Esta es una pregunta hermana de ¿Es seguro EAP-MSCHAP v2? .
Según mi entendimiento, IPsec debería haber autenticado el servidor (estamos usando PKI) y haber asegurado el resto de los protocolos antes de que se realice la autenticación del usuario, por lo que no es necesario usar PEAP (para L2TP / IPsec), ¿verdad? (Es decir, ¿MSCHAPv2 debe proporcionar una protección adecuada para las contraseñas en este caso?)
Creo que tienes razón, pero sería bueno saberlo con seguridad. Artículo de Microsoft KB (2743314) relacionado con MS-CHAP en PPTP-
La autenticación MS-CHAP v2 no encapsulada podría permitir la divulgación de información
Expande las acciones sugeridas y dice:
O, como alternativa a la implementación de la autenticación PEAP-MS-CHAP v2 para las VPN de Microsoft, use un túnel VPN más seguro
Si la tecnología de túnel utilizada es flexible y se basa en una contraseña método de autenticación sigue siendo necesario, entonces Microsoft recomienda utilizando los túneles L2TP, IKEv2 o SSTP VPN junto con MS-CHAP v2 o EAP-MS-CHAP v2 para la autenticación.