多年来,我使用过一些 VPN 解决方案。大多数都难以设置、连接速度慢且/或性能不佳(更换系统驱动程序、相互干扰等)。
我以前从未使用过的一个解决方案是 Windows 内置的解决方案。这主要是因为基础设施人员总是拒绝使用它,因为他们声称它“不安全”。
现在我终于有机会使用它了(在 Windows 7 上),哇,真是太简单了!设置简单,运行良好,几乎可以立即连接,使用我的登录凭据自动进行身份验证,并与 UI 完美集成。我不得不说,除非它真的不安全,否则我会很高兴再也不用使用其他 VPN 产品了。
我了解到 Windows VPN 过去依赖于 PPTP,而 PPTP 并不安全。但在 Windows 7/2008 中,它支持 L2TP/IPSec、SSTP 和 IKEv2,并使用 EAP 或 CHAP/CHAPv2 进行身份验证。这对我来说似乎相当新潮。
但我只是一名低级开发人员。有谁知道这方面的情况吗?
答案1
与所有安全事物一样,这取决于您如何配置它。
它可以设置得非常安全。在某个时间点(大约在 Win98)它有问题。从那时起,MS 已经修复了它(大约在 1999 年)。有一个密码分析请点击此处;底线是,用户密码是最薄弱的环节(理应如此)。
通过使用客户端身份验证证书,可以缓解部分用户密码问题。如果您已经拥有良好的 PKI 基础架构,您可能已经自动颁发了客户端(计算机)证书。PPTP 可以使用这些证书来证明计算机应该被允许尝试用户名和密码对。但是证书不是必需的,PPTP 仍然和您的密码一样安全。
MS 提供了有关如何设置的文章PPTP(包括 EAP/TLS)也L2TP(L2TP 确实需要证书/PKI)。这两个都是针对 Win2003 的,但它们足以让您了解所需的内容;并且有 2008 的文档。正如评论中所述,PAP 和 CHAP 的任何变体都是不安全的(因为它们可以用琐碎的资源进行暴力破解)。
如果您的 IT 部门告诉您 PPTP 不安全,那么他们要么没有跟上问题的步伐(自 1999 年起),要么他们出于其他原因使用“不安全”作为借口。
答案2
同时,Chris 的回答已经过时了。PPTP 不安全,这一点已得到证实莫克西·马林斯派克. 因此,只应使用 L2TP/IPSec、带有 IKEv2 的 IPSec 或 OpenVPN。