it-swarm.com.de

Gibt es bekannte Schwachstellen in PPTP VPNs bei ordnungsgemäßer Konfiguration?

PPTP ist das einzige VPN-Protokoll, das von einigen Geräten unterstützt wird (z. B. dem WLAN-Router Asus RT-AC66U). Wenn PPTP so konfiguriert ist, dass nur die sichersten Optionen verwendet werden, weist die Verwendung Sicherheitslücken auf?

Die sicherste Konfiguration von PPTP) ist die ausschließliche Verwendung von:

  • MPPE-128-Verschlüsselung (die RC4-Verschlüsselung mit einem 128-Bit-Schlüssel verwendet)
  • MS-CHAPv2-Authentifizierung (die SHA-1 verwendet)
  • sichere Passwörter (mindestens 128 Bit Entropie)

Mir ist klar, dass RC4 und SHA-1 Schwächen haben, aber ich bin an praktischen Auswirkungen interessiert. Gibt es bekannte Angriffe oder Exploits, die gegen ein PPTP VPN mit der obigen Konfiguration erfolgreich wären)?

30
user34241

Ja. Das Protokoll selbst ist nicht mehr sicher, da das Knacken der anfänglichen MS-CHAPv2-Authentifizierung auf die Schwierigkeit reduziert werden kann, einen einzelnen DES 56-Bit-Schlüssel zu knacken, der mit aktuellen Computern sehr schnell erzwungen werden kann kurze Zeit (ein starkes Passwort ist für die Sicherheit von PPTP weitgehend irrelevant, da der gesamte 56-Bit-Schlüsselraum innerhalb praktischer Zeitbeschränkungen durchsucht werden kann).

Der Angreifer kann ein MITM ausführen, um den Handshake (und den darauf folgenden PPTP Verkehr) zu erfassen, den Handshake offline zu knacken und den RC4-Schlüssel abzuleiten. Anschließend kann der Angreifer den im PPTP VPN übertragenen Datenverkehr entschlüsseln und analysieren. PPTP bietet keine Vorwärtsgeheimnis, daher reicht es aus, nur eine PPTP Sitzung zu knacken, um alle vorherigen PPTP Sitzungen mit denselben Anmeldeinformationen zu knacken.

Darüber hinaus bietet PPTP einen schwachen Schutz für die Integrität der zu tunnelnden Daten. Die RC4-Verschlüsselung stellt zwar eine Verschlüsselung bereit, überprüft jedoch nicht die Integrität der Daten, da es sich nicht um eine AEAD-Verschlüsselung (Authenticated Encryption with Associated Data) handelt. PPTP führt auch keine zusätzlichen Integritätsprüfungen für den Datenverkehr durch (z. B. HMAC) und ist daher anfällig für Bit-Flipping-Angriffe, d. H. Der Angreifer kann PPTP Pakete mit geringer Erkennungsmöglichkeit ändern. Verschiedene entdeckte Angriffe auf die RC4-Verschlüsselung (wie der Royal Holloway-Angriff) machen RC4 zu einer schlechten Wahl für die Sicherung großer Mengen übertragener Daten, und VPNs sind ein Hauptkandidat für solche Angriffe, da sie von Natur aus normalerweise sensible und große Datenmengen übertragen.

Wenn Sie möchten, können Sie versuchen, eine PPTP Sitzung selbst zu knacken. Für einen Wi-Fi-Benutzer bedeutet dies, dass ARP Ihr Ziel so vergiftet, dass das Ziel den MSCHAPv2-Handshake über Sie sendet (den Sie mit Wireshark oder einem anderen Paketerfassungstool erfassen können). Sie können den Handshake dann mit Tools wie Chap2Asleap knacken oder, wenn Sie ein paar hundert Dollar übrig haben, den erfassten Handshake an Online-Cracking-Dienste senden. Der wiederhergestellte Benutzername, der Hash, das Kennwort und die Verschlüsselungsschlüssel können dann verwendet werden, um sich als Benutzer beim VPN anzumelden oder den Datenverkehr des Ziels rückwirkend zu entschlüsseln. Offensichtlich tun Sie dies bitte nicht ohne entsprechende Genehmigung und außerhalb einer kontrollierten Umgebung .

Kurz gesagt, vermeiden Sie nach Möglichkeit die Verwendung von PPTP.

Weitere Informationen finden Sie unter http://www.computerworld.com/s/article/9229757/Tools_released_at_Defcon_can_crack_widely_used_PPTP_encryption_in_under_a_day und Wie kann ich feststellen, ob ein PPTP Tunnel sicher ist? ? .

Mit RC4 entdeckte Probleme (die zu Sicherheitsproblemen in Protokollen wie TLS führen) finden Sie in http://www.isg.rhul.ac.uk/tls/RC4mustdie.html und https://www.rc4nomore.com/

Informationen zum Cracken finden Sie unter https://www.rastating.com/cracking-pptp-ms-chapv2-with-chapcrack-cloudcracker/ und https://samsclass.info /124/proj14/p10-pptp.htm .

34
Nasrus

Trotz der jüngsten Erkenntnisse zu Fehlern beim Handshake des MSCHAPv2-Protokolls gibt es immer noch Anwendungsfälle, in denen die Verwendung eines PPtP-VPN als "praktisch sicher" angesehen werden kann (dh wenn Sie nicht paranoid sind und sich vor der CIA verstecken, die über große Rechenressourcen verfügen zur Hand).

Meine bevorzugte Verwendung von VPN ist beispielsweise, wenn ich auf Reisen eine Verbindung zu öffentlichen WLAN-Hotspots herstelle. An einem solchen Hotspot sind Sie wahrscheinlich nicht länger als ein paar Minuten/Stunden verbunden, während das Knacken der Sitzung selbst bei Verwendung von Cloud-Diensten etwa einen Tag dauert. Und es kostet etwas Geld, um die Sitzung zu knacken. Ich kann mir keinen vernünftigen Cracker vorstellen, der das Geld investiert, um Ihre drahtlose Sitzung zu knacken, anstatt eine andere ungeschützte Sitzung aus dem Hotspot zu stehlen. Das ist das "praktisch sichere" für mich.

PPtP VPN teilt die MSCHAPv2-Authentifizierung mit WPA2 WiFi - es ist das gleiche Authentifizierungsprotokoll. Im Fall von VPN over Wire ist dies jedoch zumindest ein bisschen sicherer: Bei WLAN kann jeder einen Befehl zum Trennen eines Clients ausgeben und ihn daher zum Handshake zwingen, wenn der Angreifer bereit ist, ihn zu erfassen. Wenn Sie über Kabel eine Verbindung zu VPN herstellen, muss der Angreifer auf den Handshake warten (wenn er Ihr Kabel natürlich nicht trennen kann).

Aber wie schon oft gesagt, wäre die Verwendung von PPtP für Firmen-VPN eine sehr schlechte Idee. Aus theoretischer Sicht ist es wirklich kaputt.

1
Martin Pecka