Я использовал несколько VPN-решений на протяжении многих лет. Большинство из них сложно настроить, медленно подключаются и / или ведут себя плохо (замена системных драйверов, нарушение работы друг друга и т. Д.).
Одно из решений, которое я никогда раньше не использовал, - это встроенное в Windows. В основном это связано с тем, что разработчики инфраструктуры всегда отказываются ее использовать, поскольку заявляют, что она «небезопасна».
Теперь у меня наконец-то появилась возможность использовать его (в Windows 7), и ничего себе, это очень просто! Простая в настройке, хорошо управляемая, она подключается почти мгновенно, автоматически аутентифицируется с использованием моих учетных данных и отлично интегрируется с пользовательским интерфейсом. Я должен сказать, если это действительно небезопасно, я буду счастлив, если мне больше никогда не придется использовать другой продукт VPN.
Я так понимаю, что Windows VPN полагалась на PPTP, который не считается безопасным. Но в Windows 7/2008 он поддерживает L2TP / IPSec, SSTP и IKEv2 и аутентифицируется с помощью EAP или CHAP / CHAPv2. Мне это кажется актуальным.
Но я всего лишь скромный разработчик. Может ли кто-нибудь осведомленный рассказать мне об этом?
Как и все, что касается безопасности, это зависит от того, как вы ее настраиваете.
Его можно настроить очень безопасно. В какой-то момент (около Win98) у него были проблемы. С тех пор MS исправила это (около 1999 г.). Есть криптоанализ доступен здесь; Суть в том, что пароли пользователей - самое слабое звено (как и должно быть).
Некоторые проблемы с паролем пользователя можно решить с помощью сертификатов проверки подлинности клиентов. Если у вас уже есть хорошая инфраструктура PKI, вы, вероятно, уже автоматически выпускаете сертификаты клиентов (компьютеров). PPTP может использовать их, чтобы доказать, что компьютеру должно быть разрешено попробовать пару имени пользователя и пароля. Однако сертификаты не требуются, и PPTP по-прежнему будет таким же безопасным, как и ваши пароли.
MS предоставляет статьи о том, как настроить PPTP (включая EAP / TLS) так же как L2TP (L2TP требует сертификатов / PKI). Оба они предназначены для Win2003, но их достаточно, чтобы понять, что требуется; и есть документы на 2008 год. Как отмечено в комментариях, любые варианты PAP и CHAP небезопасны (потому что их можно перебрать с помощью тривиальных ресурсов).
Если ваша ИТ-служба сообщает вам, что PPTP небезопасен, они либо не справляются с проблемами (с <1999 г.), либо используют «небезопасный» как отговорку по какой-то другой причине.
Между тем ответ Криса устарел. PPTP небезопасен, что доказано Мокси Марлинспайк. Следовательно, следует использовать только L2TP / IPSec, IPSec с IKEv2 или OpenVPN.