Позже сегодня Джошуа Райт выпустит обновленную версию своего сверхскоростного инструмента для взлома паролей под названием ASLEAP. Тем из вас, кто уже знаком с ASLEAP, может быть интересно, какое отношение это имеет к протоколу Microsoft PPTP VPN, поскольку ASLEAP — это инструмент атаки по словарю аутентификации LEAP.
Позже сегодня, Джошуа Райт выпустит обновленную версию своего сверхскоростного инструмента для взлома паролей под названием ASLEAP. Тем из вас, кто уже знаком с ASLEAP, может быть интересно, какое отношение это имеет к Microsoft PPTPVPN протокол, поскольку ASLEAP является ПРЫГНУТЬ инструмент атаки по словарю аутентификации. Ну, это было тогда, и это сейчас. ASLEAP только что добавил поддержку аутентификации PPTP, чтобы он мог взламывать сеансы аутентификации PPTP VPN так же легко, как и при аутентификации LEAP в беспроводной локальной сети. Конечным результатом является то, что у нас есть еще один протокол аутентификации, который отжил свой век и просто показывает, что Билл Гейтс не шутил, когда объявил пароль мертвым.
Три месяца назад я пытался объяснить разницу между PPTP и L2TP VPN для друга во время работы над свежая история о SP2 где Windows XP SP2 по умолчанию нарушила работу NAT-T в L2TP VPN. Пытаясь объяснить различия, я заметил, насколько похожа аутентификация PPTP на аутентификацию LEAP, где обе они полагались исключительно на MSCHAPv2 для защиты пароля пользователя. Я отправил сообщение Джошуа Райту, и он сразу же сказал, что можно модифицировать ASLEAP для работы с PPTP так же, как это было с аутентификацией LEAP. Три месяца спустя код полностью работоспособен, и у меня появилась возможность убедиться в его эффективности.
ASLEAP был создан в 2003 году Джошуа Райтом, чтобы доказать, что система аутентификации на основе пароля, такая как Cisco LEAP не является безопасным из-за одного явного недостатка: он полагается на то, что люди запоминают сильные пароли. Восемь месяцев спустя, в середине 2004 года, после того как у Cisco появилась возможность выпустить обновленный протокол для LEAP, Джошуа выпустил ASLEAP на SourceForge. PPTP — это протокол Microsoft VPN, опубликованный как RFC в 1999 году для безопасного удаленного доступа. В последние годы он стал использоваться во многих сетях Microsoft, брандмауэрах и даже в чистых средах Linux и Open Source. Строго говоря, с протоколом аутентификации LEAP или PPTP MSCHAPv2 никогда не было никаких технических проблем, поскольку оба они работали так, как заявлено. И Cisco, и Microsoft с самого начала предупреждали, что при использовании схем аутентификации на основе паролей необходимо использовать надежные пароли. К сожалению, надежные пароли (или даже надежные парольные фразы) просто несовместимы с большинством Homo sapiens, и если вы заставите их решить эту проблему, они сделают все возможное, чтобы упростить ее, записав пароли на стикере и прикрепив его к себе. монитор. Поскольку надежные пароли редко применяются на практике, возникает ситуация, когда продукт просто недостаточно безопасен, чтобы защитить нас от самих себя.. Как любит говорить Брюс Шнайер, «любой пароль, который, как вы можете разумно ожидать, запомнит пользователь, может быть угадан или подобран методом грубого подбора». ASLEAP как раз проясняет этот момент, поскольку у него была возможность сканировать 4-гигабайтный диск. предварительно вычисленная хэш-таблица паролей со скоростью 45 миллионов паролей в секунду с использованием обычного рабочего стола компьютер. Эта новая версия ASLEAP не только добавляет совместимость с PPTP, но также увеличивает максимальный размер базы данных до 4. Терабайты и возможность сканирования в прямом эфире с помощью карты беспроводной локальной сети и штатного сниффера в Microsoft Окна. В результате точки доступа беспроводной локальной сети стали смертельно опасными для аутентификации PPTP, а для тех, кто использует PPTP для замена реального уровня передачи данных. Безопасность беспроводной локальной сети также не затрагивается и широко открыта для пароля. трескается.
Когда Джошуа Райт сообщил об этом официальной группе реагирования безопасности Microsoft, Microsoft дала официальный ответ.
- Внедряйте и применяйте политику надежных паролей.
- Если пользователи хотят продолжать использовать PPTP, им следует использовать аутентификацию EAP-TLS вместо механизма аутентификации MSCHAPv2 по умолчанию.
- Переключитесь на VPN на основе L2TP/IPSEC.
Вот моя оценка и рекомендации по этому совету:
- Проблема с первой рекомендацией заключается в том, что надежные пароли редко применяются в реальности и пользователям очень сложно их использовать. Тот факт, что пользователи, вероятно, в конечном итоге запишут свои пароли в удобном месте, вероятно, принесет больше вреда, чем пользы. Билл Гейтс абсолютно прав, когда говорит, что «пароль мертв».
- Что касается использования аутентификации EAP-TLS с PPTP, это надежное решение, которое защитит слабые пароли во время аутентификации PPTP. Однако для реализации аутентификации EAP-TLS с помощью Microsoft PPTP требуются «сертификаты компьютера» на стороне сервера и «сертификаты пользователя» на стороне клиента. Автоматическое развертывание «компьютерных сертификатов» в сети на базе Microsoft Windows 2000 или 2003 Active Directory относительно просто, но «сертификат пользователя» не так прост. Для поддержки автоматической регистрации сертификата пользователя необходим сервер Windows 2003 Enterprise Edition.
- Преобразование на базу L2TP/IPSEC, вероятно, является лучшим советом здесь, и вы будете использовать шифрование IPSEC 3DES на основе стандартов. Поскольку L2TP требует только «компьютерных сертификатов» как на сервере, так и на клиенте, сертификаты могут быть автоматически развернуты магазинами Windows 2000 или Windows 2003 Standard Edition. Обратите внимание: для того, чтобы L2TP VPN был практичным, у вас должен быть новейший VPN-клиент Microsoft с поддержкой NAT-T, бесплатно доступный для всех версий Windows. Windows XP SP2 имеет встроенный клиент NAT-T, но по умолчанию он частично отключен, и это объясняется в более ранняя история. Вы можете это исправить, если прочитаете это Статья в базе знаний. Для получения дополнительной информации о L2TP и цифровых сертификатах Microsoft вы можете перейти на здесь и здесь.
Не связанный с Microsoft, существует множество межсетевых экранов и проектов с открытым исходным кодом, которые используют PPTP с аутентификацией MSCHAPv2. Для тех организаций, которые попадают в эту категорию, рекомендация та же, и им следует перейти на решение VPN L2TP/IPSEC. К счастью для них, L2TP и цифровые сертификаты полностью поддерживаются открытым исходным кодом. Вы можете получить полезную информацию о реализациях L2TP с открытым исходным кодом. здесь.