none
Jak nakonfigurovat PPTP VPN bezpečně?

Odpovědi

  • tak několik uprsesneni:

    a) PPTP je nebezpecny pouze z jednoho duvodu (pokud se pouzije MS-CHAPv2 overovani) - ten tunel se sifruje vasim prihlasovacim heslem (pro rypaly, samozrejme ne primo heslem, ale necim, co je z hesla primo odvozeno). To znamena, ze pokud to nekdo odchytne, tak si muze doma offline zkouset krekovat vase heslo, coz v pripade delky hesla mensi nez 10znaku je veeeelmi jednoduche a rychle pri soucasne urovni vypocetni techniky. Tzn. pokud mate silna hesla, neni ceho se obavat. Pokud ne, tak L2TP, Ipsec i SSTP jsou lepsi alternativy, protoze sifrovani tunelu se provadi nahodnymi klici a ustavuje se drive, nez tim zasifrovanym tunelem fici vase heslo. Takze i slabsi heslo je chrane dostatecne

    b) I pro PPTP je mozne se overovat certifikatem, ktery likviduje problem slabych hesel. Certifikat muze byt ulozen jak v pocitaci, tak i v cipove karte. Dulezite je, ze staci, aby byl ulozen v pocitaci, takze neni potreba rovnou vybavovat lidi cipovymi kartami

    c) PPTP pouziva bohuzel svuj vlastni IP protokol, takze to bude mit problemy s pruchodem pres nejruznejsi levnejsi sitove prvky a routery.

    d) opravdu chcete a potrebujete rovnou VPN? Pres to vam stejne sdilene soubory, SQL a jine MS komunikace pojedou pekelne spatne. Neni jednodussi vyrobit nejaky terminal server, nebo nechat lidem pristup na jejich vlastni stanice ve firme pres RDP? K tomu muzete pouzit TS/RD Gateway, coz je HTTPS tunel pro vzdalenou plochu. Klienti existuji pro mnoho platforem (mnohdy placene) a ma to dokonaly vykon na RTT/PLR sitich jako jsou ADSLka apod., pres ktere vam VPNka pojede spatne. Dale je to principialne bezpecnejsi nez VPN, protoze neotevirate sitovy pristup, ale prenasite jen obrazky a klikani mysi (pokud vypnete prenos souboru).

    e) do RDP/TS se muzete prihlasovat heslem, cele to je ale v TLS/SSL tunelu, ktery je mozne overovat navic i certifikatem, takze to je proste uplne idealni metoda.

    ondra.

    Čtyřdenní konference http://www.teched.cz, nejlepší dovolená pro ajťáky!

    10. března 2012 9:24
  • Ahoj,

    nastav tam ověřování normálně na jméno a heslo. Ta "díra" je spíše teoretická - takže bych se o bezpečnost nebál (nejsem si jistý, jestli to náhodou není již odstraněné v novější verzi, ale tuším, že kdosi uváděl, že je to už podle návrhu teoreticky napadnutelné).

    Všechno ověřování nastavuješ v NPS serveru..

    Jinak pokud chceš něco "lepšího" tak si implementuj SSTP - s tím si ale zase neporadí XP. L2TP je ještě lepší, ale už tam začínáš řešit ty certifikáty, čemuž se ty chceš vyhnout (pokud bys nechtěl PSK...).


    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional |Connected Home Integrator |Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Technology Specialist:
    Windows 7, Configuration |Microsoft Windows Vista, Configuration
    Pre-Installing Windows 7 for OEMs |Windows 7 and Office 2010, Deployment |Windows Vista and Server Operating Systems, Preinstallation
    Windows Server 2008 AD, Conf |Windows Server 2008 Network Infrastructure, Conf |Windows Server 2008 Apps Infrastructure, Conf
    Windows Server 2008 R2, Server Virtualization |Windows Server Virtualization, Configuration |Microsoft Lync Server 2010, Configuring
    Windows SBS 2011, Configuring |Windows EBS 2008, Configuration |Windows SBS 2008, Configuration
    Windows HPC Server 2008, Development |Windows Internals |MDOP, Configuration |SharePoint 2010, Configuration
    Microsoft SCOM, Configuration |Microsoft SCDPM 2007, Configuration |Microsoft SCVMM 2008, Configuration

    6. března 2012 18:17
  • ipsec je podporovane ve VSECH rozumnych verzich windows. Najdes v secpol.msc a je to fakt jednoduche.

    MP

    7. března 2012 18:20
    Moderátor
  • Neni to tak.

    VPN typu L2TP je v podstate VPN zalozena na IPSEC - po autentikaci jsou VPN packety mezi endpointy sifrovany IPSEC protokolem. Nikoliv naopak.

