¿Se podría considerar que PPTP es un tipo de VPN seguro con tiempo de espera inactivo 0?

1

Tengo un enrutador Draytek que estoy intentando configurar como host de VPN.

Las opciones que tengo son:

  • PPTP
  • IPSEC
  • LT2P con política IPSEC
  • SSL

Mi cliente VPN solo parece ser compatible con PPTP y LT2P con política IPSEC.

He configurado otras VPN en otro hardware de Draytek usando LT2P con políticas IPSEC en el pasado, pero esta vez la única opción que puedo hacer para trabajar es PPTP.

La VPN se utilizará con poca frecuencia para la administración remota de otro hardware de LAN. Al administrar este hardware de LAN, necesito iniciar sesión en el hardware en cuestión para que las contraseñas se envíen a través de la VPN.

La VPN siempre estará conectada desde una LAN segura, pero estoy más preocupada por los datos a medida que se transfieren a través de la WAN.

Si configuro el tiempo de espera de inactividad en 0 (según entiendo, esto mitiga el ataque de los usuarios intermedios, debido al aumento de la latencia que hace que falle la conexión, y uso el cifrado de 128 bits para la conexión del cliente PPTP permitir) ¿sería esto una conexión segura?

    
pregunta sam 26.10.2018 - 16:32
fuente

1 respuesta

5

En resumen, ninguna configuración que use PPTP debe considerarse segura.

En primer lugar, establecer un tiempo de espera de inactividad bajo no es una mitigación contra un ataque MITM. La configuración de tiempo de espera inactivo simplemente determina cuánto tiempo el servidor permitirá que una sesión inactiva permanezca conectada (y establecerlo en 0 probablemente deshabilitará el tiempo de espera por completo en la mayoría de las implementaciones). No tiene relación directa con la latencia. Además, un ataque de envenenamiento ARP (para establecer MITM) puede no parecer tan diferente a cualquier salto normal a lo largo de la ruta, por lo que la latencia es un canal lateral difícil para detectar este tipo de hombre en el medio fuera de un ayuno , red local predecible. El tipo de ataque MITM requerido para interrumpir el PPTP es mucho más simple que, por ejemplo, SSL, donde el flujo debe ser descifrado y luego recifrado. El atacante simplemente necesita capturar y reenviar sus paquetes para interrumpir su conexión.

El problema para usted con PPTP es que incluso en su disposición "más segura" está totalmente roto (vea ¿Hay vulnerabilidades conocidas en las VPN PPTP cuando se configuran correctamente? ). Un MITM exitoso no solo puede suplantarlo a la VPN, sino que también puede descifrar cualquier sesión capturada, que incluirá las contraseñas o cualquier otra credencial que necesite enviar al destino.

Entonces, la respuesta a su pregunta es un no rotundo, PPTP no puede considerarse seguro en ninguna configuración.

Sin embargo, dado que sus opciones parecen limitadas, puede decidir que PPTP puede ser lo suficientemente seguro como para su caso de uso. Solo tenga en cuenta que si su conexión pasa a través de una conexión maliciosa, hay herramientas disponibles que pueden rastrear y romper automáticamente cualquier sesión PPTP. Puede que no sea probable, pero si no tiene suerte, el PPTP es tan inseguro que ni siquiera necesita un objetivo específico, simplemente podría ser un objetivo de oportunidad. Realmente es así de inseguro.

  

Mi cliente VPN solo parece ser compatible con PPTP y LT2P con política IPSEC.

Me parece que deberías comenzar aquí. Necesitas un mejor cliente.

    
respondido por el Johnny 30.10.2018 - 09:52
fuente

Lea otras preguntas en las etiquetas