Czy Windows VPN jest bezpieczny?

Przez lata korzystałem z kilku rozwiązań VPN. Większość z nich jest trudna do skonfigurowania, wolno się łączy i / lub raczej źle się zachowuje (zastępuje sterowniki systemowe, zakłócają się itp.).

Jednym z rozwiązań, z których nigdy wcześniej nie korzystałem, jest rozwiązanie wbudowane w system Windows. Wynika to głównie z tego, że faceci z infrastruktury zawsze odmawiają korzystania z niego, ponieważ twierdzą, że „nie jest bezpieczny”.

Teraz w końcu miałem okazję go użyć (w systemie Windows 7) i wow, to pestka! Łatwy w konfiguracji, zachowujący się, łączy się niemal natychmiast, automatycznie uwierzytelnia się przy użyciu moich poświadczeń logowania i doskonale integruje się z interfejsem użytkownika. Muszę powiedzieć, chyba że to naprawdę nie jest bezpieczne, będę szczęśliwy, jeśli nigdy więcej nie będę musiał używać innego produktu VPN.

Zbieram Windows VPN używany do polegania na PPTP, który nie jest uważany za bezpieczny. Ale w Windows 7/2008 obsługuje L2TP / IPSec, SSTP i IKEv2 i uwierzytelnia się za pomocą EAP lub CHAP / CHAPv2. Wydaje mi się to dość aktualne.

Ale jestem po prostu słabym programistą. Czy ktoś znający się na tym da mi konkluzję?

Podobnie jak wszystkie zabezpieczenia, zależy to od tego, jak je skonfigurujesz.

Można go skonfigurować tak, aby był bardzo bezpieczny. W pewnym momencie (Circa Win98) miał problemy. Od tego czasu MS naprawiło to (około 1999). Dostępna jest tutaj jego kryptoanaliza ; Podsumowując, hasła użytkownika są najsłabszym linkiem (tak jak powinno być).

Niektóre problemy z hasłem użytkownika można złagodzić za pomocą certyfikatów uwierzytelniania klienta. Jeśli masz już dobrą infrastrukturę PKI, prawdopodobnie już automatycznie wydajesz certyfikaty klientów (komputerów). PPTP może ich użyć, aby udowodnić, że komputer powinien mieć możliwość wypróbowania nazwy użytkownika i hasła. Certyfikaty nie są jednak wymagane, a PPTP będzie nadal tak samo bezpieczny, jak twoje hasła.

MS zapewnia artykuły na temat konfiguracji PPTP (w tym EAP / TLS), a także L2TP (L2TP wymaga Certs / PKI) . Oba są dla Win2003, ale są wystarczające, aby zorientować się, co jest wymagane; w 2008 r. istnieją dokumenty. Jak zauważono w komentarzach, wszelkie warianty PAP i CHAP są niepewne (ponieważ można je brutalnie wymusić za pomocą trywialnych zasobów).

Jeśli twój informator mówi ci, że PPTP jest niepewny, albo nie nadąża za problemami (od <1999), albo używa „niepewnego” jako wyłudzania z jakiegoś innego powodu.

Tymczasem odpowiedź Chrisa jest nieaktualna. PPTP jest niepewne, co udowodniła Moxie Marlinspike . Dlatego należy używać tylko L2TP / IPSec, IPSec z IKEv2 lub OpenVPN.