web-dev-qa-db-ja.com

MS-CHAP v2の代わりに何を使用すればよいですか?

VPNを保護するために使用されるMS-CHAPv2を非常に簡単に破ることができる新しいツールとサービスがあります。良い MS-CHAPに対するアタッチの概要はArs Technicaにあります 。現在、Windows 2003 R2SP2でVPNサービスを実行している方法は次のとおりです。

enter image description here

EAPを使用する必要がありますか、それともできますか? VPNを使用する私のクライアントマシンは、Windows-XP(オフにできる少数のマシン)、Windows 7、およびiPadです。 RADIUSルーターやwifi、またはWindowsVPNサービスに依存するその他のものはありません。私のマシンのEAPメソッドは次のとおりです。

enter image description here

4
Knox

実際に壊すのは簡単ではなく、中間者攻撃で作業する必要があります。私がエクスプロイトを正しく読んだ場合、ラボの外で行うことはほぼ不可能です。十分な時間とエネルギーがあれば、ほとんど何でも壊れます。私がお勧めすることの1つは、Server 2003から移行することです(2012年です...そしてServer 2012が間もなく登場します)...そして少なくとも2008R2サーバーに組み込まれているSSTPVPNを見るか、directconnectを解決。他の人は、Cisco ASA5510やanyconnectなどの専用デバイスのようなものを使用しているでしょう。貴重なデータを保護する場合は、RSAセキュアIDフォブなどのマルチ認証システムも必要になります...適切な条件が与えられていても、ほとんどすべてのソリューションがハッキング可能であることを知ってください-あなたがしようとしていることmakeは人間的に可能な限り難しいものです。

2
James

PEAPはSSLによる認証を保護します。証明書が検証された場合、それは強力でなければなりません。 http://en.wikipedia.org/wiki/Protected_Extensible_Authentication_Protocol

1
mmv-ru