    MP



    8. března 2012 13:15
    Moderátor
  • no ja naopak z vlastni zkusenosti vim, ze neproleze :-) ono to teda vetsinou proleze, ale na tech nonamech jenom jeden klient z jedne ip adresy, protoze oni to neumi spravne natovat. takze pokud jste dva lidi v jedne siti (kfc apod.) tak se do firmy pripoji jenom ten prvni.

    o.

    10. března 2012 13:08
  • no to zřejmě znělo jenom trošku nepřesně. MSCHAPv2 je to nejlepší, co můžete mít s PPTP a přihlašování heslem. potom to už stojí jenom na kvalitě hesla.

    a pořád si myslím, že domácí lidi mají chodit na terminal :-)

    o.

    12. března 2012 11:16
  • to bych neřekl, RDP je stejně bezpečné s heslem jako SSTP s heslem. Je tudíž lepší, než PPTP samotné. Pokud použijete TS/RDP Gateway s klientským certifikátem, budete to mít stejně bezpečné jako L2TP. Pokud se použije TS/RDP Gateway s čipovou kartou, máte dokonce multifaktorovou autentizaci.

    RDP nemá žádne bezpečnostní nedostatky ve srovnání s nějakými VPN tunely. Má lepší výkon než ty VPN tunely a je to mnohem pohodlnější. V tomhle jsem nekompromisní :-)

    o.

    12. března 2012 16:13
  • Dlouhou dobu jsem používal PPTP v rámci Windows Serveru, nicméně z vlastní zkušenosti doporučuji, přejít na jiný protokol, který je v současné době Microsoftem plně podporovaný, což jsou v podstatě všechny. Pokud nechceš využít možnosti schovat svůj login za certifikát, který v tunelu komunikaci šifruje vůči odposlouchávání zvolil bych L2TP protokol s dostatečně silným PreShared Key, 6-8 řádů, velké/malé písmena a nějaký znak. Já jsem byl kdysi takto nucen použít L2TP VPN tunel, pro TMG 2010, protože se mi nepodeřilo rozchodit SSTP, protože jsem neměl volnou veřejnou IP adresu (běžel mi v síťi Exchange) a pak už jsem se problémem nezabíval. L2TP je dostatečně výkonný a pokud tam dáš opravdu silný PSK, tak je i bezpečný, ovšem PSK je celkem nepohodlný, takže já osobně bych se naučil SSTP. Za ten konfort to stojí. Jirka Janata má na toto dobré screencasty, které fungují

    http://www.mstv.cz/


    11. března 2012 13:14

Všechny reakce

  • Ahoj,

    nastav tam ověřování normálně na jméno a heslo. Ta "díra" je spíše teoretická - takže bych se o bezpečnost nebál (nejsem si jistý, jestli to náhodou není již odstraněné v novější verzi, ale tuším, že kdosi uváděl, že je to už podle návrhu teoreticky napadnutelné).

    Všechno ověřování nastavuješ v NPS serveru..

    Jinak pokud chceš něco "lepšího" tak si implementuj SSTP - s tím si ale zase neporadí XP. L2TP je ještě lepší, ale už tam začínáš řešit ty certifikáty, čemuž se ty chceš vyhnout (pokud bys nechtěl PSK...).


    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional |Connected Home Integrator |Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Technology Specialist:
    Windows 7, Configuration |Microsoft Windows Vista, Configuration
    Pre-Installing Windows 7 for OEMs |Windows 7 and Office 2010, Deployment |Windows Vista and Server Operating Systems, Preinstallation
    Windows Server 2008 AD, Conf |Windows Server 2008 Network Infrastructure, Conf |Windows Server 2008 Apps Infrastructure, Conf
    Windows Server 2008 R2, Server Virtualization |Windows Server Virtualization, Configuration |Microsoft Lync Server 2010, Configuring
    Windows SBS 2011, Configuring |Windows EBS 2008, Configuration |Windows SBS 2008, Configuration
    Windows HPC Server 2008, Development |Windows Internals |MDOP, Configuration |SharePoint 2010, Configuration
    Microsoft SCOM, Configuration |Microsoft SCDPM 2007, Configuration |Microsoft SCVMM 2008, Configuration

    6. března 2012 18:17
  • Potřebuji něco, co funguje i pro linux. L2TP je na linuxu téměř nepoužitelné, SSTP už vůbec ne. Pro linux jsem chtěl aspoň dočasně to PPTP. Případně je možné nějakým způsobem nakonfigurovat na Windows serveru IPsec?

    To SSTP každopádně potom zkusím pro Windows. Je ale velká škoda, že Microsoft nemá klienta pro XP. Nebylo by v tomhle případě lepší použít NAP VPN? To by mělo fungovat i pod XP a snad se přes to dá použít GPO instalace softwaru per computer?

