Achtung bei PPTP und MS-CHAP

[iDiddi 27]

Hallo zusammen,

 

falls noch Jemand Microsofts Standard-VPN-Verfahren einsetzt, sollte schnellstmöglich umdenken. Laut aktueller c't sind die Kennwörter innerhalb von 24 Stunden geknackt. Dafür gibt es sogar schon einen Online-Dienst, der das für 200 Dollar erledigt :shock:

 

Ich zitiere:

 

[...]Microsofts Point-to-Point Tunneling Protocol gilt zwar schon länger als nicht besonders sicher' date=' kommt aber immer noch häufig als VPN-Technik zum Einsatz, die auf fast allen Endgeräten verfügbar und einfach einzurichten ist. Doch die Sicherheit des Anmeldevorgangs beruht allein auf dem seit Jahren als unsicher geltenden DES-Algorithmus.

Der jetzt vorgestellte Dienst [...'] probiert einfach alle 7 Byte langen DES-Schlüssel durch und kann damit dann den MD4-Hash des Passwortes zuverlässig ermitteln, der für die Anmeldung und Entschlüsselung des VPN-Verkehrs genügt[...]

 

[...]Wer in Produktionsumgebungen noch immer PPTP oder (P)EAP mit MS-CHAPv2 einsetzt, sollte diesen Dienst zum Anlass nehmen, sich jetzt schleunigst Gedanken über Migrationsstrategien zu machen

 

Also dann mal ran an den Speck ;)

[nerd 28]

Hi,

 

ja war einer der Vorträge auf der BlackHat. Dafür kann man Cloud Dienste eben auch verwenden ;)

 

Details siehe auch in meinem Blogpost dazu.

[iDiddi 27]

ja war einer der Vorträge auf der BlackHat. Dafür kann man Cloud Dienste eben auch verwenden

Ja, leider :(

 

Was ist denn die meist eingesetzte Alternative zur Zeit? Weiß das Jemand? DirectAccess jetzt mal ausgenommen.

[tesso 373]

Wir nehmen seit Jahren ipsec Tunnel.

[iDiddi 27]

Nachtrag:

 

Microsoft hat sich dem Sicherheitsproblem angenommen und einen Artikel dazu veröffentlicht, der beschreibt, was für sichere Alternativen eingesetzt werden können. Die interessanteste, weil einfachste Lösung ist wohl PEAP-EAP-MS-CHAPv2. Interessant daran ist die Tatsache, dass sie ohne eigene PKI auskommt und in wenigen Schritten konfiguriert ist.

 

Ich erspare mir jetzt die genaue Erklärung dazu und verweise einfach auf folgenden Technet-Artikel:

 

Microsoft-Sicherheitsempfehlung (2743314): Nicht eingekapselte MS-CHAP*v2-Authentifizierung kann Offenlegung von Information ermöglichen

 

Implementieren der PEAP-MS-CHAP v2-Authentifizierung für Microsoft-PPTP-VPNs

 

Wer noch eine schöne Anleitung mit ein paar Screenshots benötigt, kann sich das mal anschauen. Leider nur in englischer Sprache:

 

http://www.miqrogroove.com/blog/2012/windows-vpn-with-peap/

 

Bei dieser Methode ist allerdings zu beachten, dass im ersten Schritt nur der Server mit einem Zertifikat authentifiziert wird. Sicherer ist natürlich ein Verfahren, bei dem sich beide Seiten per Zertifikat authentifizieren müssen. Dann wird es allerdings komplizierter und komplexer.

bearbeitet 9. September 2012 von iDiddi

[PowerShellAdmin 169]

Hi iDiddi,

danke für die Info, dass klingt nach einer guten Alternative für L2TP/IPsec -

So erspare ich mir den Ärger mit der Clientzertifikatsverteilung.

 

Grüße Admin

[iDiddi 27]

So erspare ich mir den Ärger mit der Clientzertifikatsverteilung.

Ja, das hat mich bisher auch abgeschreckt. So muss man auf den VPN-Clients nur dafür sorgen, dass dem Stammzertifikat vertraut wird.

[PowerShellAdmin 169]

Also ich habe das gemäß der Anleitung ausgeführt -Endet mit Passwort/Authentifizierungsabfrage => Error 806.

