PPTP-VPN

PPTP-VPN-Sicherheitsrisiken

PPTP ist die VPN-Implementierung von Microsoft, die es seit Windows NT gibt. Benutzer neigen dazu, PPTP zu verwenden, da es normalerweise auf Windows-Desktops mit einer Verknüpfung konfiguriert ist, die sich den Benutzernamen und das Kennwort für den schnellen Zugriff merkt. In Verbindung mit der richtigen Namensauflösung (historisch WINS) und jetzt DNS können Benutzer das Netzwerk problemlos nach Freigaben und Druckern durchsuchen. Am Back-End wird Windows Server PPTP vom Systemadministrator mit der Rolle „Routing and Remote Access“ (RRAS) konfiguriert. Während sich die Tools zum Verwalten und Bereitstellen von PPTP-Systemen mit jeder neuen Version von Windows geändert haben, ist man sich allgemein einig, dass PPTP im Vergleich zu modernen Alternativen unsicher ist und zusätzliche indirekte Supportkosten verursacht, selbst wenn es auf die Unterstützung von SSTP aktualisiert wird.

Das PPTP-Protokoll selbst gilt nicht mehr als sicher, da das Knacken der anfänglichen MS-CHAPv2-Authentifizierung auf die Schwierigkeit reduziert werden kann, einen einzelnen 56-Bit-DES-Schlüssel zu knacken, was mit aktuellen Computern in sehr kurzer Zeit brutal erzwungen werden kann (wodurch ein starkes Passwort, das für die Sicherheit von PPTP weitgehend irrelevant ist, da der gesamte 56-Bit-Schlüsselraum innerhalb praktischer Zeitbeschränkungen durchsucht werden kann).

Der Angreifer erfasst den Handshake (und jeden PPTP-Datenverkehr danach), führt einen Offline-Crack des Handshakes durch und leitet den RC4-Schlüssel ab. Sobald der RC4-Schlüssel abgeleitet ist, kann der Angreifer den im PPTP-VPN übertragenen Datenverkehr entschlüsseln und analysieren. PPTP unterstützt keine Forward Secrecy, daher reicht es aus, nur eine PPTP-Sitzung zu knacken, um alle vorherigen PPTP-Sitzungen mit denselben Anmeldeinformationen zu knacken.

PPTP bietet einen schwachen Schutz für die Integrität der getunnelten Daten. Die RC4-Chiffre bietet zwar eine Verschlüsselung, überprüft jedoch nicht die Integrität der Daten, da es sich nicht um eine Authentifizierte Verschlüsselung mit zugehörigen Daten (AEAD) handelt. PPTP führt auch keine zusätzlichen Integritätsprüfungen für seinen Datenverkehr durch und ist anfällig für Bit-Flipping-Angriffe, z. B. kann der Angreifer die PPTP-Pakete mit geringer Erkennungsmöglichkeit modifizieren. Verschiedene entdeckte Angriffe auf die RC4-Chiffre (wie der Angriff von Royal Holloway) machen RC4 zu einer schlechten Wahl für die Sicherung großer Mengen übertragener Daten, und VPNs sind ein erstklassiger Kandidat für solche Angriffe, da sie normalerweise sensible und große Datenmengen übertragen.

PPTP-Port

Das Point-to-Point Tunneling Protocol (PPTP) verwendet den TCP-Port 1723 und das IP-Protokoll 47 Generic Routing Encapsulation (GRE). Port 1723 kann von ISPs blockiert werden und GRE IP Protocol 47 kann von vielen modernen Firewalls und Routern nicht durchgelassen werden.

