Windows VPN是否安全?

多年来,我使用了一些VPN解决scheme。 大多数都很难build立起来,连接速度慢,甚至不适应(replace系统驱动程序,破坏对方等)。

我以前从未使用过的一种解决scheme是Windows中内置的解决scheme。 这主要是因为基础设施的人总是拒绝使用它,因为他们声称这是不安全的。

现在我终于有机会使用它(在Windows 7上),哇,这是一件轻而易举的事情! 易于设置,运行良好,几乎立即连接,自动authentication与我login的凭据,并与UI出色的集成。 我不得不说,除非它真的不安全,否则我会很高兴,如果我再也不用再使用另一个VPN产品。

我收集了用于依赖于PPTP的Windows VPN,这是不安全的。 但在Windows 7/2008中,它支持L2TP / IPSec,SSTP和IKEv2,并使用EAP或CHAP / CHAPv2进行身份validation。 这对我来说似乎是相当新的。

但我只是一个低调的开发者。 知道的人可以给我这个内幕吗?

像所有的安全一样,这取决于你如何configuration它。

它可以被设置为非常安全。 在一个时间点(大约Win98)它有问题。 自那时以来,MS已经修复了它(大约1999年)。 这里有一个密码分析 。 底线,用户密码是最薄弱的环节(因为它应该是)。

一些用户密码问题可以通过使用客户端authentication证书来缓解。 如果您已经有了一个很好的PKI基础设施,那么您可能已经自动颁发了客户端(计算机)证书。 PPTP可以使用这些来certificate计算机应该被允许尝试一个用户名和密码对。 不过,证书并不是必需的,PPTP仍然和你的密码一样安全。

MS提供有关如何设置PPTP(包括EAP / TLS)以及L2TP(L2TP确实需要Certs / PKI)的文章 。 这两个都是用于Win2003的,但是他们足够了解所需要的东西; 并且在2008年有文件。正如在评论中指出的那样,PAP和CHAP的任何变化都是不安全的(因为它们可能被powershell琐碎的资源所强制)。

如果你的IT告诉你PPTP是不安全的,他们或者没有跟上这个问题(自1999年以来),或者出于其他原因,他们使用“不安全”作为警务人员。

同时,克里斯的答案已经过时了。 如Moxie Marlinspike所证实,PPTP是不安全的。 因此,只能使用L2TP / IPSec,使用IKEv2或OpenVPN的IPSec。