    7. března 2012 17:31
  • ipsec je podporovane ve VSECH rozumnych verzich windows. Najdes v secpol.msc a je to fakt jednoduche.

    MP

    7. března 2012 18:20
    Moderátor
  • Tak jsem si dohledal, že IPSEC je vlastně L2TP. Tak tudy nejspíš taky cesta nepovede, protože podpora L2TP na Linuxu není dobrá. Nebo je ještě jiný způsob, jak na Windows serveru nakonfigurovat použití IPSECu?
    8. března 2012 13:08
  • Neni to tak.

    VPN typu L2TP je v podstate VPN zalozena na IPSEC - po autentikaci jsou VPN packety mezi endpointy sifrovany IPSEC protokolem. Nikoliv naopak.

    MP



    8. března 2012 13:15
    Moderátor
  • tak několik uprsesneni:

    a) PPTP je nebezpecny pouze z jednoho duvodu (pokud se pouzije MS-CHAPv2 overovani) - ten tunel se sifruje vasim prihlasovacim heslem (pro rypaly, samozrejme ne primo heslem, ale necim, co je z hesla primo odvozeno). To znamena, ze pokud to nekdo odchytne, tak si muze doma offline zkouset krekovat vase heslo, coz v pripade delky hesla mensi nez 10znaku je veeeelmi jednoduche a rychle pri soucasne urovni vypocetni techniky. Tzn. pokud mate silna hesla, neni ceho se obavat. Pokud ne, tak L2TP, Ipsec i SSTP jsou lepsi alternativy, protoze sifrovani tunelu se provadi nahodnymi klici a ustavuje se drive, nez tim zasifrovanym tunelem fici vase heslo. Takze i slabsi heslo je chrane dostatecne

    b) I pro PPTP je mozne se overovat certifikatem, ktery likviduje problem slabych hesel. Certifikat muze byt ulozen jak v pocitaci, tak i v cipove karte. Dulezite je, ze staci, aby byl ulozen v pocitaci, takze neni potreba rovnou vybavovat lidi cipovymi kartami

    c) PPTP pouziva bohuzel svuj vlastni IP protokol, takze to bude mit problemy s pruchodem pres nejruznejsi levnejsi sitove prvky a routery.

    d) opravdu chcete a potrebujete rovnou VPN? Pres to vam stejne sdilene soubory, SQL a jine MS komunikace pojedou pekelne spatne. Neni jednodussi vyrobit nejaky terminal server, nebo nechat lidem pristup na jejich vlastni stanice ve firme pres RDP? K tomu muzete pouzit TS/RD Gateway, coz je HTTPS tunel pro vzdalenou plochu. Klienti existuji pro mnoho platforem (mnohdy placene) a ma to dokonaly vykon na RTT/PLR sitich jako jsou ADSLka apod., pres ktere vam VPNka pojede spatne. Dale je to principialne bezpecnejsi nez VPN, protoze neotevirate sitovy pristup, ale prenasite jen obrazky a klikani mysi (pokud vypnete prenos souboru).

    e) do RDP/TS se muzete prihlasovat heslem, cele to je ale v TLS/SSL tunelu, ktery je mozne overovat navic i certifikatem, takze to je proste uplne idealni metoda.

    ondra.

    Čtyřdenní konference http://www.teched.cz, nejlepší dovolená pro ajťáky!

    10. března 2012 9:24
  • Ono i L2TP pouziva extra IP protokol; z vlastni zkusenosti ale vim, ze PPTP (tedy GRE, coz je IP protokol c. 47) proleze bez problemu NATem i na noname sitovych prvcich. Proste je to tak stary protokol, ze je jeho podpora obecne slusna.

    MP

    10. března 2012 10:41
    Moderátor
  • no ja naopak z vlastni zkusenosti vim, ze neproleze :-) ono to teda vetsinou proleze, ale na tech nonamech jenom jeden klient z jedne ip adresy, protoze oni to neumi spravne natovat. takze pokud jste dva lidi v jedne siti (kfc apod.) tak se do firmy pripoji jenom ten prvni.

    o.

