PPTP VPN-beveiligingsrisico's

PPTP is de VPN-implementatie van Microsoft die al bestaat sinds Windows NT. Gebruikers vinden het prettig om PPTP te gebruiken, omdat het doorgaans is geconfigureerd op Windows-desktops met een snelkoppeling die de gebruikersnaam en het wachtwoord onthoudt voor snelle toegang. In combinatie met correcte naamomzetting (vroeger WINS) en nu DNS, kunnen gebruikers eenvoudig op het netwerk zoeken naar shares en printers. Op de back-end wordt Windows Server PPTP geconfigureerd door de systeembeheerder met de Routing and Remote Access-rol (RRAS). Hoewel de tools die worden gebruikt om PPTP-systemen te beheren en implementeren met elke nieuwe versie van Windows zijn veranderd, is iedereen het erover eens dat PPTP onveilig is in vergelijking met moderne alternatieven en extra indirecte ondersteuningskosten met zich meebrengt, zelfs wanneer een upgrade wordt uitgevoerd om SSTP te ondersteunen.

Het PPTP-protocol zelf wordt niet langer als veilig beschouwd, aangezien het kraken van de initiële MS-CHAPv2-authenticatie kan worden teruggebracht tot de moeilijkheid van het kraken van een enkele 56-bits DES-sleutel, die met de huidige computers in zeer korte tijd bruut kan worden geforceerd (waardoor een sterk wachtwoord grotendeels irrelevant voor de veiligheid van PPTP aangezien de volledige 56-bits sleutelruimte binnen praktische tijdsbeperkingen kan worden doorzocht).

De aanvaller legt de handshake vast (en eventueel PPTP-verkeer daarna), kraakt de handshake offline en leidt de RC4-sleutel af. Zodra de RC4-sleutel is afgeleid, kan de aanvaller het verkeer in de PPTP VPN decoderen en analyseren. PPTP ondersteunt geen voorwaartse geheimhouding, dus slechts één PPTP-sessie kraken is voldoende om alle voorgaande PPTP-sessies te kraken met dezelfde inloggegevens.

PPTP biedt een zwakke bescherming voor de integriteit van de gegevens die worden getunneld. Het RC4-cijfer biedt weliswaar codering, maar verifieert de integriteit van de gegevens niet, aangezien het geen AEAD-cijfer (Authenticated Encryption with Associated Data) is. PPTP voert ook geen extra integriteitscontroles uit op zijn verkeer en is kwetsbaar voor bit-flipping-aanvallen, de aanvaller kan bijvoorbeeld de PPTP-pakketten wijzigen met weinig kans op detectie. Verschillende ontdekte aanvallen op het RC4-cijfer (zoals de Royal Holloway-aanval) maken RC4 een slechte keuze voor het beveiligen van grote hoeveelheden verzonden gegevens, en VPN's zijn een uitstekende kandidaat voor dergelijke aanvallen, omdat ze doorgaans gevoelige en grote hoeveelheden gegevens verzenden.

PPTP-poort

Point-to-Point Tunneling Protocol (PPTP) gebruikt TCP-poort 1723 en IP-protocol 47 Generic Routing Encapsulation (GRE). Poort 1723 wordt mogelijk geblokkeerd door ISP's en GRE IP Protocol 47 wordt mogelijk niet door veel moderne firewalls en routers gepasseerd.

PPTP-kwetsbaarheden

Beveiligingsexperts hebben PPTP beoordeeld en een aantal bekende kwetsbaarheden opgesomd, waaronder:

MS-CHAP-V1 is fundamenteel onveilig

Er bestaan tools die gemakkelijk de NT-wachtwoordhashes uit MS-CHAP-V1-authenticatieverkeer kunnen extraheren. MS-CHAP-V1 is de standaardinstelling op oudere Windows-servers

MS-CHAP-V2 is kwetsbaar

MS-CHAP-V2 is kwetsbaar voor woordenboekaanvallen op vastgelegde challenge-responspakketten. Er bestaan tools om deze uitwisselingen snel te kraken

Brute Force Attack-mogelijkheden

Het is aangetoond dat de complexiteit van een brute force-aanval op een MS-CHAP-v2-sleutel gelijk is aan een brute force-aanval op een enkele DES-sleutel. Zonder ingebouwde opties voor Multi Factor/Two Factor-authenticatie, maakt dit PPTP-implementaties zeer kwetsbaar.

Extra ondersteuningskosten

Pas op voor de extra ondersteuningskosten die gewoonlijk worden geassocieerd met PPTP & Microsoft VPN Client.

• Het Windows-netwerk van een eindgebruiker wordt standaard gerouteerd via het VPN-kantoornetwerk. Als gevolg hiervan blijft het interne netwerk open voor malware en vertraagt het al het internet voor alle gebruikers op kantoor.
• PPTP wordt doorgaans op veel locaties geblokkeerd vanwege de bekende beveiligingsproblemen, wat resulteert in oproepen naar de helpdesk om verbindingsproblemen op te lossen.
• Conflicten met interne subnetten van kantoren op externe locaties kunnen Microsoft VPN-routering blokkeren, wat resulteert in geen connectiviteit en opnieuw leidend tot extra ondersteuningskosten.
• Kleine netwerkfluctuaties kunnen de verbinding met de Microsoft VPN-client verbreken tijdens het gebruik, waardoor bestanden worden beschadigd, wat kan leiden tot herstel en verloren werk.
• De IT-afdeling moet een extra vloot bedrijfslaptops onderhouden met Microsoft VPN vooraf geconfigureerd voor elke potentiële externe gebruiker.
• Malware van het type Crypto Locker kan bestanden gratis versleutelen via de VPN-tunnel.

MyWorkDrive als oplossing

MyWorkDrive fungeert als de perfecte VPN-alternatief oplossing

In tegenstelling tot MyWorkDrive worden de beveiligingsrisico's van het ondersteunen van Microsoft PPTP of SSTP VPN's geëlimineerd:

• Gebruikers krijgen een elegante, gebruiksvriendelijke Web File Manager-client die toegankelijk is vanuit elke browser.
• IT-ondersteuningskosten worden geëlimineerd - gebruikers loggen gewoon in met hun bestaande Windows Active Directory-referenties of gebruiken ADFS of een SAML-provider om toegang te krijgen tot bedrijfsshares, homedrives en online documenten te bewerken/bekijken.
• Mobile Clients voor Android/iOS en MyWorkDrive Desktop Mapped Drive-clients zijn beschikbaar.
• In tegenstelling tot VPN blokkeer je bestandstypes en ontvang je waarschuwingen wanneer bestandswijzigingen de ingestelde drempels overschrijden om ransomware te blokkeren.
• Voor de veiligheid ondersteunen alle MyWorkDrive-clients DUO Two Factor-authenticatie.