Чи безпечний VPN Windows?

Я використовував кілька рішень VPN протягом багатьох років. Більшість важко налаштувати, повільно підключатись та / або, скоріше, недоброзичливо (замінювати системні драйвери, порушувати один одного тощо).

Одне рішення, яке я ніколи не використовував, - це вбудоване в Windows. Це здебільшого тому, що хлопці з інфраструктури завжди відмовляються користуватися нею, оскільки вони стверджують, що це "не безпечно".

Тепер я, нарешті, мав можливість скористатись цим (на Windows 7), і ось так, це вітер! Він простий у налаштуванні, добре налаштований, він підключається майже миттєво, автоматично автентифікується з моїми вхідними обліковими записами та чудово інтегрується з інтерфейсом користувача. Маю сказати, якщо це справді не є безпечним, я буду радий, якщо мені більше ніколи більше не доведеться використовувати інший продукт VPN.

Я збираю Windows VPN, який використовується для покладання на PPTP, який не вважається захищеним. Але в Windows 7/2008 він підтримує L2TP / IPSec, SSTP та IKEv2 та автентифікується за допомогою EAP або CHAP / CHAPv2. Це здається мені досить сучасним.

Але я просто низько розробник. Чи може хтось, хто знає, дати мені це питання?

Як і безпека всіх речей, це залежить від того, як ви її налаштуєте.

Це може бути дуже безпечним. У якийсь момент (Circa Win98) у нього виникли проблеми. З цього часу MS це виправляє (Circa 1999). Тут доступний криптоаналіз ; Підсумок, паролі користувачів - це найслабше посилання (як це має бути).

Деякі проблеми з паролем користувача можна усунути за допомогою сертифікатів автентифікації клієнта. Якщо у вас вже є хороша інфраструктура PKI, ви, ймовірно, вже автоматично видаєте сертифікати клієнтів (комп'ютерів). PPTP може використовувати їх, щоб довести, що комп’ютеру слід дозволити спробувати пару імен користувача та пароля. Сертифікати, однак, не потрібні, і PPTP все одно буде настільки ж безпечним, як і ваші паролі.

MS пропонує статті про те, як налаштувати PPTP (включаючи EAP / TLS) , а також L2TP (L2TP вимагає Certs / PKI) . Обидва вони призначені для Win2003, але їх достатньо, щоб зрозуміти, що потрібно; а також є документи на 2008 рік. Як зазначається в коментарях, будь-які зміни PAP та CHAP не є безпечними (тому що їх можна змусити жорстоко використовувати з дріб'язковими ресурсами).

Якщо ваш ІТ говорить вам, що PPTP не є безпечним, вони або не йшли в ногу з проблемами (починаючи з <1999 року), або вони використовують "незахищені" як копію з інших причин.

Тим часом відповідь Кріса застаріла. PPTP не є небезпечним, як це підтвердило Moxie Marlinspike . Тому слід використовувати тільки L2TP / IPSec, IPSec з IKEv2 або OpenVPN.