it-swarm.dev

Esistono vulnerabilità note in PPTP VPN quando configurate correttamente?

PPTP è l'unico protocollo VPN supportato da alcuni dispositivi (ad esempio, il router WiFi Asus RT-AC66U). Se PPTP è configurato per utilizzare solo le opzioni più sicure, il suo utilizzo presenta delle vulnerabilità di sicurezza?

La configurazione più sicura di PPTP è utilizzare esclusivamente:

  • Crittografia MPPE-128 (che utilizza la crittografia RC4 con una chiave a 128 bit)
  • Autenticazione MS-CHAPv2 (che utilizza SHA-1)
  • password complesse (minimo 128 bit di entropia)

Mi rendo conto che RC4 e SHA-1 hanno dei punti deboli, ma sono interessato all'impatto pratico. Esistono attacchi o exploit noti che potrebbero riuscire contro una PPTP VPN con la configurazione sopra?

30
user34241

Sì. Il protocollo stesso non è più sicuro, poiché il cracking dell'autenticazione MS-CHAPv2 iniziale può essere ridotto alla difficoltà di cracking di una singola chiave DES a 56 bit, che con i computer attuali può essere forzata brutalmente in brevissimo tempo (rendendo una password complessa in gran parte irrilevante per la sicurezza di PPTP poiché è possibile cercare l'intero spazio delle chiavi a 56 bit entro limiti di tempo pratici).

L'aggressore può eseguire un MITM per acquisire l'handshake (e qualsiasi altro traffico PPTP), eseguire un crack offline dell'handshake e ricavare la chiave RC4. Quindi, l'attaccante sarà in grado di decrittografare e analizzare il traffico trasportato nella VPN PPTP. PPTP non fornisce segretezza diretta, quindi solo craccare una sessione PPTP è sufficiente per craccare tutte le precedenti sessioni PPTP usando le stesse credenziali.

Inoltre, PPTP fornisce una protezione debole all'integrità dei dati sottoposti a tunnel. La crittografia RC4, pur fornendo la crittografia, non verifica l'integrità dei dati in quanto non è una crittografia autenticata con dati associati (AEAD). PPTP inoltre non esegue ulteriori controlli di integrità sul suo traffico (come HMAC) ed è quindi vulnerabile agli attacchi bit-flipping, ad es. l'attaccante può modificare i pacchetti PPTP con poche possibilità di rilevamento. Vari attacchi scoperti al codice RC4 (come l'attacco Royal Holloway) rendono RC4 una cattiva scelta per proteggere grandi quantità di dati trasmessi e le VPN sono un candidato privilegiato per tali attacchi poiché di solito trasmettono grandi quantità di dati sensibili e sensibili.

Se vuoi, puoi effettivamente provare a decifrare una sessione PPTP da solo. Per un utente Wi-Fi, comporta l'avvelenamento da parte dell'ARP del bersaglio in modo tale che il bersaglio invii l'handshake MSCHAPv2 attraverso di te (che puoi catturare con Wireshark o qualsiasi altro strumento di acquisizione di pacchetti). È quindi possibile rompere la stretta di mano con strumenti come Chap2Asleap o se si dispone di qualche centinaio di dollari da inviare inviare la stretta di mano catturata ai servizi di cracking online. Il nome utente, l'hash, la password e le chiavi di crittografia recuperati possono quindi essere utilizzati per impersonare gli accessi alla VPN come tale utente o per decrittografare retroattivamente il traffico del target. Ovviamente, per favore non farlo senza un'autorizzazione adeguata e al di fuori di un ambiente controllato .

In breve, evitare di usare PPTP ove possibile.

Per ulteriori informazioni, vedere http://www.computerworld.com/s/article/9229757/Tools_released_at_Defcon_can_crack_widely_used_PPTP_encryption_in_under_a_day e Come posso sapere se un tunnel PPTP è sicuro? .

I problemi rilevati con RC4 (con conseguenti problemi di sicurezza nel mondo reale in protocolli come TLS) sono disponibili in http://www.isg.rhul.ac.uk/tls/RC4mustdie.html e https://www.rc4nomore.com/

Per la parte relativa al cracking, consultare https://www.rastating.com/cracking-pptp-ms-chapv2-with-chapcrack-cloudcracker/ e https://samsclass.info /124/proj14/p10-pptp.htm .

34
Nasrus

Nonostante le recenti scoperte di difetti dell'handshake del protocollo MSCHAPv2, ci sono ancora casi d'uso in cui l'uso di una VPN PPtP può essere considerato "praticamente sicuro" (cioè se non sei paranoico e ti nascondi dalla CIA, che ha grandi risorse di calcolo a mano).

Ad esempio, il mio uso preferito di VPN è quando mi connetto a hotspot WiFi pubblici quando viaggio. Su un tale hotspot, probabilmente non sei connesso più di qualche minuto/ora, mentre craccare la sessione richiede circa un giorno anche usando i servizi cloud. E costa qualche soldo per rompere la sessione. Non riesco a immaginare nessun cracker sano che investirebbe i soldi per rompere la tua sessione wireless invece di rubare qualsiasi altra sessione non protetta dall'hotspot. Questo è il "praticamente sicuro" per me.

PPtP VPN condivide l'autenticazione MSCHAPv2 con WPA2 WiFi - è lo stesso protocollo di autenticazione. Ma nel caso di VPN via cavo, è almeno un po 'più sicuro: su WiFi, chiunque può emettere un comando per disconnettere un client, costringendolo quindi a fare la stretta di mano quando l'attaccante è pronto a catturarlo. Quando ti connetti a VPN tramite cavo, l'aggressore deve attendere l'handshake (se non riesce a staccare il cavo, ovviamente).

Ma come detto molte volte, usare PPtP per VPN aziendale sarebbe una pessima idea. Dal punto di vista teorico, è davvero rotto.

1
Martin Pecka