web-dev-qa-db-fra.com

Existe-t-il des vulnérabilités connues dans les VPN PPTP lorsqu'ils sont correctement configurés?

PPTP est le seul protocole VPN pris en charge par certains appareils (par exemple, le routeur WiFi Asus RT-AC66U). Si PPTP est configuré pour utiliser uniquement les options les plus sécurisées, son utilisation présente-t-elle des vulnérabilités de sécurité?

La configuration la plus sécurisée de PPTP consiste à utiliser exclusivement:

  • Cryptage MPPE-128 (qui utilise le cryptage RC4 avec une clé 128 bits)
  • Authentification MS-CHAPv2 (qui utilise SHA-1)
  • mots de passe forts (minimum 128 bits d'entropie)

Je me rends compte que RC4 et SHA-1 ont des faiblesses, mais je suis intéressé par l'impact pratique. Existe-t-il des attaques ou des exploits connus qui réussiraient contre un PPTP VPN avec la configuration ci-dessus?

30
user34241

Oui. Le protocole lui-même n'est plus sécurisé, car le craquage de l'authentification MS-CHAPv2 initiale peut être réduit à la difficulté de craquer une seule DES clé de 56 bits, qui avec les ordinateurs actuels peut être forcée brutalement dans un très temps court (ce qui rend un mot de passe fort en grande partie sans rapport avec la sécurité de PPTP car tout l'espace de clé de 56 bits peut être recherché dans des contraintes de temps pratiques).

L'attaquant peut effectuer un MITM pour capturer la poignée de main (et tout trafic PPTP après cela), faire une fissure hors ligne de la poignée de main et dériver la clé RC4. Ensuite, l'attaquant pourra décrypter et analyser le trafic transporté dans le PPTP VPN. PPTP ne fournit pas de secret de transfert, il suffit donc de casser une session PPTP pour casser toutes les sessions PPTP précédentes en utilisant les mêmes informations d'identification.

De plus, PPTP fournit une faible protection à l'intégrité des données tunnelisées. Le chiffrement RC4, tout en fournissant le chiffrement, ne vérifie pas l'intégrité des données car il ne s'agit pas d'un chiffrement de chiffrement authentifié avec données associées (AEAD). PPTP ne fait pas non plus de vérifications d'intégrité supplémentaires sur son trafic (comme HMAC), et est donc vulnérable aux attaques par retournement de bits, c.-à-d. l'attaquant peut modifier PPTP paquets avec peu de possibilité de détection. Diverses attaques découvertes sur le chiffrement RC4 (telles que l'attaque de Royal Holloway) font du RC4 un mauvais choix pour sécuriser de grandes quantités de données transmises, et les VPN sont un candidat de choix pour de telles attaques car, par nature, ils transmettent généralement de grandes quantités de données sensibles.

Si vous le souhaitez, vous pouvez essayer de craquer vous-même une session PPTP. Pour un utilisateur Wi-Fi, cela implique d'empoisonner ARP votre cible de telle sorte que la cible envoie la négociation MSCHAPv2 à travers vous (que vous pouvez capturer avec Wireshark ou tout autre outil de capture de paquets). Vous pouvez ensuite casser la poignée de main avec des outils comme Chap2Asleap, ou si vous avez quelques centaines de dollars à dépenser, soumettez la poignée de main capturée aux services de craquage en ligne. Le nom d'utilisateur, le hachage, le mot de passe et les clés de chiffrement récupérés peuvent ensuite être utilisés pour usurper l'identité des connexions au VPN en tant qu'utilisateur, ou pour déchiffrer rétroactivement le trafic de la cible. Évidemment, veuillez ne pas le faire sans autorisation appropriée et en dehors d'un environnement contrôlé .

En bref, veuillez éviter d'utiliser PPTP dans la mesure du possible.

Pour plus d'informations, voir http://www.computerworld.com/s/article/9229757/Tools_released_at_Defcon_can_crack_widely_used_PPTP_encryption_in_under_a_day et Comment savoir si un tunnel PPTP est sécurisé ? .

Les problèmes découverts avec RC4 (entraînant des problèmes de sécurité réels dans des protocoles comme TLS) peuvent être trouvés dans http://www.isg.rhul.ac.uk/tls/RC4mustdie.html et https://www.rc4nomore.com/

Pour la partie fissuration, reportez-vous à https://www.rastating.com/cracking-pptp-ms-chapv2-with-chapcrack-cloudcracker/ et https://samsclass.info /124/proj14/p10-pptp.htm .

34
Nasrus

Malgré les récentes découvertes de défauts de la négociation du protocole MSCHAPv2, il existe toujours des cas d'utilisation dans lesquels l'utilisation d'un VPN PPtP peut être considérée comme "pratiquement sécurisée" (c'est-à-dire si vous n'êtes pas paranoïaque et que vous vous cachez de la CIA, qui dispose de grandes ressources de calcul). à portée de main).

Par exemple, mon utilisation préférée du VPN est lorsque je me connecte à des points d'accès Wi-Fi publics lorsque je voyage. Sur un tel hotspot, vous n'êtes probablement pas connecté plus de quelques minutes/heures, alors que le cracking de la session prend environ une journée même en utilisant les services cloud. Et cela coûte de l'argent pour casser la session. Je ne peux pas imaginer un cracker sain d'esprit qui investirait l'argent pour casser votre session sans fil au lieu de voler toute autre session non protégée du hotspot. C'est le "pratiquement sûr" pour moi.

PPtP VPN partage l'authentification MSCHAPv2 avec WPA2 WiFi - c'est le même protocole d'authentification. Mais dans le cas du VPN sur fil, c'est au moins un peu plus sûr: sur le WiFi, n'importe qui peut émettre une commande pour déconnecter un client, le forçant ainsi à faire la poignée de main lorsque l'attaquant est prêt à le capturer. Lorsque vous vous connectez au VPN via un câble, l'attaquant doit attendre la poignée de main (s'il ne peut pas débrancher votre câble, bien sûr).

Mais comme nous l'avons dit à plusieurs reprises, l'utilisation de PPtP pour le VPN d'entreprise serait une très mauvaise idée. Du point de vue théorique, c'est vraiment cassé.

1
Martin Pecka