Seite 1 von 1

Microsoft warnt vor PPTP und MS-CHAPv2

Verfasst: 27. Aug 2012, 17:46
von JoachimL
die meisten werden es schon irgendwo gelesen haben, z.B. auf http://www.heise.de/security/meldung/Mi ... 71706.html, oder direkt unter http://technet.microsoft.com/de-de/secu ... ry/2743314. Und auch das ist nicht ganz neu, manche Experten wie Bruce Schneier warnen schon lange
Bruce Schneier hat geschrieben:Some things never change. Thirteen years ago, Mudge and I published a paper breaking Microsoft's PPTP protocol and the MS-CHAP authentication system. I haven't been paying attention, but I presume it's been fixed and improved over the years. Well, it's been broken again.
http://www.cso.com.au/article/432039/to ... under_day/
or http://tinyurl.com/c6l8sv7
My old paper:
http://www.schneier.com/paper-pptpv2.html
Was tun?

Microsoft empfiehlt auf L2TP/IPSEC oder SSTP, oder zumindest ein besseres Anmeldeverfahren umzusteigen. Ich hab meinen WHS und Client jetzt auf L2TP/IPSEC mit PSK umgestellt - Zertifikate waren mir für einen einzigen Client dann doch zuviel Aufwand. Im Router braucht es dazu die Weiterleitung von EPS (IP Protokoll 50) und UDP Ports 500 (IKE) und 4500 (NAT-T) (Details in http://technet.microsoft.com/en-us/libr ... 4(v=ws.10)). Auf Client und Server braucht es die Registrysetting aus http://support.microsoft.com/kb/926179, ich habe bei mir auf beiden Seiten AssumeUDPEncapsulationContextOnSendRule=2 eingestellt. Und dann muss auch auf beiden Seiten auf L2TP/IPSEC konfiguriert werden, die Dialoge sehen fast gleich aus, daher nur der von Windows 7:
l2tp.png
l2tp.png (79.62 KiB) 6666 mal betrachtet
Der Key muss auf beiden Seiten gleich sein, und sollte ordentlich Entropie haben. Noch lieber wäre mir Anmeldung mit EAP-MS.., aber das hat - warum auch immer - leider nicht funktioniert. Da das ganze aber m.W. innerhalb der IPSEC Kommunikation versteckt ist sollte es sicher genug sein.
Gruß Joachim
P.S. m.W. geht das nicht mit Windows Server 2003 also WHS v1.

Re: Microsoft warnt vor PPTP und MS-CHAPv2

Verfasst: 7. Jan 2013, 18:50
von beckham
Hallo Joachim,

bin gerade auf deinen Beitrag gestossen und hätte da eine Frage.
Habe aktuell vor ein VPN auf meinem WHS2011 aufzubauen. Möchte mittels iPhone über VPN in mein Heimnetz.
Habe dazu diese Anleitung gefunden:
http://thedigitalmediazone.com/2012/03/ ... rver-2011/
Nun hab ich deinen Beitrag gelesen und würde natürlich direkt die "sichere VPN-Variante" wählen.
Was muss ich denn hierzu tun, nachdem ich das oben genannte Tutorial erledigt und somit mein VPN aufgebaut habe?
Kannst du mir hier weiterhelfen?

Danke & Viele Grüße
Christoph

Re: Microsoft warnt vor PPTP und MS-CHAPv2

Verfasst: 16. Jan 2013, 21:50
von beckham
Hab es doch allein geschafft.
Trotzdem danke nochmal für den Artikel.