VPN PPTP

Rischi per la sicurezza della VPN PPTP

PPTP è l'implementazione VPN di Microsoft disponibile dai tempi di Windows NT. Gli utenti tendono a preferire l'utilizzo di PPTP poiché è generalmente configurato sui desktop Windows con un collegamento che ricorda nome utente e password per un accesso rapido. Se abbinato alla corretta risoluzione dei nomi (storicamente WINS) e ora al DNS, gli utenti possono facilmente esplorare la rete alla ricerca di condivisioni e stampanti. Sul back-end, Windows Server PPTP viene configurato dall'amministratore di sistema con il ruolo Routing e Accesso remoto (RRAS). Sebbene gli strumenti utilizzati per gestire e distribuire i sistemi PPTP siano cambiati con ogni nuova versione di Windows, è universalmente riconosciuto che PPTP non è sicuro rispetto alle alternative moderne e aggiunge costi di supporto indiretti aggiuntivi anche se aggiornato per supportare SSTP.

Lo stesso protocollo PPTP non è più considerato sicuro in quanto il cracking dell'autenticazione iniziale MS-CHAPv2 può essere ridotto alla difficoltà di crackare una singola chiave DES a 56 bit, che con i computer attuali può essere forzata in brevissimo tempo (creando un password complessa in gran parte irrilevante per la sicurezza di PPTP poiché l'intero spazio delle chiavi a 56 bit può essere cercato entro limiti di tempo pratici).

L'aggressore cattura l'handshake (e successivamente tutto il traffico PPTP), esegue un crack offline dell'handshake e ricava la chiave RC4. Una volta derivata la chiave RC4, l'aggressore sarà in grado di decrittografare e analizzare il traffico trasportato nella VPN PPTP. PPTP non supporta la segretezza in avanti, quindi è sufficiente crackare una sessione PPTP per crackare tutte le sessioni PPTP precedenti utilizzando le stesse credenziali.

PPTP fornisce una protezione debole per l'integrità dei dati sottoposti a tunneling. La cifra RC4, pur fornendo la crittografia, non verifica l'integrità dei dati in quanto non è una cifra AEAD (Authenticate Encryption with Associated Data). PPTP inoltre non esegue ulteriori controlli di integrità sul suo traffico ed è vulnerabile agli attacchi bit-flipping, ad esempio l'aggressore può modificare i pacchetti PPTP con poche possibilità di rilevamento. Vari attacchi scoperti al codice RC4 (come l'attacco Royal Holloway) rendono RC4 una cattiva scelta per proteggere grandi quantità di dati trasmessi e le VPN sono un ottimo candidato per tali attacchi poiché in genere trasmettono grandi quantità di dati sensibili.

Porta PPTP

Il protocollo PPTP (Point-to-Point Tunneling Protocol) utilizza la porta TCP 1723 e il protocollo IP 47 Generic Routing Encapsulation (GRE). La porta 1723 potrebbe essere bloccata dagli ISP e il protocollo GRE IP 47 potrebbe non essere superato da molti firewall e router moderni.

Vulnerabilità PPTP

Gli esperti di sicurezza hanno esaminato PPTP e hanno elencato numerose vulnerabilità note, tra cui:

MS-CHAP-V1 è fondamentalmente insicuro

Esistono strumenti che possono estrarre facilmente gli hash delle password NT dal traffico di autenticazione MS-CHAP-V1. MS-CHAP-V1 è l'impostazione predefinita sui server Windows meno recenti

MS-CHAP-V2 è vulnerabile

MS-CHAP-V2 è vulnerabile agli attacchi del dizionario sui pacchetti di risposta alle sfide catturati. Esistono strumenti per violare rapidamente questi scambi

Possibilità di attacco di forza bruta

È stato dimostrato che la complessità di un attacco di forza bruta su una chiave MS-CHAP-v2 è equivalente a un attacco di forza bruta su una singola chiave DES. Senza opzioni integrate per l'autenticazione a più fattori/due fattori, ciò lascia le implementazioni PPTP altamente vulnerabili.

Costi di supporto aggiuntivi

Fai attenzione ai costi di supporto aggiuntivi comunemente associati a PPTP e al client VPN Microsoft.

  • Per impostazione predefinita, la rete Windows di un utente finale viene instradata attraverso la rete VPN dell'ufficio. Di conseguenza, ciò lascia la rete interna aperta al malware e rallenta tutta Internet per tutti gli utenti dell'ufficio.
  • PPTP viene in genere bloccato in molte località a causa dei noti problemi di sicurezza che comportano chiamate all'help desk per risolvere problemi di connettività.
  • I conflitti con le sottoreti interne degli uffici nei siti remoti possono bloccare il routing VPN Microsoft, determinando l'assenza di connettività e comportando nuovamente costi di supporto aggiuntivi.
  • Piccole fluttuazioni della rete possono disconnettere il client VPN Microsoft durante l'uso, danneggiando i file e provocando ripristini e perdita di lavoro.
  • Il reparto IT dovrà mantenere una flotta aggiuntiva di laptop aziendali con Microsoft VPN preconfigurata per ogni potenziale utente remoto.
  • I malware di tipo Crypto Locker sono liberi di crittografare i file tramite il tunnel VPN.

MyWorkDrive come soluzione

MyWorkDrive agisce come il perfetto Alternativa alla VPN soluzione

A differenza di MyWorkDrive, i rischi per la sicurezza derivanti dal supporto di Microsoft PPTP o SSTP VPN vengono eliminati:

  • Gli utenti ottengono un client Web File Manager elegante e facile da usare, accessibile da qualsiasi browser.
  • I costi di supporto IT vengono eliminati: gli utenti accedono semplicemente con le credenziali Windows Active Directory esistenti o utilizzano ADFS o qualsiasi provider SAML per accedere alle condivisioni aziendali, alle unità domestiche e modificare/visualizzare documenti online.
  • Sono disponibili client mobili per Android/iOS e client di unità mappate per desktop MyWorkDrive.
  • A differenza della VPN, blocca i tipi di file e ricevi avvisi quando le modifiche ai file superano le soglie impostate per bloccare il ransomware.
  • Per motivi di sicurezza, tutti i client MyWorkDrive supportano l'autenticazione a due fattori DUO.

Daniel, fondatore di MyWorkDrive.com, ha lavorato in vari ruoli di gestione della tecnologia al servizio di aziende, governo e istruzione nell'area della Baia di San Francisco dal 1992. Daniel è certificato in Microsoft Technologies e scrive di tecnologia dell'informazione, sicurezza e strategia ed è stato premiato negli Stati Uniti Brevetto #9985930 in reti di accesso remoto