PPTP-VPN-Sicherheitsrisiken

PPTP ist die VPN-Implementierung von Microsoft, die es seit Windows NT gibt. Benutzer verwenden gerne PPTP, da es auf Windows-Desktops normalerweise mit einer Verknüpfung konfiguriert ist, die sich Benutzername und Passwort für den schnellen Zugriff merkt.

Mit der richtigen Namensauflösung (früher WINS) und jetzt DNS können Benutzer das Netzwerk problemlos nach Freigaben und Druckern durchsuchen. Auf der Backend-Seite konfiguriert der Systemadministrator Windows Server PPTP mit der Routing- und RAS-Rolle (RRAS).

Obwohl sich die Tools zum Verwalten und Bereitstellen von PPTP-Systemen mit jeder neuen Windows-Version geändert haben, besteht allgemeine Einigkeit darüber, dass PPTP im Vergleich zu modernen Alternativen unsicher ist und selbst bei einem Upgrade zur Unterstützung von SSTP zusätzliche indirekte Supportkosten verursacht.

Das PPTP-Protokoll selbst gilt nicht mehr als sicher, da das Knacken der anfänglichen MS-CHAPv2-Authentifizierung auf die Schwierigkeit reduziert werden kann, einen einzelnen 56-Bit-DES-Schlüssel zu knacken, was mit aktuellen Computern in sehr kurzer Zeit brutal erzwungen werden kann (wodurch ein starkes Passwort, das für die Sicherheit von PPTP weitgehend irrelevant ist, da der gesamte 56-Bit-Schlüsselraum innerhalb praktischer Zeitbeschränkungen durchsucht werden kann).

Ein Angreifer kann den Handshake (und den PPTP-Verkehr danach) abfangen, den Handshake offline knacken und die RC4 Schlüssel. Sobald der RC4-Schlüssel abgeleitet ist, kann der Angreifer den im PPTP-VPN übertragenen Datenverkehr entschlüsseln und analysieren. PTP unterstützt keine Vorwärtsgeheimnis, daher reicht das Knacken einer einzigen PPTP-Sitzung aus, um alle vorherigen PPTP-Sitzungen mit denselben Anmeldeinformationen zu knacken.

PPTP bietet nur schwachen Schutz für die Integrität der getunnelten Daten. Die RC4-Chiffre bietet zwar Verschlüsselung, überprüft jedoch nicht die Integrität der Daten, da es sich nicht um eine AEAD-Chiffre (Authenticated Encryption with Associated Data) handelt.

PPTP führt außerdem keine zusätzlichen Integritätsprüfungen seines Datenverkehrs durch und ist anfällig für Bit-Flipping-Angriffe, d. h. der Angreifer kann die PPTP-Pakete ändern, ohne dass dies entdeckt werden kann. Aufgrund verschiedener bekannter Angriffe auf die RC4-Chiffre (wie z. B. der Royal Holloway-Angriff) ist RC4 keine gute Wahl für die Sicherung großer übertragener Datenmengen, und VPNs sind ein Hauptkandidat für solche Angriffe, da sie normalerweise sensible und große Datenmengen übertragen.

PPTP-Port

Das Point-to-Point Tunneling Protocol (PPTP) verwendet den TCP-Port 1723 und das IP-Protokoll 47 Generic Routing Encapsulation (GRE). Port 1723 kann von ISPs blockiert werden und GRE IP Protocol 47 kann von vielen modernen Firewalls und Routern nicht durchgelassen werden.

PPTP VPN-Sicherheitslücken

Sicherheitsexperten haben PPTP überprüft und zahlreiche bekannte Schwachstellen aufgelistet, darunter:

MS-CHAP-V1 ist grundsätzlich unsicher

Es gibt Tools, mit denen sich die NT-Passwort-Hashes problemlos aus dem MS-CHAP-V1-Authentifizierungsverkehr extrahieren lassen. MS-CHAP-V1 ist die Standardeinstellung auf älteren Windows-Servern.

MS-CHAP-V2 ist anfällig

MS-CHAP-V2 ist anfällig für Wörterbuchangriffe auf erfasste Challenge-Response-Pakete. Es gibt Tools, um diese Austauschvorgänge schnell zu knacken.

Möglichkeiten für Brute-Force-Angriffe auf PPTP VPN

Es wurde nachgewiesen, dass die Komplexität eines Brute-Force-Angriffs auf einen MS-CHAP-v2-Schlüssel der eines Brute-Force-Angriffs auf einen einzelnen DES-Schlüssel entspricht. Da keine integrierten Optionen für die Multi-Faktor-/Zwei-Faktor-Authentifizierung vorhanden sind, sind PPTP-Implementierungen äußerst anfällig.

Zusätzliche Supportkosten für PPTP VPN

Achten Sie auf die zusätzlichen Supportkosten, die üblicherweise mit PPTP und Microsoft VPN Client verbunden sind.

• Standardmäßig wird das Windows-Netzwerk eines Endbenutzers durch das VPN-Netzwerk des Büros geleitet. Infolgedessen bleibt das interne Netzwerk für Malware offen und verlangsamt das gesamte Internet für alle Benutzer im Büro.
• PPTP ist normalerweise an vielen Standorten aufgrund bekannter Sicherheitsprobleme blockiert, was zu Anrufen beim Helpdesk führt, um Verbindungsprobleme zu lösen.
• Konflikte mit internen Bürosubnetzen an Remotestandorten können das Microsoft VPN-Routing blockieren, was zu keiner Konnektivität und damit zu zusätzlichen Supportkosten führt.
• Kleine Netzwerkschwankungen können dazu führen, dass die Verbindung zum Microsoft VPN-Client während der Nutzung unterbrochen wird, wodurch Dateien beschädigt werden und es zu Wiederherstellungen und verlorener Arbeit kommt.
• Die IT-Abteilung muss eine zusätzliche Flotte von Unternehmens-Laptops mit vorkonfiguriertem Microsoft VPN für jeden potenziellen Remote-Benutzer unterhalten.
• Schadsoftware vom Typ Crypto Locker kann Dateien kostenlos über den VPN-Tunnel verschlüsseln.

PPTP VPN – MyWorkDrive als Lösung

MyWorkDrive fungiert als perfekt VPN-Alternative Lösung

Im Gegensatz zu MyWorkDrive entfallen die Sicherheitsrisiken der Unterstützung von Microsoft PPTP- oder SSTP-VPNs:

• Benutzer erhalten einen eleganten, benutzerfreundlichen Web File Manager-Client, auf den von jedem Browser aus zugegriffen werden kann.
• Kosten für den IT-Support entfallen – Benutzer melden sich einfach mit ihren vorhandenen Windows Active Directory-/Entra-ID-Anmeldeinformationen an oder verwenden ADFS oder einen beliebigen SAML-Anbieter, um auf Unternehmensfreigaben und private Laufwerke zuzugreifen und Dokumente online zu bearbeiten/anzuzeigen.
• Mobile Clients für Android/iOS und MyWorkDrive Desktop Mapped Drive-Clients sind verfügbar.
• Im Gegensatz zu VPN blockieren Sie Dateitypen und erhalten Warnungen, wenn Dateiänderungen festgelegte Schwellenwerte überschreiten, um Ransomware zu blockieren.
• Aus Sicherheitsgründen unterstützen alle MyWorkDrive-Clients die DUO-Zwei-Faktor-Authentifizierung.