Jump to content

Achtung bei PPTP und MS-CHAP


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

falls noch Jemand Microsofts Standard-VPN-Verfahren einsetzt, sollte schnellstmöglich umdenken. Laut aktueller c't sind die Kennwörter innerhalb von 24 Stunden geknackt. Dafür gibt es sogar schon einen Online-Dienst, der das für 200 Dollar erledigt :shock:

 

Ich zitiere:

 

[...]Microsofts Point-to-Point Tunneling Protocol gilt zwar schon länger als nicht besonders sicher' date=' kommt aber immer noch häufig als VPN-Technik zum Einsatz, die auf fast allen Endgeräten verfügbar und einfach einzurichten ist. Doch die Sicherheit des Anmeldevorgangs beruht allein auf dem seit Jahren als unsicher geltenden DES-Algorithmus.

Der jetzt vorgestellte Dienst [...'] probiert einfach alle 7 Byte langen DES-Schlüssel durch und kann damit dann den MD4-Hash des Passwortes zuverlässig ermitteln, der für die Anmeldung und Entschlüsselung des VPN-Verkehrs genügt[...]

 

[...]Wer in Produktionsumgebungen noch immer PPTP oder (P)EAP mit MS-CHAPv2 einsetzt, sollte diesen Dienst zum Anlass nehmen, sich jetzt schleunigst Gedanken über Migrationsstrategien zu machen

 

Also dann mal ran an den Speck ;)

Link zu diesem Kommentar
  • 4 Wochen später...

Nachtrag:

 

Microsoft hat sich dem Sicherheitsproblem angenommen und einen Artikel dazu veröffentlicht, der beschreibt, was für sichere Alternativen eingesetzt werden können. Die interessanteste, weil einfachste Lösung ist wohl PEAP-EAP-MS-CHAPv2. Interessant daran ist die Tatsache, dass sie ohne eigene PKI auskommt und in wenigen Schritten konfiguriert ist.

 

Ich erspare mir jetzt die genaue Erklärung dazu und verweise einfach auf folgenden Technet-Artikel:

 

Microsoft-Sicherheitsempfehlung (2743314): Nicht eingekapselte MS-CHAP*v2-Authentifizierung kann Offenlegung von Information ermöglichen

 

Implementieren der PEAP-MS-CHAP v2-Authentifizierung für Microsoft-PPTP-VPNs

 

Wer noch eine schöne Anleitung mit ein paar Screenshots benötigt, kann sich das mal anschauen. Leider nur in englischer Sprache:

 

http://www.miqrogroove.com/blog/2012/windows-vpn-with-peap/

 

Bei dieser Methode ist allerdings zu beachten, dass im ersten Schritt nur der Server mit einem Zertifikat authentifiziert wird. Sicherer ist natürlich ein Verfahren, bei dem sich beide Seiten per Zertifikat authentifizieren müssen. Dann wird es allerdings komplizierter und komplexer.

bearbeitet von iDiddi
Link zu diesem Kommentar

Also ich habe das gemäß der Anleitung ausgeführt -Endet mit Passwort/Authentifizierungsabfrage => Error 806.

Laut Error 806 wird Probleme mit dem GRE Protokoll -> Kann ich aber ausschließen (klassisch funktioniert PPTP noch)

 

Als Zertifikat habe ich ein SAN (über öffentlichen Anbieter erstellt) verwendet, außerdem am Client noch die beiden zw. Zertifiszierungsstellen importiert und aktiviert => selbe

 

Teste das nochmal mit einem eigens erstellten Zertifikat.

 

Grüße Admin

Link zu diesem Kommentar
Zertfikat habe ich auch über eigenen Zertserver erstellt und dieses am Client eingetragen.
Und das Zertifikat, welches Du aus der Dropdown-Liste ausgewählt hast, verweist auch auf den externen Servernamen?

 

Die NPS-Richtlinie ist auch wirklich korrekt konfiguriert?

 

Lass mal den Haken bei "automatischer Anmeldung mit dem angemeldeten Benutzer" raus, damit er Dich nach dem Benutzernamen fragt.

 

Schreib auch mal genau auf, welche Meldungen beim Verbindungsaufbau kommen und wo er dann abbricht.

Link zu diesem Kommentar

Hi Diddi,

also ich bin da nicht der Experte.

Laut Fehlermeldung ein Problem mit dem GRE Protokoll - kann ich aber ausschließen - klassisch PPTP geht ja auch.

 

Habe nun eine Testumgebung - die sieht etwa so aus:

-Fehlermeldung: 806 - er hängt an der Authentifzierung ( es kommt aber nicht mal zu Aufforderung von Anmeldedaten)

-Das Zertifikat geht auf die öffentliche Adresse (der Host selbst hat keine direkte externe AdressE).

-Der Aufruf erfolgt über eine externe Adresse (gate.domain.tld)

-Der richtige Name ist Host.intern.domain.tld - Im Zertifikat ist natürlich gate.domain.tld eingetragen.

-Am VPN Client ist die Zerstelle als vertrauenswürdig hinzugefügt und in der VPN Konfiguration aktiviert.

-Richtlinie ist "Remote Access Server (VPN Dial up)

-Richtlinie ist auf erlauben - andere Richtlinien wurden deaktiviert

-Benutzer hat unter einwählen "Richtlinie verwenden"

 

Grüße Admin

Link zu diesem Kommentar

So Nachtrag - Fehler lag woanders.

Habs VPN Sys neu installiert - Aus Spaß W2k12

Eingerichtet wie beschrieben - leicht abweichend von den Screenshots.

Zertifikatsstelle am Client eingespielt

=> Funktioniert

 

Ursache: Mein externes Testsystem könnte nicht aus der Cloud raustelefonieren ...

 

Nachtrag:

Habe nun dass öffentliche San-Zertifkat importiert und es funktioniert ohne Import :-) Da die Herausgeber zu Std. trusted Liste gehören.

Ich musste lediglich beim Erstart die Verbindung aktivieren via "verbinden". Feine Sache und dazu komfortabel.

 

Allerdings sei erwähnt, dass diese Alternative nicht mit Mobilgeräten z.B. Iphone/Android funktioniert.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...