Microsoft warnt vor PPTP und MS-CHAPv2
Verfasst: 27. Aug 2012, 17:46
die meisten werden es schon irgendwo gelesen haben, z.B. auf http://www.heise.de/security/meldung/Mi ... 71706.html, oder direkt unter http://technet.microsoft.com/de-de/secu ... ry/2743314. Und auch das ist nicht ganz neu, manche Experten wie Bruce Schneier warnen schon lange
Microsoft empfiehlt auf L2TP/IPSEC oder SSTP, oder zumindest ein besseres Anmeldeverfahren umzusteigen. Ich hab meinen WHS und Client jetzt auf L2TP/IPSEC mit PSK umgestellt - Zertifikate waren mir für einen einzigen Client dann doch zuviel Aufwand. Im Router braucht es dazu die Weiterleitung von EPS (IP Protokoll 50) und UDP Ports 500 (IKE) und 4500 (NAT-T) (Details in http://technet.microsoft.com/en-us/libr ... 4(v=ws.10)). Auf Client und Server braucht es die Registrysetting aus http://support.microsoft.com/kb/926179, ich habe bei mir auf beiden Seiten AssumeUDPEncapsulationContextOnSendRule=2 eingestellt. Und dann muss auch auf beiden Seiten auf L2TP/IPSEC konfiguriert werden, die Dialoge sehen fast gleich aus, daher nur der von Windows 7:
Der Key muss auf beiden Seiten gleich sein, und sollte ordentlich Entropie haben. Noch lieber wäre mir Anmeldung mit EAP-MS.., aber das hat - warum auch immer - leider nicht funktioniert. Da das ganze aber m.W. innerhalb der IPSEC Kommunikation versteckt ist sollte es sicher genug sein.
Gruß Joachim
P.S. m.W. geht das nicht mit Windows Server 2003 also WHS v1.
Was tun?Bruce Schneier hat geschrieben:Some things never change. Thirteen years ago, Mudge and I published a paper breaking Microsoft's PPTP protocol and the MS-CHAP authentication system. I haven't been paying attention, but I presume it's been fixed and improved over the years. Well, it's been broken again.
http://www.cso.com.au/article/432039/to ... under_day/
or http://tinyurl.com/c6l8sv7
My old paper:
http://www.schneier.com/paper-pptpv2.html
Microsoft empfiehlt auf L2TP/IPSEC oder SSTP, oder zumindest ein besseres Anmeldeverfahren umzusteigen. Ich hab meinen WHS und Client jetzt auf L2TP/IPSEC mit PSK umgestellt - Zertifikate waren mir für einen einzigen Client dann doch zuviel Aufwand. Im Router braucht es dazu die Weiterleitung von EPS (IP Protokoll 50) und UDP Ports 500 (IKE) und 4500 (NAT-T) (Details in http://technet.microsoft.com/en-us/libr ... 4(v=ws.10)). Auf Client und Server braucht es die Registrysetting aus http://support.microsoft.com/kb/926179, ich habe bei mir auf beiden Seiten AssumeUDPEncapsulationContextOnSendRule=2 eingestellt. Und dann muss auch auf beiden Seiten auf L2TP/IPSEC konfiguriert werden, die Dialoge sehen fast gleich aus, daher nur der von Windows 7:
- l2tp.png (79.62 KiB) 13535 mal betrachtet
Gruß Joachim
P.S. m.W. geht das nicht mit Windows Server 2003 also WHS v1.