PPTP-Schwachstellen

Sicherheitsexperten haben PPTP überprüft und zahlreiche bekannte Schwachstellen aufgelistet, darunter:

MS-CHAP-V1 ist grundsätzlich unsicher

Es gibt Tools, die die NT-Passwort-Hashes einfach aus dem MS-CHAP-V1-Authentifizierungsverkehr extrahieren können. MS-CHAP-V1 ist die Standardeinstellung auf älteren Windows-Servern

MS-CHAP-V2 ist anfällig

MS-CHAP-V2 ist anfällig für Wörterbuchangriffe auf erfasste Challenge-Response-Pakete. Es gibt Tools, um diesen Austausch schnell zu knacken

Brute-Force-Angriffsmöglichkeiten

Es wurde gezeigt, dass die Komplexität eines Brute-Force-Angriffs auf einen MS-CHAP-v2-Schlüssel einem Brute-Force-Angriff auf einen einzelnen DES-Schlüssel entspricht. Da keine integrierten Optionen für die Multi-Faktor-/Zwei-Faktor-Authentifizierung vorhanden sind, bleiben PPTP-Implementierungen sehr anfällig.

Zusätzliche Supportkosten

Achten Sie auf die zusätzlichen Supportkosten, die üblicherweise mit PPTP und Microsoft VPN Client verbunden sind.

  • Standardmäßig wird das Windows-Netzwerk eines Endbenutzers durch das VPN-Netzwerk des Büros geleitet. Infolgedessen bleibt das interne Netzwerk für Malware offen und verlangsamt das gesamte Internet für alle Benutzer im Büro.
  • PPTP ist in der Regel an vielen Standorten aufgrund bekannter Sicherheitsprobleme blockiert, was zu Anrufen beim Helpdesk führt, um Verbindungsprobleme zu lösen.
  • Konflikte mit bürointernen Subnetzen an entfernten Standorten können das Microsoft-VPN-Routing blockieren, was zu keiner Konnektivität und wiederum zu zusätzlichen Supportkosten führt.
  • Geringfügige Netzwerkschwankungen können den Microsoft VPN-Client während der Verwendung trennen und Dateien beschädigen, was zu Wiederherstellungen und Arbeitsverlusten führt.
  • Die IT-Abteilung muss eine zusätzliche Flotte von Unternehmens-Laptops mit vorkonfiguriertem Microsoft VPN für jeden potenziellen Remote-Benutzer unterhalten.
  • Malware vom Typ Crypto Locker kann Dateien über den VPN-Tunnel frei verschlüsseln.

MyWorkDrive als Lösung

MyWorkDrive fungiert als perfekt VPN-Alternative Lösung

Im Gegensatz zu MyWorkDrive entfallen die Sicherheitsrisiken der Unterstützung von Microsoft PPTP- oder SSTP-VPNs:

  • Benutzer erhalten einen eleganten, benutzerfreundlichen Web File Manager-Client, auf den von jedem Browser aus zugegriffen werden kann.
  • IT-Supportkosten entfallen – Benutzer melden sich einfach mit ihren bestehenden Windows Active Directory-Anmeldeinformationen an oder verwenden ADFS oder einen beliebigen SAML-Anbieter, um auf Unternehmensfreigaben und Home-Laufwerke zuzugreifen und Dokumente online zu bearbeiten/anzuzeigen.
  • Mobile Clients für Android/iOS und MyWorkDrive Desktop Mapped Drive-Clients sind verfügbar.
  • Im Gegensatz zu VPN blockieren Sie Dateitypen und erhalten Warnungen, wenn Dateiänderungen festgelegte Schwellenwerte überschreiten, um Ransomware zu blockieren.
  • Aus Sicherheitsgründen unterstützen alle MyWorkDrive-Clients die DUO-Zwei-Faktor-Authentifizierung.

Daniel, Gründer von MyWorkDrive.com, ist seit 1992 in verschiedenen Funktionen im Technologiemanagement für Unternehmen, Behörden und Bildungseinrichtungen in der San Francisco Bay Umgebung tätig. Daniel ist in Microsoft-Technologien zertifiziert und schreibt über Informationstechnologie, Sicherheit und Strategie, und hat überdies das US Patent Nr. #9985930 für "Remote Access Networking" erlangt.