Что я должен использовать вместо MS-CHAP v2?
Существует новый инструмент и сервис, который позволяет очень легко взломать MS-CHAP v2, который используется для защиты VPN. Хорошее резюме приложения против MS-CHAP можно найти на Ars Technica. Вот как у меня сейчас работает VPN-сервис на Windows 2003 R2 SP2:
Должен или могу я просто пойти с EAP? Мои клиентские машины, которые используют VPN, - это Windows-XP (небольшое количество машин, которые я мог бы отключить), Windows 7 и iPad. У меня нет ни маршрутизаторов RADIUS, ни Wi-Fi, ни чего-либо еще, что зависит от службы Windows VPN. Методы EAP, которые есть у моей машины:
2 ответа
Это на самом деле не очень легко сломать, и требует человека в средней атаке, чтобы работать. Если бы я правильно прочитал эксплойт - это было бы почти невозможно сделать вне лаборатории. Практически все разрушаемо, если у вас достаточно времени и энергии. Одна вещь, которую я бы порекомендовал, - это отключить Server 2003 (сейчас 2012... и Server 2012 скоро выйдет)... и, по крайней мере, взглянуть на SSTP VPN, встроенную в сервер 2008 R2, или посмотреть на directconnect как на решение. Другие будут использовать что-то вроде выделенного устройства, такого как Cisco ASA 5510 и anyconnect. Если вы защищаете ценные данные, вам также понадобится система с множественной аутентификацией - например, RSA-защищенные идентификаторы... просто знайте, что практически любое решение можно взломать, хотя и с учетом правильных условий - что вы пытаетесь сделать это сделать это трудно, как это возможно по-человечески.
PEAP защищает аутентификацию по SSL. Если сертификаты подтверждены, они должны быть сильными. http://en.wikipedia.org/wiki/Protected_Extensible_Authentication_Protocol