A VPN do Windows é segura?


15

Eu usei algumas soluções VPN ao longo dos anos. A maioria é difícil de configurar, lenta para se conectar e / ou mal comportada (substituindo os drivers do sistema, interrompendo-se etc.).

Uma solução que eu nunca usei anteriormente é a incorporada ao Windows. Isso ocorre principalmente porque os funcionários da infraestrutura sempre se recusam a usá-lo porque alegam que "não é seguro".

Agora finalmente tive a chance de usá-lo (no Windows 7), e uau, é muito fácil! Fácil de configurar, comportado, ele se conecta quase instantaneamente, se autentica automaticamente com minhas credenciais de logon e se integra perfeitamente à interface do usuário. Devo dizer que, a menos que não seja realmente seguro, ficarei feliz se nunca mais precisar usar outro produto VPN.

Eu recolho a VPN do Windows usada para confiar no PPTP, que não é considerado seguro. Mas no Windows 7/2008, ele suporta L2TP / IPSec, SSTP e IKEv2 e autentica com EAP ou CHAP / CHAPv2. Isso me parece bastante atualizado.

Mas sou apenas um desenvolvedor humilde. Alguém com conhecimento pode me dar uma explicação sobre isso?

Respostas:


17

Como todas as coisas de segurança, isso depende de como você a configura.

Pode ser configurado para ser muito seguro. Em um ponto no tempo (cerca de Win98), houve problemas. Desde então, a MS a corrigiu (por volta de 1999). Há uma análise criptográfica disponível aqui ; Em resumo, as senhas dos usuários são o link mais fraco (como deveria ser).

Alguns dos problemas de senha do usuário podem ser atenuados usando certificados de autenticação de cliente. Se você já possui uma boa infraestrutura de PKI, provavelmente já emite automaticamente certificados de cliente (computadores). O PPTP pode usá-los para provar que o computador deve ter permissão para experimentar um par de nome de usuário e senha. Porém, os certificados não são necessários e o PPTP ainda será tão seguro quanto suas senhas.

A Microsoft fornece artigos sobre como configurar o PPTP (incluindo EAP / TLS) e o L2TP (o L2TP exige Certs / PKI) . Ambos são para o Win2003, mas são suficientes para ter uma idéia do que é necessário; e existem documentos para 2008. Como observado nos comentários, qualquer variação do PAP e do CHAP é insegura (porque pode ser brutalmente forçada com recursos triviais).

Se sua equipe de TI está lhe dizendo que o PPTP é inseguro, eles não acompanham os problemas (desde <1999) ou estão usando "inseguro" como cop-out por algum outro motivo.


1
MSCHAPv2 está quebrado; pode ser brutal forçado em horas. Você precisa fazer o EAP-TLS para autenticação aqui. E depois tem o RC4 ...
Michael Hampton

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.