Laut Error 806 wird Probleme mit dem GRE Protokoll -> Kann ich aber ausschließen (klassisch funktioniert PPTP noch)

 

Als Zertifikat habe ich ein SAN (über öffentlichen Anbieter erstellt) verwendet, außerdem am Client noch die beiden zw. Zertifiszierungsstellen importiert und aktiviert => selbe

 

Teste das nochmal mit einem eigens erstellten Zertifikat.

 

Grüße Admin

[iDiddi 27]

Also ich habe es nach dieser Anleitung erfolgreich auf einem SBS 2011 umgestellt. Einziger Unterschied zur Anleitung: Ich musste die "Virtual Private Network (VPN) Access Policy" anpassen. In der Anleitung steht "Connections to Microsoft Routing and RAS". Kann aber ein SBS-spezifisches Ding sein.

[PowerShellAdmin 169]

Also bei mir funktioniert es nicht - er hängt am Schritt der Authentifizierung

Was da falsch sein soll weiß ich nicht.

Zertfikat habe ich auch über eigenen Zertserver erstellt und dieses am Client eingetragen.

[iDiddi 27]

Zertfikat habe ich auch über eigenen Zertserver erstellt und dieses am Client eingetragen.

Und das Zertifikat, welches Du aus der Dropdown-Liste ausgewählt hast, verweist auch auf den externen Servernamen?

 

Die NPS-Richtlinie ist auch wirklich korrekt konfiguriert?

 

Lass mal den Haken bei "automatischer Anmeldung mit dem angemeldeten Benutzer" raus, damit er Dich nach dem Benutzernamen fragt.

 

Schreib auch mal genau auf, welche Meldungen beim Verbindungsaufbau kommen und wo er dann abbricht.

[PowerShellAdmin 169]

Hi Diddi,

also ich bin da nicht der Experte.

Laut Fehlermeldung ein Problem mit dem GRE Protokoll - kann ich aber ausschließen - klassisch PPTP geht ja auch.

 

Habe nun eine Testumgebung - die sieht etwa so aus:

-Fehlermeldung: 806 - er hängt an der Authentifzierung ( es kommt aber nicht mal zu Aufforderung von Anmeldedaten)

-Das Zertifikat geht auf die öffentliche Adresse (der Host selbst hat keine direkte externe AdressE).

-Der Aufruf erfolgt über eine externe Adresse (gate.domain.tld)

-Der richtige Name ist Host.intern.domain.tld - Im Zertifikat ist natürlich gate.domain.tld eingetragen.

-Am VPN Client ist die Zerstelle als vertrauenswürdig hinzugefügt und in der VPN Konfiguration aktiviert.

-Richtlinie ist "Remote Access Server (VPN Dial up)

-Richtlinie ist auf erlauben - andere Richtlinien wurden deaktiviert

-Benutzer hat unter einwählen "Richtlinie verwenden"

 

Grüße Admin

[PowerShellAdmin 169]

So Nachtrag - Fehler lag woanders.

Habs VPN Sys neu installiert - Aus Spaß W2k12

Eingerichtet wie beschrieben - leicht abweichend von den Screenshots.

Zertifikatsstelle am Client eingespielt

=> Funktioniert

 

Ursache: Mein externes Testsystem könnte nicht aus der Cloud raustelefonieren ...

 

Nachtrag:

Habe nun dass öffentliche San-Zertifkat importiert und es funktioniert ohne Import :-) Da die Herausgeber zu Std. trusted Liste gehören.

Ich musste lediglich beim Erstart die Verbindung aktivieren via "verbinden". Feine Sache und dazu komfortabel.

 

Allerdings sei erwähnt, dass diese Alternative nicht mit Mobilgeräten z.B. Iphone/Android funktioniert.

[iDiddi 27]

Danke für Deine Beschreibung :)

 

Allerdings sei erwähnt, dass diese Alternative nicht mit Mobilgeräten z.B. Iphone/Android funktioniert.

Das ist leider wahr. Hatte ich jetzt nicht explizit erwähnt, weil es aus den Links hervorgeht.

 

Aber hoffentlich legt Apple da nach

[PowerShellAdmin 169]

Hi iDiddi,

was mir aufgefallen ist, OSX unterstützt kein Zugriff via PPTP PEAP-EAP - Das stand da so leider nicht...

Welchen VPN Client für OSX nutzt du oder bietet ihr hier keine Einwahl ?

 

Grüße Admin