几个月前,我们买了一个新的防火墙,一个Netgear UTM9S,我们启用的function之一是PPTP VPN,以便为远程用户访问SQL,Web和文件服务器。 但现在,在阅读Ars Technica关于MSCHAP V2被破坏的文章之后,我想知道是否应该担心这个问题,并closuresPPTP并启用其他VPN选项之一? SSL和IPSEC选项是可用的,阅读手册将需要移动到他们,再加上configuration每个用户机器,所以我们应该花时间在这个? 或者这只是FUD?
那么这不是FUD:MSCHAPv2在其devise上有一个合理的弱点,并且已经发布了一个工具,可以让攻击者利用这个弱点。 研究人员发表的实际文章有他们的build议更多的细节。
您自己的公司可能不会立即被teh hax0rz作为目标:必须有networking捕获需要提交进行分析的stream量,因此您的远程用户之一将在攻击者正在寻找的位置使用您的VPN MSCHAPv2stream量被利用。 由于涉及到多个步骤,因此您可能不会考虑对破坏行为感兴趣的人(即想要损坏咖啡店中每个人的Facebook页面的人)。 攻击者追逐VPNstream量的情况将更为罕见,但如果遇到这种情况,情况会更加严重。
关于切换到IPSEC,请注意关于IPSEC-PSK的文章中的警告:您应该使用证书或非常复杂的预共享密钥,因为IPSEC-PSK受字典攻击。