHAPv2 在其设计中有一个合理的弱点,并且已经发布了一个工具,允许攻击者利用该弱点。研究人员发表的实际文章有更多细节和他们的建议。
您自己的公司可能不会立即成为 teh hax0rz 的目标:必须对需要提交以供分析的流量进行网络捕获,因此您的远程用户之一可能会在攻击者正在寻找的地方使用您的 VPN要利用的 MSCHAPv2 流量。由于涉及多个步骤,您可能不会看到对故意破坏感兴趣的人(即,想要破坏咖啡店中每个人的 Facebook 页面的人)。攻击此 VPN 流量的攻击者将很少见,但如果遇到,则严重得多。
关于切换到 IPSEC,请注意有关 IPSEC-PSK 的文章中的警告:您应该使用证书或非常复杂的预共享密钥,因为 IPSEC-PSK 容易受到字典攻击。