Безопасен ли Windows VPN?

Я использовал несколько решений VPN на протяжении многих лет. Большинство из них сложно настроить, они медленны в подключении и / или, скорее, плохо себя ведут (замена системных драйверов, нарушение работы друг друга и т. Д.).

Одним из решений, которое я никогда не использовал ранее, является решение, встроенное в Windows. Это в основном потому, что ребята из инфраструктуры всегда отказываются его использовать, потому что утверждают, что это «небезопасно».

Теперь у меня наконец-то появилась возможность использовать его (на Windows 7), и это просто бриз! Легко настраиваемый, удобный, он подключается практически мгновенно, автоматически аутентифицируется с моими учетными данными и отлично интегрируется с пользовательским интерфейсом. Я должен сказать, что если это действительно не безопасно, я буду рад, если мне больше никогда не придется использовать другой продукт VPN.

Я понимаю, что Windows VPN раньше использовала PPTP, который не считается безопасным. Но в Windows 7/2008 он поддерживает L2TP / IPSec, SSTP и IKEv2 и аутентифицируется с помощью EAP или CHAP / CHAPv2. Это кажется довольно современным для меня.

Но я просто скромный разработчик. Может кто-нибудь в курсе дать мне понять это?

Как и все в безопасности, это зависит от того, как вы его настроите.

Это может быть настроено, чтобы быть очень безопасным. В какой-то момент времени (около Win98) у него были проблемы. С тех пор М.С. исправил это (около 1999 г.). Там в криптоанализа этого доступного здесь ; В итоге, пароли пользователей являются самым слабым звеном (как и должно быть).

Некоторые проблемы с паролями пользователей можно устранить с помощью сертификатов аутентификации клиента. Если у вас уже есть хорошая инфраструктура PKI, вы, вероятно, уже автоматически выпускаете сертификаты клиентов (компьютеров). PPTP может использовать их, чтобы доказать, что компьютеру следует разрешить использовать пару имени пользователя и пароля. Однако сертификаты не требуются, и PPTP будет по-прежнему безопасен, как ваши пароли.

MS предоставляет статьи о том, как настроить PPTP (включая EAP / TLS), а также L2TP (L2TP требует Certs / PKI) . Оба они предназначены для Win2003, но их достаточно, чтобы понять, что требуется; и есть документы на 2008 год. Как отмечается в комментариях, любые вариации PAP и CHAP небезопасны (потому что их можно грубо форсировать с помощью тривиальных ресурсов).

Если ваши ИТ-специалисты говорят вам, что PPTP небезопасен, они либо не поспевают за проблемами (с <1999 года), либо используют «небезопасный» в качестве укрытия по какой-то другой причине.

Между тем, ответ Криса устарел. PPTP небезопасен, как доказал Мокси Марлинспайк . Поэтому следует использовать только L2TP / IPSec, IPSec с IKEv2 или OpenVPN.