PPTP VPN-beveiligingsrisico's

PPTP is Microsoft’s VPN implementation, which has been around since Windows NT. Users tend to like using PPTP as it’s typically configured on Windows Desktops with a shortcut that remembers username and password for quick access.

With proper name resolution (historically WINS) and now DNS, users can easily browse the network for shares and printers. On the back end, the system administrator configures Windows Server PPTP with the Routing and Remote Access role (RRAS).

While the tools used to manage and deploy PPTP Systems have changed with each new version of Windows it’s universally agreed that PPTP is insecure as compared to modern alternatives and adds additional indirect support costs even when upgraded to support SSTP.

Het PPTP-protocol zelf wordt niet langer als veilig beschouwd, aangezien het kraken van de initiële MS-CHAPv2-authenticatie kan worden teruggebracht tot de moeilijkheid van het kraken van een enkele 56-bits DES-sleutel, die met de huidige computers in zeer korte tijd bruut kan worden geforceerd (waardoor een sterk wachtwoord grotendeels irrelevant voor de veiligheid van PPTP aangezien de volledige 56-bits sleutelruimte binnen praktische tijdsbeperkingen kan worden doorzocht).

An attacker can capture the handshake (and any PPTP traffic after that), do an offline crack of the handshake, and derive the RC4 key. Once the RC4 key is derived, the attacker will be able to decrypt and analyze the traffic carried in the PPTP VPN. PTP does not support forward secrecy, so just cracking one PPTP session is sufficient to crack all prior PPTP sessions using the same credentials.

PPTP provides weak protection to the integrity of the data being tunneled. The RC4 cipher, while providing encryption, does not verify the integrity of the data as it is not an Authenticated Encryption with Associated Data (AEAD) cipher.

PPTP also doesn’t do additional integrity checks on its traffic and is vulnerable to bit-flipping attacks, e.g. the attacker can modify the PPTP packets with little possibility of detection. Various discovered attacks on the RC4 cipher (such as the Royal Holloway attack) make RC4 a bad choice for securing large amounts of transmitted data, and VPNs are a prime candidate for such attacks as they typically transmit sensitive and large amounts of data.

PPTP-poort

Point-to-Point Tunneling Protocol (PPTP) gebruikt TCP-poort 1723 en IP-protocol 47 Generic Routing Encapsulation (GRE). Poort 1723 wordt mogelijk geblokkeerd door ISP's en GRE IP Protocol 47 wordt mogelijk niet door veel moderne firewalls en routers gepasseerd.

PPTP VPN Vulnerabilities

Beveiligingsexperts hebben PPTP beoordeeld en een aantal bekende kwetsbaarheden opgesomd, waaronder:

MS-CHAP-V1 is fundamenteel onveilig

Tools exist that can easily extract the NT Password hashes from MS-CHAP-V1 authentication traffic. MS-CHAP-V1 is the default setting on older Windows Servers.

MS-CHAP-V2 is kwetsbaar

MS-CHAP-V2 is vulnerable to dictionary attacks on captured challenge response packets. Tools exist to crack these exchanges rapidly.

PPTP VPN Brute Force Attack Possibilities

It has been demonstrated that the complexity of a brute-force attack on an MS-CHAP-v2 key is equivalent to a brute-force attack on a single DES key. With no built-in options for Multi-Factor/Two-factor authentication, this leaves PPTP implementations highly vulnerable.

PPTP VPN Additional Support Costs

Pas op voor de extra ondersteuningskosten die gewoonlijk worden geassocieerd met PPTP en Microsoft VPN Client.

• Het Windows-netwerk van een eindgebruiker wordt standaard gerouteerd via het VPN-kantoornetwerk. Als gevolg hiervan blijft het interne netwerk open voor malware en vertraagt het al het internet voor alle gebruikers op kantoor.
• PPTP is typically blocked at many locations due to known security issues resulting in calls to the help desk to resolve connectivity issues.
• Conflicts with office internal subnets at remote sites can block Microsoft VPN routing resulting in no connectivity and again leading to additional support costs.
• Minor network fluctuations can disconnect the Microsoft VPN client while in use corrupting files and leading to restores and lost work.
• De IT-afdeling moet een extra vloot bedrijfslaptops onderhouden met Microsoft VPN vooraf geconfigureerd voor elke potentiële externe gebruiker.
• Crypto Locker type malware is free to encrypt files over the VPN tunnel.

PPTP VPN – MyWorkDrive as a Solution

MyWorkDrive fungeert als de perfecte VPN-alternatief oplossing

In tegenstelling tot MyWorkDrive worden de beveiligingsrisico's van het ondersteunen van Microsoft PPTP of SSTP VPN's geëlimineerd:

• Gebruikers krijgen een elegante, gebruiksvriendelijke Web File Manager-client die toegankelijk is vanuit elke browser.
• IT Support costs are eliminated – users simply log on with their existing Windows Active Directory/Entra ID credentials or use ADFS or any SAML provider to access company shares, home drives, and edit/view documents online.
• Mobile Clients voor Android/iOS en MyWorkDrive Desktop Mapped Drive-clients zijn beschikbaar.
• In tegenstelling tot VPN blokkeer je bestandstypes en ontvang je waarschuwingen wanneer bestandswijzigingen de ingestelde drempels overschrijden om ransomware te blokkeren.
• Voor de veiligheid ondersteunen alle MyWorkDrive-clients DUO Two Factor-authenticatie.