Citiraj:
Autor beroland
To bi u biti značilo (ukoliko ja dobro razumijem) da meni username i password s klijenta do servera inicijalno putuje bez enkripcije
|
Ne, to znači da enkripcija podataka odnosno enkriptirani podatkovni "tunel" kod IPSECA počinje već prije ostvarivanja PPP konekcije odnosno autentifikacije, a da kod PPTP počinje nakon PPP konekcije odnosno autentifikacije. I to zbog toga što se kod L2TP/IPSEC VPN-a prvo autentificira stroj. Za L2TP/IPSEC VPN to znači da se sama autentifikacija odvija u već uspostavljenom VPN tunelu. Za PPTP, to ne znači da ti password putuje mrežom u nekriptiranom obliku i da je autentifikacija nekriptirana, osim ako ne koristiš PAP, odnosno:
"PAP is a simple, clear-text authentication scheme. The NAS requests the user name and password, and PAP returns them in clear text (unencrypted)."
PPTP VPN po defaultu koristi MSCHAP, što prema MS znači (za MSCHAP v.2):
"MS-CHAP v2 is an updated encrypted authentication mechanism that provides stronger security for the exchange of user name and password credentials and determination of encryption keys. With MS-CHAP v2, the NAS sends a challenge to the access client that consists of a session identifier and an arbitrary challenge string. The remote access client sends a response that contains the user name, an arbitrary peer challenge string, an encrypted form of the received challenge string, the peer challenge string, the session identifier, and the user’s password.
The NAS checks the response from the client and sends back a response containing an indication of the success or failure of the connection attempt and an authenticated response based on the sent challenge string, the peer challenge string, the encrypted response of the client, and the user’s password.
The remote access client verifies the authentication response and, if correct, uses the connection. If the authentication response is not correct, the remote access client terminates the connection."
Dakle, kod MSCHAP-a inicijalno klijent šalje samo zahtjev serveru, a on mu natrag šalje "izazov" (challenge) sa session id i challenge string, pa se tek onda oni "rukuju" itd...
Izvor:
Deploying Virtual Private Networks with Microsoft Windows Server 2003 / Joe Davies, Elliot Lewis. MSPress.
Naravno da PPTP ima svoje sigurnosne rupe, i što se tiče MSCHAP-a i što se tiče same MPPE enkripcije podataka. Ali, koja tehnologija nema? MS je u više navrata i krpao te rupe. No opet, za pojedinačni pristup se rijetko koristi L2TP/IPSec.
Al' sam se raspisao...
