Rischi per la sicurezza della VPN PPTP

Diagramma che mostra una VPN PPTP con una croce rossa.

PPTP è l'implementazione VPN di Microsoft, che esiste da Windows NT. Gli utenti tendono a preferire usare PPTP poiché è in genere configurato sui desktop Windows con una scorciatoia che ricorda nome utente e password per un accesso rapido.

Con la corretta risoluzione dei nomi (in passato WINS) e ora DNS, gli utenti possono facilmente esplorare la rete per cercare condivisioni e stampanti. Nel back-end, l'amministratore di sistema configura Windows Server PPTP con il ruolo Routing and Remote Access (RRAS).

Sebbene gli strumenti utilizzati per gestire e distribuire i sistemi PPTP siano cambiati con ogni nuova versione di Windows, è universalmente riconosciuto che PPTP non è sicuro rispetto alle alternative moderne e comporta costi di supporto indiretti aggiuntivi, anche quando viene aggiornato per supportare SSTP.

Lo stesso protocollo PPTP non è più considerato sicuro in quanto il cracking dell'autenticazione iniziale MS-CHAPv2 può essere ridotto alla difficoltà di crackare una singola chiave DES a 56 bit, che con i computer attuali può essere forzata in brevissimo tempo (creando un password complessa in gran parte irrilevante per la sicurezza di PPTP poiché l'intero spazio delle chiavi a 56 bit può essere cercato entro limiti di tempo pratici).

Un aggressore può catturare l'handshake (e qualsiasi traffico PPTP successivo), eseguire un crack offline dell'handshake e derivare il RC4 chiave. Una volta ricavata la chiave RC4, l'attaccante sarà in grado di decifrare e analizzare il traffico trasportato nella VPN PPTP. PTP non supporta la segretezza in avanti, quindi è sufficiente decifrare una sessione PPTP per decifrare tutte le sessioni PPTP precedenti utilizzando le stesse credenziali.

PPTP fornisce una protezione debole all'integrità dei dati in tunneling. Il cifrario RC4, pur fornendo la crittografia, non verifica l'integrità dei dati in quanto non è un cifrario Authenticated Encryption with Associated Data (AEAD).

PPTP inoltre non esegue controlli di integrità aggiuntivi sul suo traffico ed è vulnerabile ad attacchi di bit-flipping, ad esempio l'attaccante può modificare i pacchetti PPTP con scarse possibilità di rilevamento. Vari attacchi scoperti sul cifrario RC4 (come l'attacco Royal Holloway) rendono RC4 una cattiva scelta per proteggere grandi quantità di dati trasmessi e le VPN sono un candidato primario per tali attacchi poiché in genere trasmettono grandi quantità di dati sensibili.

Porta PPTP

Il protocollo PPTP (Point-to-Point Tunneling Protocol) utilizza la porta TCP 1723 e il protocollo IP 47 Generic Routing Encapsulation (GRE). La porta 1723 potrebbe essere bloccata dagli ISP e il protocollo IP GRE 47 potrebbe non essere superato da molti firewall e router moderni.

Vulnerabilità VPN PPTP

Gli esperti di sicurezza hanno esaminato PPTP e hanno elencato numerose vulnerabilità note, tra cui:

MS-CHAP-V1 è fondamentalmente insicuro

Esistono strumenti che possono estrarre facilmente gli hash delle password NT dal traffico di autenticazione MS-CHAP-V1. MS-CHAP-V1 è l'impostazione predefinita sui vecchi server Windows.

MS-CHAP-V2 è vulnerabile

MS-CHAP-V2 è vulnerabile agli attacchi di dizionario sui pacchetti challenge response catturati. Esistono strumenti per decifrare rapidamente questi scambi.

Possibilità di attacco brute force alla VPN PPTP

È stato dimostrato che la complessità di un attacco brute-force su una chiave MS-CHAP-v2 equivale a un attacco brute-force su una singola chiave DES. Senza opzioni integrate per l'autenticazione multifattoriale/a due fattori, questo rende le implementazioni PPTP altamente vulnerabili.

Costi di supporto aggiuntivi per PPTP VPN

Fate attenzione ai costi di supporto aggiuntivi comunemente associati a PPTP e Microsoft VPN Client.

  • Per impostazione predefinita, la rete Windows di un utente finale viene instradata attraverso la rete VPN dell'ufficio. Di conseguenza, ciò lascia la rete interna aperta al malware e rallenta tutta Internet per tutti gli utenti dell'ufficio.
  • In genere, il protocollo PPTP è bloccato in molte località a causa di noti problemi di sicurezza, per cui si richiedono chiamate all'help desk per risolvere i problemi di connettività.
  • I conflitti con le subnet interne degli uffici presso siti remoti possono bloccare il routing VPN di Microsoft, impedendo la connettività e generando nuovamente costi di supporto aggiuntivi.
  • Piccole fluttuazioni della rete possono disconnettere il client VPN Microsoft durante l'uso, corrompendo i file e causando ripristini e perdita di dati.
  • Il reparto IT dovrà mantenere una flotta aggiuntiva di laptop aziendali con Microsoft VPN preconfigurata per ogni potenziale utente remoto.
  • Il malware di tipo Crypto Locker è libero di crittografare i file tramite il tunnel VPN.

PPTP VPN – MyWorkDrive come soluzione

MyWorkDrive agisce come il perfetto Alternativa alla VPN soluzione

A differenza di MyWorkDrive, i rischi per la sicurezza derivanti dal supporto di Microsoft PPTP o SSTP VPN vengono eliminati:

  • Gli utenti ottengono un client Web File Manager elegante e facile da usare, accessibile da qualsiasi browser.
  • I costi di supporto IT vengono eliminati: gli utenti accedono semplicemente con le proprie credenziali Windows Active Directory/Entra ID esistenti oppure utilizzano ADFS o qualsiasi provider SAML per accedere alle condivisioni aziendali, alle unità domestiche e per modificare/visualizzare documenti online.
  • Sono disponibili client mobili per Android/iOS e client di unità mappate per desktop MyWorkDrive.
  • A differenza della VPN, blocca i tipi di file e ricevi avvisi quando le modifiche ai file superano le soglie impostate per bloccare il ransomware.
  • Per motivi di sicurezza, tutti i client MyWorkDrive supportano l'autenticazione a due fattori DUO.

Daniel, fondatore di MyWorkDrive.com, ha lavorato in vari ruoli di gestione della tecnologia al servizio di aziende, governo e istruzione nell'area della Baia di San Francisco dal 1992. Daniel è certificato in Microsoft Technologies e scrive di tecnologia dell'informazione, sicurezza e strategia ed è stato premiato negli Stati Uniti Brevetto #9985930 in reti di accesso remoto