    10. března 2012 13:08
  • Ano, to mas pravdu, u tech nejlevnejsich zarizeni opravdu casto nefunguji soucasne 2 a vice GRE/PPTP klientu TEHOZ serveru. Oproti L2TP je to ale selanka. Jak uz jsem zminoval - SSL VPN je rozhodne nejlepsi, ale prislo prilis pozde :/

    MP

    10. března 2012 15:11
    Moderátor
  • Dlouhou dobu jsem používal PPTP v rámci Windows Serveru, nicméně z vlastní zkušenosti doporučuji, přejít na jiný protokol, který je v současné době Microsoftem plně podporovaný, což jsou v podstatě všechny. Pokud nechceš využít možnosti schovat svůj login za certifikát, který v tunelu komunikaci šifruje vůči odposlouchávání zvolil bych L2TP protokol s dostatečně silným PreShared Key, 6-8 řádů, velké/malé písmena a nějaký znak. Já jsem byl kdysi takto nucen použít L2TP VPN tunel, pro TMG 2010, protože se mi nepodeřilo rozchodit SSTP, protože jsem neměl volnou veřejnou IP adresu (běžel mi v síťi Exchange) a pak už jsem se problémem nezabíval. L2TP je dostatečně výkonný a pokud tam dáš opravdu silný PSK, tak je i bezpečný, ovšem PSK je celkem nepohodlný, takže já osobně bych se naučil SSTP. Za ten konfort to stojí. Jirka Janata má na toto dobré screencasty, které fungují

    http://www.mstv.cz/


    11. března 2012 13:14
  • Děkuji Vám všem za Vaše příspěvky.

    Všechny ty bezpečné protokoly mají ale svá omezení, které jsou u nás podstatné. PPTP jsem zvolil jako jediný možný rozumně použitený protokol pro naše linux klienty. Bohužel se ale v problematice zatím moc neorientuji, tak jsem se zeptal, jetli se dá nakonfigurovat bezpečněji. Ani zatím neznám všechny možnosti (tedy říkáte, pane Ševeček, že MSCHAPv2 není dobrá varianta - co by bylo lepší v rámci PPTP?). L2TP není pro nás vhodný. SSTP vypadá moc dobře, ale nemůžeme ho nasadit, dokud Windows XP do posledního exponátu nezmizí z domácích PC. Pro naše Windows klienty zatím zvažuji nasazení NAP VPN, to bude zase nejpíš složitější nasadit na domácí PC, které nejsou členem domény - a o ty jde především. Zatím tedy nevím, kterou cestou to půjde. Zatím jenom vím, kterou cestou to nepůjde - a už je jich hodně :(

    12. března 2012 10:20
  • a co OpenVPN? velice se v poslední době zlepšil a nasadíš ho skrze externího klienta (windows, linux) a instalace OpenVPN serveru může proběhnout i v rámci Windows Server, nebo pokud máš virtuální prostředí, můžeš OpenVPN zprovoznit v rámci firewallu, či routeru


    12. března 2012 10:39
  • no to zřejmě znělo jenom trošku nepřesně. MSCHAPv2 je to nejlepší, co můžete mít s PPTP a přihlašování heslem. potom to už stojí jenom na kvalitě hesla.

    a pořád si myslím, že domácí lidi mají chodit na terminal :-)

    o.

    12. března 2012 11:16
  • No já bych se termínálu vyhnul, nebo ho aspoň vypublikoval pro specifické zdrojové adresy, nikoli pro celý Internet. Pokud kolega použije kryptovaný VPN tunel, zvýší tím bezpečnost své sítě
    12. března 2012 13:24
  • to bych neřekl, RDP je stejně bezpečné s heslem jako SSTP s heslem. Je tudíž lepší, než PPTP samotné. Pokud použijete TS/RDP Gateway s klientským certifikátem, budete to mít stejně bezpečné jako L2TP. Pokud se použije TS/RDP Gateway s čipovou kartou, máte dokonce multifaktorovou autentizaci.

    RDP nemá žádne bezpečnostní nedostatky ve srovnání s nějakými VPN tunely. Má lepší výkon než ty VPN tunely a je to mnohem pohodlnější. V tomhle jsem nekompromisní :-)

    o.

    12. března 2012 16:13
  • to bych neřekl, RDP je stejně bezpečné s heslem jako SSTP s heslem. Je tudíž lepší, než PPTP samotné. Pokud použijete TS/RDP Gateway s klientským certifikátem, budete to mít stejně bezpečné jako L2TP. Pokud se použije TS/RDP Gateway s čipovou kartou, máte dokonce multifaktorovou autentizaci.

    RDP nemá žádne bezpečnostní nedostatky ve srovnání s nějakými VPN tunely. Má lepší výkon než ty VPN tunely a je to mnohem pohodlnější. V tomhle jsem nekompromisní :-)

    o.

    Máte pravdu, RD Gateway v kombinaci s Certifikátem pro Terminálový server bude stejně bezpečný

    Osobně nesouhlasím s tím, že bude bezpečnější než IPSecový tunel, ale přístup k aplikacím bude rozhodně rychlejší přímo ze serveru v síti, to máte také pravdu. Ona ta rychlost tunelu závisí na lince providera


    12. března 2012 16:18