VPN PPTP

Risques de sécurité VPN PPTP

PPTP est l'implémentation VPN de Microsoft qui existe depuis Windows NT. Les utilisateurs ont tendance à aimer utiliser PPTP car il est généralement configuré sur les ordinateurs de bureau Windows avec un raccourci qui mémorise le nom d'utilisateur et le mot de passe pour un accès rapide. Lorsqu'il est associé à une résolution de nom appropriée (historiquement WINS) et maintenant au DNS, les utilisateurs peuvent facilement parcourir le réseau à la recherche de partages et d'imprimantes. Sur le back-end, Windows Server PPTP est configuré par l'administrateur système avec le rôle Routage et accès distant (RRAS). Bien que les outils utilisés pour gérer et déployer les systèmes PPTP aient changé avec chaque nouvelle version de Windows, il est universellement admis que PPTP n'est pas sûr par rapport aux alternatives modernes et ajoute des coûts de support indirects supplémentaires même lorsqu'il est mis à niveau pour prendre en charge SSTP.

Le protocole PPTP lui-même n'est plus considéré comme sécurisé, car le cracking de l'authentification MS-CHAPv2 initiale peut être réduit à la difficulté de cracker une seule clé DES 56 bits, qui, avec les ordinateurs actuels, peut être brutalement forcée en très peu de temps (faisant un mot de passe fort largement sans rapport avec la sécurité de PPTP car l'ensemble de l'espace de clés 56 bits peut être recherché dans des contraintes de temps pratiques).

L'attaquant capture la poignée de main (et tout trafic PPTP après cela), fait une fissure hors ligne de la poignée de main et dérive la clé RC4. Une fois la clé RC4 dérivée, l'attaquant pourra déchiffrer et analyser le trafic transporté dans le VPN PPTP. PPTP ne prend pas en charge la confidentialité de transmission, donc il suffit de casser une session PPTP pour casser toutes les sessions PPTP précédentes en utilisant les mêmes informations d'identification.

PPTP offre une faible protection de l'intégrité des données tunnelisées. Le chiffrement RC4, tout en assurant le chiffrement, ne vérifie pas l'intégrité des données car il ne s'agit pas d'un chiffrement de chiffrement authentifié avec données associées (AEAD). PPTP n'effectue pas non plus de contrôles d'intégrité supplémentaires sur son trafic et est vulnérable aux attaques par retournement de bits, par exemple l'attaquant peut modifier les paquets PPTP avec peu de possibilité de détection. Diverses attaques découvertes sur le chiffrement RC4 (telles que l'attaque Royal Holloway) font de RC4 un mauvais choix pour sécuriser de grandes quantités de données transmises, et les VPN sont un candidat de choix pour de telles attaques car ils transmettent généralement de grandes quantités de données sensibles.

Port PPTP

Le protocole PPTP (Point-to-Point Tunneling Protocol) utilise le port TCP 1723 et le protocole IP 47 Generic Routing Encapsulation (GRE). Le port 1723 peut être bloqué par les FAI et le protocole IP GRE 47 peut ne pas être transmis par de nombreux pare-feu et routeurs modernes.

Vulnérabilités PPTP

Les experts en sécurité ont examiné PPTP et répertorié de nombreuses vulnérabilités connues, notamment :

MS-CHAP-V1 est fondamentalement non sécurisé

Il existe des outils qui peuvent facilement extraire les hachages de mot de passe NT du trafic d'authentification MS-CHAP-V1. MS-CHAP-V1 est le paramètre par défaut sur les anciens serveurs Windows

MS-CHAP-V2 est vulnérable

MS-CHAP-V2 est vulnérable aux attaques par dictionnaire sur les paquets de réponse de défi capturés. Des outils existent pour casser ces échanges rapidement

Possibilités d'attaque par force brute

Il a été démontré que la complexité d'une attaque par force brute sur une clé MS-CHAP-v2 équivaut à une attaque par force brute sur une seule clé DES. En l'absence d'options intégrées pour l'authentification multifacteur/deux facteurs, cela rend les implémentations PPTP très vulnérables.

Coûts d'assistance supplémentaires

Méfiez-vous des coûts de support supplémentaires généralement associés à PPTP et au client VPN Microsoft.

  • Par défaut, le réseau Windows d'un utilisateur final est acheminé via le réseau VPN du bureau. En conséquence, cela laisse le réseau interne ouvert aux logiciels malveillants et ralentit tout Internet pour tous les utilisateurs au bureau.
  • PPTP est généralement bloqué à de nombreux endroits en raison de problèmes de sécurité connus entraînant des appels au service d'assistance pour résoudre les problèmes de connectivité.
  • Les conflits avec les sous-réseaux internes des bureaux sur les sites distants peuvent bloquer le routage VPN Microsoft, ce qui entraîne une absence de connectivité et entraîne à nouveau des coûts de support supplémentaires.
  • Des fluctuations mineures du réseau peuvent déconnecter le client VPN Microsoft pendant son utilisation, corrompant les fichiers, entraînant des restaurations et des pertes de travail.
  • Le service informatique devra maintenir une flotte supplémentaire d'ordinateurs portables d'entreprise avec Microsoft VPN préconfiguré pour chaque utilisateur distant potentiel.
  • Les logiciels malveillants de type Crypto Locker sont libres de chiffrer des fichiers via le tunnel VPN.

MyWorkDrive comme solution

MyWorkDrive agit comme le parfait Alternative VPN Solution

Contrairement à MyWorkDrive, les risques de sécurité liés à la prise en charge des VPN Microsoft PPTP ou SSTP sont éliminés :

  • Les utilisateurs bénéficient d'un client Web File Manager élégant et facile à utiliser, accessible depuis n'importe quel navigateur.
  • Les coûts de support informatique sont éliminés - les utilisateurs se connectent simplement avec leurs informations d'identification Windows Active Directory existantes ou utilisent ADFS ou tout autre fournisseur SAML pour accéder aux partages de l'entreprise, aux lecteurs personnels et modifier/afficher des documents en ligne.
  • Les clients Mobile Client pour Android/iOS et les clients MyWorkDrive Desktop Mapped Drive sont disponibles.
  • Contrairement au VPN, bloquez les types de fichiers et recevez des alertes lorsque les modifications de fichiers dépassent les seuils définis pour bloquer les ransomwares.
  • Pour des raisons de sécurité, tous les clients MyWorkDrive prennent en charge l'authentification DUO à deux facteurs.

Daniel, fondateur de MyWorkDrive.com, a occupé divers postes de gestion de la technologie au service des entreprises, du gouvernement et de l'éducation dans la région de la baie de San Francisco depuis 1992. Daniel est certifié en technologies Microsoft et écrit sur les technologies de l'information, la sécurité et la stratégie et a été récompensé aux États-Unis Brevet #9985930 en réseau d'accès à distance