PPTP VPN-beveiligingsrisico's

PPTP is Microsoft's VPN-implementatie, die al bestaat sinds Windows NT. Gebruikers gebruiken PPTP graag omdat het meestal op Windows Desktops is geconfigureerd met een snelkoppeling die gebruikersnaam en wachtwoord onthoudt voor snelle toegang.

Met de juiste naamresolutie (historisch WINS) en nu DNS kunnen gebruikers eenvoudig door het netwerk bladeren naar shares en printers. Aan de achterkant configureert de systeembeheerder Windows Server PPTP met de Routing and Remote Access-rol (RRAS).

Hoewel de hulpmiddelen die worden gebruikt om PPTP-systemen te beheren en implementeren bij elke nieuwe versie van Windows zijn gewijzigd, is men het er algemeen over eens dat PPTP onveilig is in vergelijking met moderne alternatieven en dat er extra indirecte ondersteuningskosten aan verbonden zijn, zelfs bij een upgrade naar SSTP-ondersteuning.

Het PPTP-protocol zelf wordt niet langer als veilig beschouwd, aangezien het kraken van de initiële MS-CHAPv2-authenticatie kan worden teruggebracht tot de moeilijkheid van het kraken van een enkele 56-bits DES-sleutel, die met de huidige computers in zeer korte tijd bruut kan worden geforceerd (waardoor een sterk wachtwoord grotendeels irrelevant voor de veiligheid van PPTP aangezien de volledige 56-bits sleutelruimte binnen praktische tijdsbeperkingen kan worden doorzocht).

Een aanvaller kan de handshake (en al het PPTP-verkeer daarna) vastleggen, een offline crack van de handshake uitvoeren en de RC4 sleutel. Zodra de RC4-sleutel is afgeleid, kan de aanvaller het verkeer dat via de PPTP VPN wordt vervoerd, decoderen en analyseren. PTP ondersteunt geen forward secrecy, dus het kraken van één PPTP-sessie is voldoende om alle eerdere PPTP-sessies te kraken met dezelfde inloggegevens.

PPTP biedt zwakke bescherming voor de integriteit van de data die wordt getunneld. De RC4-cipher, hoewel encryptie biedt, verifieert niet de integriteit van de data omdat het geen Authenticated Encryption with Associated Data (AEAD)-cipher is.

PPTP voert ook geen extra integriteitscontroles uit op zijn verkeer en is kwetsbaar voor bit-flipping-aanvallen, bijvoorbeeld de aanvaller kan de PPTP-pakketten wijzigen met weinig kans op detectie. Verschillende ontdekte aanvallen op de RC4-cipher (zoals de Royal Holloway-aanval) maken RC4 een slechte keuze voor het beveiligen van grote hoeveelheden verzonden gegevens, en VPN's zijn een belangrijke kandidaat voor dergelijke aanvallen, omdat ze doorgaans gevoelige en grote hoeveelheden gegevens verzenden.

PPTP-poort

Point-to-Point Tunneling Protocol (PPTP) gebruikt TCP-poort 1723 en IP-protocol 47 Generic Routing Encapsulation (GRE). Poort 1723 wordt mogelijk geblokkeerd door ISP's en GRE IP Protocol 47 wordt mogelijk niet door veel moderne firewalls en routers gepasseerd.

PPTP VPN-kwetsbaarheden

Beveiligingsexperts hebben PPTP beoordeeld en een aantal bekende kwetsbaarheden opgesomd, waaronder:

MS-CHAP-V1 is fundamenteel onveilig

Er bestaan tools die de NT-wachtwoordhashes eenvoudig kunnen extraheren uit MS-CHAP-V1-authenticatieverkeer. MS-CHAP-V1 is de standaardinstelling op oudere Windows-servers.

MS-CHAP-V2 is kwetsbaar

MS-CHAP-V2 is kwetsbaar voor woordenboekaanvallen op vastgelegde challenge response-pakketten. Er bestaan tools om deze uitwisselingen snel te kraken.

Mogelijkheden voor brute force-aanvallen op PPTP VPN

Het is aangetoond dat de complexiteit van een brute-force-aanval op een MS-CHAP-v2-sleutel gelijk is aan een brute-force-aanval op een enkele DES-sleutel. Zonder ingebouwde opties voor Multi-Factor/Two-factor-authenticatie, maakt dit PPTP-implementaties zeer kwetsbaar.

PPTP VPN Extra ondersteuningskosten

Pas op voor de extra ondersteuningskosten die gewoonlijk worden geassocieerd met PPTP en Microsoft VPN Client.

• Het Windows-netwerk van een eindgebruiker wordt standaard gerouteerd via het VPN-kantoornetwerk. Als gevolg hiervan blijft het interne netwerk open voor malware en vertraagt het al het internet voor alle gebruikers op kantoor.
• PPTP wordt doorgaans op veel locaties geblokkeerd vanwege bekende beveiligingsproblemen. Hierdoor moet u vaak de helpdesk bellen om verbindingsproblemen op te lossen.
• Conflicten met interne subnetten op externe locaties kunnen Microsoft VPN-routering blokkeren, waardoor er geen connectiviteit is en er extra ondersteuningskosten ontstaan.
• Kleine netwerkschommelingen kunnen de verbinding met de Microsoft VPN-client verbreken terwijl deze in gebruik is. Hierdoor kunnen bestanden beschadigd raken en kunnen herstelbewerkingen en werkverlies optreden.
• De IT-afdeling moet een extra vloot bedrijfslaptops onderhouden met Microsoft VPN vooraf geconfigureerd voor elke potentiële externe gebruiker.
• Malware van het type Crypto Locker versleutelt bestanden via de VPN-tunnel.

PPTP VPN – MyWorkDrive als oplossing

MyWorkDrive fungeert als de perfecte VPN-alternatief oplossing

In tegenstelling tot MyWorkDrive worden de beveiligingsrisico's van het ondersteunen van Microsoft PPTP of SSTP VPN's geëlimineerd:

• Gebruikers krijgen een elegante, gebruiksvriendelijke Web File Manager-client die toegankelijk is vanuit elke browser.
• Er zijn geen kosten meer verbonden aan IT-ondersteuning: gebruikers melden zich eenvoudig aan met hun bestaande Windows Active Directory/Entra ID-referenties of gebruiken ADFS of een SAML-provider om toegang te krijgen tot bedrijfsshares, thuisstations en om documenten online te bewerken/bekijken.
• Mobile Clients voor Android/iOS en MyWorkDrive Desktop Mapped Drive-clients zijn beschikbaar.
• In tegenstelling tot VPN blokkeer je bestandstypes en ontvang je waarschuwingen wanneer bestandswijzigingen de ingestelde drempels overschrijden om ransomware te blokkeren.
• Voor de veiligheid ondersteunen alle MyWorkDrive-clients DUO Two Factor-authenticatie.