PPTP-VPN

PPTP-VPN-Sicherheitsrisiken

PPTP ist die VPN-Implementierung von Microsoft, die es seit Windows NT gibt. Benutzer neigen dazu, PPTP zu verwenden, da es normalerweise auf Windows-Desktops mit einer Verknüpfung konfiguriert ist, die sich den Benutzernamen und das Kennwort für den schnellen Zugriff merkt. In Verbindung mit der richtigen Namensauflösung (historisch WINS) und jetzt DNS können Benutzer das Netzwerk problemlos nach Freigaben und Druckern durchsuchen. Auf dem Back-End wird Windows Server PPTP vom Systemadministrator mit der Routing- und RAS-Rolle (RRAS) konfiguriert. Während sich die Tools zum Verwalten und Bereitstellen von PPTP-Systemen mit jeder neuen Version von Windows geändert haben, ist man sich allgemein einig, dass PPTP im Vergleich zu modernen Alternativen unsicher ist und zusätzliche indirekte Supportkosten verursacht, selbst wenn es auf die Unterstützung von SSTP aktualisiert wird.

Das PPTP-Protokoll selbst gilt nicht mehr als sicher, da das Knacken der anfänglichen MS-CHAPv2-Authentifizierung auf die Schwierigkeit reduziert werden kann, einen einzelnen 56-Bit-DES-Schlüssel zu knacken, was mit aktuellen Computern in sehr kurzer Zeit brutal erzwungen werden kann (wodurch ein starkes Passwort, das für die Sicherheit von PPTP weitgehend irrelevant ist, da der gesamte 56-Bit-Schlüsselraum innerhalb praktischer Zeitbeschränkungen durchsucht werden kann).

Der Angreifer erfasst den Handshake (und jeden PPTP-Datenverkehr danach), führt einen Offline-Crack des Handshakes durch und leitet den RC4-Schlüssel ab. Sobald der RC4-Schlüssel abgeleitet ist, kann der Angreifer den im PPTP-VPN übertragenen Datenverkehr entschlüsseln und analysieren. PPTP unterstützt keine Forward Secrecy, daher reicht es aus, nur eine PPTP-Sitzung zu knacken, um alle vorherigen PPTP-Sitzungen mit denselben Anmeldeinformationen zu knacken.

PPTP bietet einen schwachen Schutz für die Integrität der getunnelten Daten. Die RC4-Chiffre bietet zwar eine Verschlüsselung, überprüft jedoch nicht die Integrität der Daten, da es sich nicht um eine Authentifizierte Verschlüsselung mit zugehörigen Daten (AEAD) handelt. PPTP führt auch keine zusätzlichen Integritätsprüfungen für seinen Datenverkehr durch und ist anfällig für Bit-Flipping-Angriffe, z. B. kann der Angreifer die PPTP-Pakete mit geringer Erkennungsmöglichkeit modifizieren. Verschiedene entdeckte Angriffe auf die RC4-Chiffre (wie der Angriff von Royal Holloway) machen RC4 zu einer schlechten Wahl für die Sicherung großer Mengen übertragener Daten, und VPNs sind ein erstklassiger Kandidat für solche Angriffe, da sie normalerweise sensible und große Datenmengen übertragen.

PPTP Port

Point-to-Point Tunneling Protocol (PPTP) uses TCP port 1723 and IP protocol 47 Generic Routing Encapsulation (GRE). Port 1723 may be blocked by ISP’s and GRE IP Protocol 47 may not be passed by many modern firewalls and routers.

PPTP-Schwachstellen

Sicherheitsexperten haben PPTP überprüft und zahlreiche bekannte Schwachstellen aufgelistet, darunter:

MS-CHAP-V1 ist grundsätzlich unsicher

Es gibt Tools, die die NT-Passwort-Hashes einfach aus dem MS-CHAP-V1-Authentifizierungsverkehr extrahieren können. MS-CHAP-V1 ist die Standardeinstellung auf älteren Windows-Servern

MS-CHAP-V2 ist anfällig

MS-CHAP-V2 ist anfällig für Wörterbuchangriffe auf erfasste Challenge-Response-Pakete. Es gibt Tools, um diesen Austausch schnell zu knacken

Brute-Force-Angriffsmöglichkeiten

It has been demonstrated that the complexity of a brute-force attack on a MS-CHAP-v2 key is equivalent to a brute-force attack on a single DES key. With no built in options for Multi Factor/Two Factor authentication, this leaves PPTP implementations highly vulnerable.

Zusätzliche Supportkosten

Beware of the additional support costs commonly associated with PPTP & Microsoft VPN Client.

  • Standardmäßig wird das Windows-Netzwerk eines Endbenutzers durch das VPN-Netzwerk des Büros geleitet. Infolgedessen bleibt das interne Netzwerk für Malware offen und verlangsamt das gesamte Internet für alle Benutzer im Büro.
  • PPTP ist in der Regel an vielen Standorten aufgrund bekannter Sicherheitsprobleme blockiert, was zu Anrufen beim Helpdesk führt, um Verbindungsprobleme zu lösen.
  • Konflikte mit bürointernen Subnetzen an entfernten Standorten können das Microsoft-VPN-Routing blockieren, was zu keiner Konnektivität und wiederum zu zusätzlichen Supportkosten führt.
  • Geringfügige Netzwerkschwankungen können den Microsoft VPN-Client während der Verwendung trennen und Dateien beschädigen, was zu Wiederherstellungen und Arbeitsverlusten führt.
  • Die IT-Abteilung muss eine zusätzliche Flotte von Unternehmens-Laptops mit vorkonfiguriertem Microsoft VPN für jeden potenziellen Remote-Benutzer unterhalten.
  • Malware vom Typ Crypto Locker kann Dateien über den VPN-Tunnel frei verschlüsseln.

MyWorkDrive als Lösung

MyWorkDrive fungiert als perfekt VPN-Alternative Lösung

Im Gegensatz zu MyWorkDrive entfallen die Sicherheitsrisiken der Unterstützung von Microsoft PPTP- oder SSTP-VPNs:

  • Benutzer erhalten einen eleganten, benutzerfreundlichen Web File Manager-Client, auf den von jedem Browser aus zugegriffen werden kann.
  • IT-Supportkosten entfallen – Benutzer melden sich einfach mit ihren bestehenden Windows Active Directory-Anmeldeinformationen an oder verwenden ADFS oder einen beliebigen SAML-Anbieter, um auf Unternehmensfreigaben und Home-Laufwerke zuzugreifen und Dokumente online zu bearbeiten/anzuzeigen.
  • Mobile Clients für Android/iOS und MyWorkDrive Desktop Mapped Drive-Clients sind verfügbar.
  • Im Gegensatz zu VPN blockieren Sie Dateitypen und erhalten Warnungen, wenn Dateiänderungen festgelegte Schwellenwerte überschreiten, um Ransomware zu blockieren.
  • Aus Sicherheitsgründen unterstützen alle MyWorkDrive-Clients die DUO-Zwei-Faktor-Authentifizierung.

Daniel, Gründer von MyWorkDrive.com, ist seit 1992 in verschiedenen Funktionen im Technologiemanagement für Unternehmen, Behörden und Bildungseinrichtungen in der San Francisco Bay Area tätig. Daniel ist in Microsoft-Technologien zertifiziert und schreibt über Informationstechnologie, Sicherheit und Strategie und wurde mit dem Titel „US“ ausgezeichnet Patent #9985930 in Remote Access Networking