O que devo usar em vez do MS-CHAP v2?

4

Existe uma nova ferramenta e serviço que torna muito fácil quebrar o MS-CHAP v2, que é usado para proteger VPNs. Um bom resumo do anexo ao MS-CHAP pode ser encontrado em Ars Technica . Aqui está a maneira que eu tenho atualmente meu serviço VPN em execução no Windows 2003 R2 SP2 configurado:

DevooupossosimplesmenteircomoEAP?MeuscomputadoresclientesqueusamaVPNsãooWindowsXP(umpequenonúmerodemáquinasqueeupoderiadesativar),oWindows7eosiPads.EunãotenhonenhumroteadorRADIUSouwifiouqualqueroutracoisaquedependadoserviçoVPNdoWindows.OsmétodosEAPqueminhamáquinapossuisão:

    
por Knox 06.08.2012 / 19:39

2 respostas

2

Na verdade, não é muito fácil de quebrar e requer que um homem no ataque do meio trabalhe. Se eu ler o exploit corretamente, seria quase impossível fazer fora de um laboratório. Quase tudo é quebrável, dado tempo e energia suficientes. Uma coisa que eu recomendo é sair do Server 2003 (é 2012 ... e o Server 2012 está prestes a sair) ... e pelo menos olhar para o SSTP VPN que está embutido no servidor 2008 R2 ou olhar para o directconnect como um solução. Outros estariam usando algo como um dispositivo dedicado, como um Cisco ASA 5510 e anyconnect. Se você estiver protegendo dados valiosos, também precisará ter um sistema de autenticação múltipla - como os coletores de identidade seguros da RSA ... saiba que praticamente qualquer solução pode ser hackeada, embora tenha as condições certas - o que você está tentando fazer é fazer é difícil quanto humanamente possível.

    
por 07.08.2012 / 01:38
1

O PEAP protege a autenticação por SSL. Se os certificados forem verificados, deve ser strong. link

    
por 06.08.2012 / 23:41