Microsoft warnt vor PPTP und MS-CHAPv2

Die Sicherheit ist wichtiger Bestandteil beim Betrieb eines Home Servers, der mit dem Internet verbunden ist.
Antworten
JoachimL
WHS-Experte
Beiträge: 1228
Registriert: 21. Sep 2009, 22:48

Microsoft warnt vor PPTP und MS-CHAPv2

Beitrag von JoachimL »

die meisten werden es schon irgendwo gelesen haben, z.B. auf http://www.heise.de/security/meldung/Mi ... 71706.html, oder direkt unter http://technet.microsoft.com/de-de/secu ... ry/2743314. Und auch das ist nicht ganz neu, manche Experten wie Bruce Schneier warnen schon lange
Bruce Schneier hat geschrieben:Some things never change. Thirteen years ago, Mudge and I published a paper breaking Microsoft's PPTP protocol and the MS-CHAP authentication system. I haven't been paying attention, but I presume it's been fixed and improved over the years. Well, it's been broken again.
http://www.cso.com.au/article/432039/to ... under_day/
or http://tinyurl.com/c6l8sv7
My old paper:
http://www.schneier.com/paper-pptpv2.html
Was tun?

Microsoft empfiehlt auf L2TP/IPSEC oder SSTP, oder zumindest ein besseres Anmeldeverfahren umzusteigen. Ich hab meinen WHS und Client jetzt auf L2TP/IPSEC mit PSK umgestellt - Zertifikate waren mir für einen einzigen Client dann doch zuviel Aufwand. Im Router braucht es dazu die Weiterleitung von EPS (IP Protokoll 50) und UDP Ports 500 (IKE) und 4500 (NAT-T) (Details in http://technet.microsoft.com/en-us/libr ... 4(v=ws.10)). Auf Client und Server braucht es die Registrysetting aus http://support.microsoft.com/kb/926179, ich habe bei mir auf beiden Seiten AssumeUDPEncapsulationContextOnSendRule=2 eingestellt. Und dann muss auch auf beiden Seiten auf L2TP/IPSEC konfiguriert werden, die Dialoge sehen fast gleich aus, daher nur der von Windows 7:
l2tp.png
l2tp.png (79.62 KiB) 13491 mal betrachtet
Der Key muss auf beiden Seiten gleich sein, und sollte ordentlich Entropie haben. Noch lieber wäre mir Anmeldung mit EAP-MS.., aber das hat - warum auch immer - leider nicht funktioniert. Da das ganze aber m.W. innerhalb der IPSEC Kommunikation versteckt ist sollte es sicher genug sein.
Gruß Joachim
P.S. m.W. geht das nicht mit Windows Server 2003 also WHS v1.
WHS r.i.p. - Software die nicht mehr gewartet wird sollte man nicht mehr einsetzen.
Bei mir laufen drei Dell T20, inzwischen alle unter Hyper-V-2019. Darauf viele virtuelle Maschinen, darunter Windows 10 Pro, Ubuntu 18.04/20.04 LTS (teilweise mit Docker), und auch mal andere. Ein T20 läuft 7*24 und stellt u.a. Mailcow-Dockerized und einen Samba-Domain-Controller (ein 2. läuft auf einem NUC) bereit. Klingt vielleicht seltsam, aber so ist das System - alle - mit Bitlocker verschlüsselt und kann vollständig und konsistent gesichert werden - beides sonst unter Linux schwierig bis unmöglich. Zum Sichern dient das von mir entwickelte Lindenberg Software Backup.
Fragen bitte nicht per PN sondern im Forum - dann haben andere auch was davon. Ich poste hier in meiner Freizeit, Ungeduld ist meiner Meinung nach fehl am Platz...
beckham
Foren-Einsteiger
Beiträge: 27
Registriert: 7. Jan 2013, 18:45

Re: Microsoft warnt vor PPTP und MS-CHAPv2

Beitrag von beckham »

Hallo Joachim,

bin gerade auf deinen Beitrag gestossen und hätte da eine Frage.
Habe aktuell vor ein VPN auf meinem WHS2011 aufzubauen. Möchte mittels iPhone über VPN in mein Heimnetz.
Habe dazu diese Anleitung gefunden:
http://thedigitalmediazone.com/2012/03/ ... rver-2011/
Nun hab ich deinen Beitrag gelesen und würde natürlich direkt die "sichere VPN-Variante" wählen.
Was muss ich denn hierzu tun, nachdem ich das oben genannte Tutorial erledigt und somit mein VPN aufgebaut habe?
Kannst du mir hier weiterhelfen?

Danke & Viele Grüße
Christoph
beckham
Foren-Einsteiger
Beiträge: 27
Registriert: 7. Jan 2013, 18:45

Re: Microsoft warnt vor PPTP und MS-CHAPv2

Beitrag von beckham »

Hab es doch allein geschafft.
Trotzdem danke nochmal für den Artikel.
Antworten