有一个新的工具和服务可以很容易地破解用于保护 VPN 的 MS-CHAP v2。一个好的有关 MS-CHAP 攻击的摘要可在 Ars Technica 上找到。以下是我目前在 Windows 2003 R2 SP2 上运行的 VPN 服务的配置方式:
我是否应该或可以只使用 EAP?我使用 VPN 的客户端计算机是 Windows-XP(我可以关闭少数计算机)、Windows 7 和 iPad。我没有任何 RADIUS 路由器或 wifi 或任何其他依赖 Windows VPN 服务的东西。我的机器具有的 EAP 方法有:
答案1
实际上,它并不容易被破解,需要中间人攻击才能奏效。如果我没有看错的话,在实验室外几乎不可能做到这一点。只要有足够的时间和精力,几乎任何东西都可以被破解。我建议的一件事是放弃 Server 2003(现在是 2012 年……Server 2012 即将问世)……至少看看 2008 R2 服务器内置的 SSTP VPN,或者看看 directconnect 作为解决方案。其他人会使用专用设备,如 Cisco ASA 5510 和 anyconnect。如果您要保护有价值的数据,您还需要一个多重身份验证系统 - 例如 RSA 安全 ID 遥控器……只要知道,在适当的条件下,几乎任何解决方案都可能被黑客入侵 - 您要做的就是让它尽可能困难。
答案2
PEAP 通过 SSL 保护身份验证。如果证书经过验证,则证书必须是强证书。 http://en.wikipedia.org/wiki/Protected_Extensible_Authentication_Protocol