Безопасность сетей, объединенных Microsoft VPN, может быть нарушена
03.08.2007 [Источник]Достаточно взглянуть на выводы команды исследователей, чтобы сразу заинтересоваться этим вопросом - а так ли безопасны сети, объединенные с помощью VPN от Microsoft? А вот, собственно, некоторые выводы исследователей:
- - Реализация РРТР от Microsoft уязвима с точки зрения реализации, и обладает серьезными недостатками с точки зрения протокола. Протокол аутентификации имеет известные уязвимости, на которые указывалось не только здесь, но и в группах, например, L0pht. Шифрование выполнено неверно, в данной реализации используется поточный шифр с обратной связью по выходу, хотя более уместен был бы блоковый шифр "шифр-блок-цепочка" (CBC). Чтобы связать слабую аутентификацию с плохим шифрованием Microsoft задал ключ шифрования как функцию от пароля пользователя вместо использования сильного алгоритма обмена ключами типа Диффи-Хеллмана или ЕКЕ. Наконец, канал управления не аутентифицируется и не сильно защищен;
- - Наконец, хочется подчеркнуть, что криптоанализ не подвергал сомнению протокол РРТР (?), но лишь реализацию протокола от Microsoft. Хотя Microsoft использует свои собственные расширения (MS-CHAP, МРРЕ, МРРС) в РРР секции РРТР, стандарт РРТР не требует этого. Производители могут включить расширения Microsoft в свои продукты по соображениям совместимости, но они не обязаны ограничиватьс их использованием и, наверное, реализуют более безопасные решения. Конечно, новые расширения для корректной работы должны поддерживаться как клиентом, так и сервером.
Думаю, вам уже нетерпиться хотя бы бегло ознакомиться с самой статьей? Вот и адрес: http://bozza.ru/?c=238&p=content
[<<< Следующая новость] [Все новости] [Предыдущая новость >>>]