2012.10.15 Monday
VPNプロトコル_PPTP注意 (2012/10/15時点)
MSのVPNプロトコルPPTP認証で利用していた「MS-CHAP v2」が破られクラック用のツールが出回りだしたようです。
ご注意下さい。
やっぱトンネル使うときはIPSec一択か、、Linux側の実装が面倒
接続元を限定する等、運用で逃げることも出来そうですが、盗聴はされる危険があります。
・slashdot:VPNなどで使われる認証プロトコル「MS-CHAPv2」、クラックされる...ソース
・JPCERT..MS-CHAP v2 の認証情報漏えいの問題に関する注意喚起
・Divide and Conquer: Cracking MS-CHAPv2 with a 100% success rate..解析方法
・ラック:MS-CHAPv2プロトコルの破綻

やっぱトンネル使うときはIPSec一択か、、Linux側の実装が面倒
接続元を限定する等、運用で逃げることも出来そうですが、盗聴はされる危険があります。
・slashdot:VPNなどで使われる認証プロトコル「MS-CHAPv2」、クラックされる...ソース
・JPCERT..MS-CHAP v2 の認証情報漏えいの問題に関する注意喚起
・Divide and Conquer: Cracking MS-CHAPv2 with a 100% success rate..解析方法
・ラック:MS-CHAPv2プロトコルの破綻
もちろん、iPhoneやAndroidやノートPC等からPPTP経由で接続している情報は取れる事になります。
トンネル中の情報ってお宝がいっぱいでしょうな〜
トンネル中の情報ってお宝がいっぱいでしょうな〜