web-dev-qa-db-fra.com

PPTP est-il un protocole VPN sécurisé?

Je vais configurer un VPN sur mon serveur domestique et, dans les tutoriels que j'ai lus, il est indiqué que le protocole ne peut être utilisé qu'avec des mots de passe, pas des fichiers de clés. Pour moi, cela ne semble pas très sécurisé, donc je me demandais s’il était possible de tunneler PPTP sur SSH ou quelque chose comme ça. Fondamentalement, comment créez-vous une connexion sécurisée PPTP? Pouvez-vous obtenir une fonctionnalité de type VPN juste via SSH et l'utiliser au lieu de PPTP?

3
Niklas

3 questions = 3 réponses ....

1) PPTP est-il un protocole VPN sécurisé? - La réponse courte est non. PPTP a fait l'objet de nombreuses analyses de sécurité et de graves failles de sécurité ont été découvertes dans le protocole. Les vulnérabilités connues concernent les protocoles d’authentification PPP sous-jacents utilisés, la conception du protocole MPPE ainsi que l’intégration entre MPPE et l’authentification PPP pour l’établissement de la clé de session. Plus d'infos sur PPTP ici

2) Pouvez-vous obtenir une fonctionnalité de type VPN avec SSH? - La réponse courte est oui: Utilisez édition communautaire OpenVPN . La documentation de la communauté OpenVPN est ici , et il utilise SSL. Prenez votre temps pour vous assurer que vous comprenez comment le serveur est configuré ( configuration détaillée ici ) et également ce que vous faites sur vos machines clientes ( configuration détaillée ici =).

3) Enfin, les mots de passe sont-ils sécurisés? Cela dépend de leur longueur, mais la réponse longue est écrite ci-dessous. Ce qui, à mon avis, est plus important est de savoir si le mot de passe a été envoyé en texte clair, ce qui, dans certaines mises en œuvre, constitue - en réalité - une catastrophe. Il existe une explication complexe sur ce blog , mais à ma connaissance, la fréquence des attaques ne peut pas être supérieure à la durée du ping, car une fréquence de paquets supérieure à cette valeur est simplement abandonnée par la carte Ethernet sans aucun traitement. Alors, quand je "ping" moi-même, j'ai la limite:

Me@MyPC:~$ ping localhost
PING localhost.localdomain (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost.localdomain (127.0.0.1): icmp_req=1 ttl=64 time=0.149 ms
64 bytes from localhost.localdomain (127.0.0.1): icmp_req=2 ttl=64 time=0.110 ms
64 bytes from localhost.localdomain (127.0.0.1): icmp_req=3 ttl=64 time=0.113 ms
64 bytes from localhost.localdomain (127.0.0.1): icmp_req=4 ttl=64 time=0.142 ms
^C
--- localhost.localdomain ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 2997ms
rtt min/avg/max/mdev = 0.110/0.128/0.149/0.020 ms

Avec 0,128 ms en moyenne, égal à 0,000128 s par réponse, le nombre d'attaques possibles par seconde:

1 seconde/0,000128 seconde par ping correspond à 7812,5 essais par seconde.

Mots du dictionnaire Si vous utilisez un mot d'un dictionnaire, votre mot de passe peut prendre la forme maximale de l'un des 200 000 mots de tous les dictionnaires du monde. Cela signifie qu'essayer 200 000 mots prendra:

200 000/7812,5 = 25,6 secondes.

Si vous utilisez deux mots consécutifs, les combinaisons possibles sont 200 000 ^ 2, ce qui permet de le déchiffrer avec garantie dans les limites suivantes:

200 000 ^ 2/7812,5 = 40000000000/7812.5 = 5120000 secondes.

Cela équivaut à: 59,259 heures d’attaque continue, où je suis sûr que votre routeur avait l’air occupé.

Pour respectivement trois, quatre et cinq, le mot de passe Word augmente comme suit, en supposant 31536000 secondes par an:

200 000 ^ 1/7812,5 = 25,6 secondes

200 000 ^ 2/7812,5 = 5120000 secondes

200 000 ^ 3/7812,5 = 1,024 * 10 ^ 12 secondes = 32 470 ans

200 000 ^ 4/7812,5 = 2,048 * 10 ^ 17 secondes = 6 494 165 398 ans

200 000 ^ 5/7812,5 = 4,096 * 10 ^ 22 secondes = 1 298 833 079 654 997,5 années

Il convient de noter que l'âge de l'univers est évalué à 13,75 milliards d'années = 4 336 * 10 ^ 17 secondes. La réponse technique aux tentatives de piratage brutal d'un mot de passe de trois mots est donc "impossible" :-)

3
root-11