PPTP-VPN

PPTP VPN-beveiligingsrisico's

PPTP is de VPN-implementatie van Microsoft die al bestaat sinds Windows NT. Gebruikers vinden het prettig om PPTP te gebruiken omdat het meestal is geconfigureerd op Windows Desktops met een snelkoppeling die gebruikersnaam en wachtwoord onthoudt voor snelle toegang. In combinatie met de juiste naamomzetting (historisch WINS) en nu DNS, kunnen gebruikers gemakkelijk door het netwerk bladeren naar shares en printers. Aan de achterkant wordt Windows Server PPTP geconfigureerd door de systeembeheerder met de Routing and Remote Access-rol (RRAS). Hoewel de tools die worden gebruikt om PPTP-systemen te beheren en te implementeren met elke nieuwe versie van Windows zijn veranderd, is men het er algemeen over eens dat PPTP onveilig is in vergelijking met moderne alternatieven en extra indirecte ondersteuningskosten met zich meebrengt, zelfs bij een upgrade om SSTP te ondersteunen.

Het PPTP-protocol zelf wordt niet langer als veilig beschouwd, aangezien het kraken van de initiële MS-CHAPv2-authenticatie kan worden teruggebracht tot de moeilijkheid van het kraken van een enkele 56-bits DES-sleutel, die met de huidige computers in zeer korte tijd bruut kan worden geforceerd (waardoor een sterk wachtwoord grotendeels irrelevant voor de veiligheid van PPTP aangezien de volledige 56-bits sleutelruimte binnen praktische tijdsbeperkingen kan worden doorzocht).

De aanvaller legt de handdruk vast (en al het PPTP-verkeer daarna), kraakt de handdruk offline en ontleent de RC4-sleutel. Zodra de RC4-sleutel is afgeleid, kan de aanvaller het verkeer via de PPTP VPN ontsleutelen en analyseren. PPTP ondersteunt geen voorwaartse geheimhouding, dus het kraken van één PPTP-sessie is voldoende om alle eerdere PPTP-sessies met dezelfde inloggegevens te kraken.

PPTP biedt een zwakke bescherming voor de integriteit van de gegevens die worden getunneld. De RC4-codering biedt weliswaar codering, maar verifieert niet de integriteit van de gegevens, aangezien het geen AEAD-codering (Authenticated Encryption with Associated Data) is. PPTP voert ook geen aanvullende integriteitscontroles uit op zijn verkeer en is kwetsbaar voor bit-flipping-aanvallen, de aanvaller kan bijvoorbeeld de PPTP-pakketten wijzigen met weinig kans op detectie. Verschillende ontdekte aanvallen op de RC4-codering (zoals de Royal Holloway-aanval) maken RC4 een slechte keuze voor het beveiligen van grote hoeveelheden verzonden gegevens, en VPN's zijn een uitstekende kandidaat voor dergelijke aanvallen, omdat ze doorgaans gevoelige en grote hoeveelheden gegevens verzenden.

PPTP Port

Point-to-Point Tunneling Protocol (PPTP) uses TCP port 1723 and IP protocol 47 Generic Routing Encapsulation (GRE). Port 1723 may be blocked by ISP’s and GRE IP Protocol 47 may not be passed by many modern firewalls and routers.

PPTP-kwetsbaarheden

Beveiligingsexperts hebben PPTP beoordeeld en een aantal bekende kwetsbaarheden opgesomd, waaronder:

MS-CHAP-V1 is fundamenteel onveilig

Er bestaan tools die gemakkelijk de NT-wachtwoordhashes uit MS-CHAP-V1-authenticatieverkeer kunnen extraheren. MS-CHAP-V1 is de standaardinstelling op oudere Windows-servers

MS-CHAP-V2 is kwetsbaar

MS-CHAP-V2 is kwetsbaar voor woordenboekaanvallen op vastgelegde challenge-responspakketten. Er bestaan tools om deze uitwisselingen snel te kraken

Brute Force Attack-mogelijkheden

It has been demonstrated that the complexity of a brute-force attack on a MS-CHAP-v2 key is equivalent to a brute-force attack on a single DES key. With no built in options for Multi Factor/Two Factor authentication, this leaves PPTP implementations highly vulnerable.

Extra ondersteuningskosten

Beware of the additional support costs commonly associated with PPTP & Microsoft VPN Client.

  • Het Windows-netwerk van een eindgebruiker wordt standaard gerouteerd via het VPN-kantoornetwerk. Als gevolg hiervan blijft het interne netwerk open voor malware en vertraagt het al het internet voor alle gebruikers op kantoor.
  • PPTP wordt doorgaans op veel locaties geblokkeerd vanwege de bekende beveiligingsproblemen, wat resulteert in oproepen naar de helpdesk om verbindingsproblemen op te lossen.
  • Conflicten met interne subnetten van kantoren op externe locaties kunnen Microsoft VPN-routering blokkeren, wat resulteert in geen connectiviteit en opnieuw leidend tot extra ondersteuningskosten.
  • Kleine netwerkfluctuaties kunnen de verbinding met de Microsoft VPN-client verbreken tijdens het gebruik, waardoor bestanden worden beschadigd, wat kan leiden tot herstel en verloren werk.
  • De IT-afdeling moet een extra vloot bedrijfslaptops onderhouden met Microsoft VPN vooraf geconfigureerd voor elke potentiële externe gebruiker.
  • Malware van het type Crypto Locker kan bestanden gratis versleutelen via de VPN-tunnel.

MyWorkDrive als oplossing

MyWorkDrive fungeert als de perfecte VPN-alternatief oplossing

In tegenstelling tot MyWorkDrive worden de beveiligingsrisico's van het ondersteunen van Microsoft PPTP of SSTP VPN's geëlimineerd:

  • Gebruikers krijgen een elegante, gebruiksvriendelijke Web File Manager-client die toegankelijk is vanuit elke browser.
  • IT-ondersteuningskosten worden geëlimineerd - gebruikers loggen gewoon in met hun bestaande Windows Active Directory-referenties of gebruiken ADFS of een SAML-provider om toegang te krijgen tot bedrijfsshares, homedrives en online documenten te bewerken/bekijken.
  • Mobile Clients voor Android/iOS en MyWorkDrive Desktop Mapped Drive-clients zijn beschikbaar.
  • In tegenstelling tot VPN blokkeer je bestandstypes en ontvang je waarschuwingen wanneer bestandswijzigingen de ingestelde drempels overschrijden om ransomware te blokkeren.
  • Voor de veiligheid ondersteunen alle MyWorkDrive-clients DUO Two Factor-authenticatie.

Daniel, oprichter van MyWorkDrive.com, heeft sinds 1992 verschillende functies op het gebied van technologiebeheer vervuld bij ondernemingen, de overheid en het onderwijs in de baai van San Francisco. Daniel is gecertificeerd in Microsoft Technologies en schrijft over informatietechnologie, beveiliging en strategie en is bekroond met de Amerikaanse Patent #9985930 in netwerken met externe toegang