几个月前我们买了一台新的防火墙,Netgear UTM9S,我们启用的功能之一是 PPTP VPN,以便远程用户能够访问 SQL、Web 和文件服务器。但现在,在阅读了这篇文章后Ars Technica 文章:MSCHAP V2 被破坏我想知道我们是否应该担心这个问题,关闭 PPTP 并启用其他 VPN 选项之一?SSL 和 IPSEC 选项可用,需要阅读手册才能转到它们,还要配置每个用户的机器,所以我们应该花时间在这上面吗?或者这只是 FUD?
答案1
好吧,这不是 FUD:MSCHAPv2 在设计上确实存在弱点,并且已经发布了一种工具,可让攻击者利用该弱点。实际文章研究人员发表的研究报告对相关建议进行了更详细的阐述。
您自己的公司可能不会立即成为 hax0rz 的攻击目标:必须对需要提交分析的流量进行网络捕获,因此您的某个远程用户可能正在使用您的 VPN,而攻击者正在寻找可以利用的 MSCHAPv2 流量。由于涉及多个步骤,您可能不会看到有人对破坏行为感兴趣(即,有人想破坏咖啡店里每个人的 Facebook 页面)。这种攻击者会追踪这种 VPN 流量,但即使遇到,也会严重得多。
关于切换到 IPSEC,请注意有关 IPSEC-PSK 的文章中的警告:您应该使用证书或非常复杂的预共享密钥,因为 IPSEC-PSK 容易受到字典攻击。