2013-01-14

Varför borde alla se till att PPTP slutar användas.

För ett par dagar sedan så fick jag fick en riktigt bra förklaring kring varför alla bör lägga av med att använda PPTP med en gång.
Creds för denna text går till Jörgen Ottosson (tack för att jag fick använda texten!!).

(TIPS: klicka på bilderna för att kunna läsa texten lättare)


Pga det allmänna tekniska läget och nya förvecklingar sedan förra sommaren så bör vi börja betrakta PPTP som ett i praktiken öppet protokoll och därigenom olämpligt att använda i affärssammanhang.

PPTP är en typ av tunneltjänst som funnits inbyggd i Windows-system sedan Win95. Den har på senare år varit populär och inte minst efter allt prat om FRA-lagen och fildelning så känner en stor andel av sk ”vanligt folk” till detta också; inte ngn som har läst mainstream PC/IT-tidningar senaste 3 åren har undgått information om detta. Det finns alltså en massiv användning av PPTP på Internet.

Det har dock funnits kritik mot PPTP under lång tid och det har även tidigare gjorts justeringar för att lösa en del av de gamla problemen. Bruce Schneier var med och skrev ett paper tillsammans med Mudge (han som låg bakom L0phtcrack för er som har koll på hackerhistorien) redan 98/99:
http://www.schneier.com/paper-pptpv2.html
http://en.wikipedia.org/wiki/Peiter_Zatko )

Angående senaste tidens förvecklingar, här lite snabbinfo, från en hackerkonferens i Las Vegas 2012
:


Som en följd av ovanstående så har även Microsoft gått ut med information om hur man agerar för att hantera den nya situationen:
http://technet.microsoft.com/en-us/security/advisory/2743314
http://support.microsoft.com/kb/2744850

http://en.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol
Exempel på info från Wikipedia.

Ett praktiskt resultat av detta är att man tex genom att avlyssna trafik på ett relativt enkelt sätt skulle kunna få tag i användaruppgifter för användare av PPTP-VPN och även läsa trafik från både VPN samt WPA2-”enterprise”-skyddade trådlösa nät.

Generellt sett kan man säga att PPTP är ett osäkert protokoll som har flera inbyggda svagheter och som även om det går att lappa till viss del, helst bör undvikas helt, eftersom det finns både IPsec och TLS-baserade lösningar som inte har den här typen av kända svagheter idag.

//Jörgen

PS: För er som kör PPTP hemma gäller följande: dumpa det och ta en tjänst baserad på OpenVPN istället. Dock bör den vara certifikatbaserad och inte med enbart lösenord eftersom du annars inte har perfect forward secrecy. (http://en.wikipedia.org/wiki/Perfect_forward_secrecy





Inga kommentarer:

Skicka en kommentar

Related Posts Plugin for WordPress, Blogger...