¿Es segura la VPN de Windows?

15

He usado algunas soluciones VPN a lo largo de los años. La mayoría son difíciles de configurar, lentos para conectarse y / o se comportan mal (reemplazan los controladores del sistema, se interrumpen entre sí, etc.).

Una solución que nunca he usado antes es la integrada en Windows. Esto se debe principalmente a que los chicos de la infraestructura siempre se niegan a usarlo porque afirman que 'no es seguro'.

Ahora finalmente tuve la oportunidad de usarlo (en Windows 7), y ¡vaya, es muy fácil! Fácil de configurar, de buen comportamiento, se conecta casi al instante, se autentica automáticamente con mis credenciales de inicio de sesión y se integra de manera excelente con la interfaz de usuario. Tengo que decir que, a menos que realmente no sea seguro, estaré feliz si nunca tengo que usar otro producto VPN nunca más.

Creo que la VPN de Windows solía depender de PPTP, que no se considera segura. Pero en Windows 7/2008, es compatible con L2TP / IPSec, SSTP e IKEv2, y se autentica con EAP o CHAP / CHAPv2. Eso me parece bastante actualizado.

Pero solo soy un desarrollador humilde. ¿Puede alguien en el saber darme la noticia de esto?

Tor Haugen
fuente

Respuestas:

17

Como todas las cosas de seguridad, depende de cómo lo configure.

Se puede configurar para que sea muy seguro. En un momento (Circa Win98) tuvo problemas. Desde entonces, MS lo ha solucionado (Circa 1999). Hay un criptoanálisis disponible aquí ; En pocas palabras, las contraseñas de los usuarios son el eslabón más débil (como debería ser).

Algunos de los problemas de contraseña de usuario pueden mitigarse mediante el uso de certificados de autenticación de clientes. Si ya tiene una buena infraestructura PKI, probablemente ya emita automáticamente certificados de cliente (computadoras). PPTP puede usarlos para probar que la computadora debería poder probar un par de nombre de usuario y contraseña. Sin embargo, no se requieren certificados, y PPTP seguirá siendo tan seguro como sus contraseñas.

MS proporciona artículos sobre cómo configurar PPTP (incluido EAP / TLS) y L2TP (L2TP requiere certificados / PKI) . Ambos son para Win2003, pero son suficientes para tener una idea de lo que se requiere; y hay documentos para 2008. Como se señaló en los comentarios, cualquier variación de PAP y CHAP son inseguras (porque pueden ser forzadas con recursos triviales).

Si su departamento de TI le dice que PPTP es inseguro, o no se han mantenido al día con los problemas (desde <1999) o están usando "inseguro" como una solución por otra razón.

Chris S
fuente
1
MSCHAPv2 está roto; Puede ser forzado en horas. Debe hacer EAP-TLS para la autenticación aquí. Y luego está RC4 ...
Michael Hampton
7

Mientras tanto, la respuesta de Chris está desactualizada. PPTP es inseguro como lo demuestra Moxie Marlinspike . Por lo tanto, solo se deben usar L2TP / IPSec, IPSec con IKEv2 u OpenVPN.

fuggi
fuente
sí, eso es lo que pasa con el tiempo ...
Chris S
sin mencionar la guerra, pero ... computerworld.com/article/2864800/…
Nick Kavadias
Pero, ¿por qué PPTP todavía está en Windows 10?
Sleeper Smith