Что мне использовать вместо MS-CHAP v2?
Есть новый инструмент и сервис, которые позволяют легко взломать MS-CHAP v2, который используется для защиты VPN. Хороший резюме приложения к MS-CHAP можно найти на Ars Technica. Вот как у меня сейчас настроена моя служба VPN на Windows 2003 R2 SP2:
Могу ли я просто пойти с EAP? Мои клиентские машины, использующие VPN, - это Windows-XP (небольшое количество машин, которые я мог бы выключить), Windows 7 и iPad. У меня нет маршрутизаторов RADIUS, Wi-Fi или чего-либо еще, что полагается на службу Windows VPN. На моей машине есть следующие методы EAP:
На самом деле это не так просто сломать, и для работы требуется человек в середине атаки. Если я правильно прочитал эксплойт - это было бы почти невозможно сделать вне лаборатории. При достаточном времени и энергии можно сломать практически все. Одна вещь, которую я бы порекомендовал, - это отказаться от Server 2003 (это 2012 год ... и Server 2012 вот-вот выйдет) ... и, по крайней мере, посмотреть на SSTP VPN, встроенную в сервер 2008 R2, или посмотреть на directconnect как на решение. Другие будут использовать что-то вроде выделенного устройства, такого как Cisco ASA 5510 и anyconnect. Если вы защищаете ценные данные, вам также понадобится система с несколькими аутентификациями - например, безопасные идентификационные брелоки RSA ... просто знайте, что практически любое решение можно взломать, хотя при правильных условиях - что вы пытаетесь сделать это сделать настолько сложно, насколько это возможно.
PEAP защищает аутентификацию с помощью SSL. Если сертификаты подтверждены, он должен быть надежным. http://en.wikipedia.org/wiki/Protected_Extensible_Authentication_Protocol