为什么说 PPTP VPN 不安全?

2014-06-09 21:51:40 +08:00
 a2z
之前很多人问我,为什么不推荐PPTP vpn,方便快捷,128位加密也还凑合。

请自己看吧。
https://www.cloudcracker.com/blog/
http://www.networksorcery.com/enp/protocol/mppe.htm
http://www.networksorcery.com/enp/rfc/rfc3079.txt

大概如下,认证过程为mschapv2,总key 长度为 2^56 x2 = 57bits,FPGA之类的专用硬件大概23小时内搞定,天朝超级计算机在世界前几名的可是有不少。

MPPE的128位session key是基于mschapv2的hash生成的,套了几次md4和sha1而已,如果获得了初始认证的key,如果对整个pptp vpn抓包了的话,可以推出后续的session key从而解密整个pptp vpn流量。

所以说PPTP vpn缺乏forward secrecy,一旦key被破解就可以解密全部之前的流量,但是ipsec的ike握手用的是diffie hellman key exchange,每次随机产生的session key可以提高forward secrecy。
63721 次点击
所在节点    问与答
29 条回复
Tinet
2014-06-10 12:48:25 +08:00
你和CNCERT是什么关系,不怕被送快递么
Leafove
2014-06-10 13:02:57 +08:00
记录1,2个月的数据...
我只想知道理论上要绝对规避大家都使用PPTP后造成储存饱和的情况需要采购多少设备
billlee
2014-06-10 13:32:39 +08:00
PPTP 除了加密算法上的漏洞,协议本身的安全性也有很多问题,通过破解加密算法攻击是下下策。PPTP 的安全性完全依赖于上面跑的 PPP, 而 PPP 是设计来做点对点连接的,用到 Internet 上很不合适。

首先 PPP 没有对完整性的保护,链路上的分组可以被篡改和重放。没有完整性保护的加密是没有意义的。比如,攻击者可以窃听,然后修改 IP payload 上的 destination 后重放(这也是早期针对 WEP 的攻击方法之一)。

另外 PPP 的控制消息也没有任何保护,对于配置不当(或者实现不当)的 PPTP, 可以通过伪造 ECP 包,把 ms-chap, mppe 降级成 pap, 无加密。

这些问题在 RFC3193 - Securing L2TP using IPsec 里都提到了。另外 Windows 下 L2TP/IPSec 实现也不完全安全,它没有可以把 IPSec 指定为 required 的选项,通过干扰 IKE, 可以把 L2TP/IPSec 降级成没有 IPSec 保护的 L2TP.
a2z
2014-06-11 09:18:09 +08:00
@Leafove

你觉得"重视网络安全"后还会缺这点钱么,gfw盖到现在你知道一共花了几百亿么?
这点钱从每年比军费还高的维稳费里出,根本不算什么,实在没钱了打只老虎就有了。
marklrh
2014-06-11 11:21:42 +08:00
Cisco IPSec还应该是挺安全的
scola
2014-06-11 11:38:37 +08:00
“这点钱从每年比军费还高的维稳费里出,根本不算什么,实在没钱了打只老虎就有了。” 亮了
kavinyao
2014-06-11 13:32:48 +08:00
我朝的超计算机这么厉害,却用在阻止社会进步上,想想真是心寒啊。
gissimo
2014-11-09 12:34:01 +08:00
请教lz,静态秘钥的openvpn ikev1,ikev2,SSTP安全性哪个好?现在似乎openvpn用静态,和ikev速度都很快,没被干扰
hyrz
2018-10-27 16:25:43 +08:00
术业有专攻吧,直接走的国外付费 V PN,省心

topvpn.github.io

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/116609

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX