PPTP هو تطبيق Microsoft VPN الذي كان موجودًا منذ Windows NT. يميل المستخدمون إلى استخدام PPTP حيث يتم تكوينه عادة على أجهزة سطح المكتب Windows مع اختصار يتذكر اسم المستخدم وكلمة المرور للوصول السريع. عندما يقترن بدقة الاسم المناسبة (تاريخيا) والآن DNS ، يمكن للمستخدمين بسهولة تصفح الشبكة للأسهم والطابعات. في النهاية الخلفية ، يتم تكوين Windows Server PPTP بواسطة مسؤول النظام مع دور التوجيه والوصول عن بُعد (RRAS). على الرغم من أن الأدوات المستخدمة لإدارة ونشر أنظمة PPTP قد تغيرت مع كل إصدار جديد من Windows ، فقد اتفق عالميًا على أن PPTP غير آمن مقارنة بالبدائل الحديثة ويضيف تكاليف دعم غير مباشرة إضافية حتى عند ترقيتها لدعم SSTP.
لم يعد بروتوكول PPTP نفسه آمنًا لأن تكسير مصادقة MS-CHAPv2 الأولية يمكن تقليله إلى صعوبة تكسير مفتاح DES 56 بت واحد ، والذي يمكن أن يكون مع أجهزة الكمبيوتر الحالية غاشمة في وقت قصير جدًا (صنع ملف كلمة مرور قوية غير ذات صلة إلى حد كبير بأمان PPTP حيث يمكن البحث في مساحة مفاتيح 56 بت بأكملها خلال قيود زمنية عملية).
المهاجم يلتقط المصافحة (وأي حركة مرور PPTP بعد ذلك) ، قم بعمل صدع غير متصل بالمصافحة واشتقاق مفتاح RC4. بمجرد اشتقاق مفتاح RC4 ، سيكون المهاجم قادرًا على فك تشفير وحللة حركة المرور التي يتم حملها في PPTP VPN. لا يدعم PPTP السرية إلى الأمام ، لذا فإن مجرد تكسير جلسة PPTP واحدة كافية لتكسير جميع جلسات PPTP السابقة باستخدام نفس بيانات الاعتماد.
يوفر PPTP حماية ضعيفة لسلامة البيانات التي يتم نقلها. لا يتحقق تشفير RC4 ، مع توفير التشفير ، من سلامة البيانات لأنه ليس تشفيرًا مصادقًا مع تشفير البيانات المرتبطة (AEAD). لا يقوم PPTP أيضًا بفحوصات تكامل إضافية على حركة المرور الخاصة بها وهي عرضة لهجمات الانزلاق بت ، هـ.ز. يمكن للمهاجم تعديل حزم PPTP مع إمكانية ضئيلة للكشف. تجعل العديد من الهجمات المكتشفة على تشفير RC4 (مثل هجوم Royal Holloway) RC4 خيارًا سيئًا لتأمين كميات كبيرة من البيانات المنقولة ، و VPNs مرشح رئيسي لمثل هذه الهجمات لأنها عادة ما تنقل كميات حساسة وكبيرة من البيانات.
منفذ PPTP
يستخدم بروتوكول النفق من نقطة إلى نقطة (PPTP) منفذ TCP 1723 وبروتوكول IP 47 تغليف التوجيه العام (GRE). قد يتم حظر المنفذ 1723 بواسطة ISP’s و Gre IP بروتوكول 47.
نقاط الضعف PPTP
راجع خبراء الأمن PPTP وأدرجوا العديد من نقاط الضعف المعروفة بما في ذلك:
MS-CHAP-V1 غير آمن بشكل أساسي
توجد أدوات يمكنها بسهولة استخراج تجزئة كلمة مرور NT من حركة مرور مصادقة MS-CHAP-V1. MS-CHAP-V1 هو الإعداد الافتراضي على خوادم Windows الأقدم
MS-CHAP-V2 ضعيف
MS-CHAP-V2 عرضة لهجمات القاموس على حزم استجابة التحدي التي تم التقاطها. توجد أدوات لكسر هذه التبادلات بسرعة
إمكانيات هجوم القوة الغاشمة
لقد ثبت أن تعقيد هجوم القوة الغاشمة على مفتاح MS-CHAP-V2 يعادل هجومًا وحشيًا على مفتاح des واحد. مع عدم وجود خيارات مدمجة لعامل متعدد/مصادقة عامل ، فإن هذا يترك تطبيقات PPTP ضعيفة للغاية.
تكاليف دعم إضافية
احذر من تكاليف الدعم الإضافية المرتبطة عادةً بعميل PPTP & Microsoft VPN.
افتراضيًا ، يتم توجيه شبكة Windows الخاصة بالمستخدم النهائي من خلال شبكة VPN Office. نتيجة لذلك ، يترك هذا الشبكة الداخلية مفتوحة للبرامج الضارة وتبطئ جميع الإنترنت لجميع المستخدمين في المكتب.
عادةً ما يتم حظر PPTP في العديد من المواقع بسبب مشكلات الأمان المعروفة التي تؤدي إلى مكالمات إلى مكتب المساعدة لحل مشكلات الاتصال.
يمكن أن تمنع الشبكات الفرعية الداخلية للمكتب في مواقع عن بعد توجيه Microsoft VPN مما يؤدي إلى عدم توصيله وتؤدي مرة أخرى إلى تكاليف دعم إضافية.
يمكن أن تقوم تقلبات الشبكة البسيطة بفصل عميل Microsoft VPN أثناء استخدام ملفات إفساد مما يؤدي إلى استعادة وفقدان العمل.
سيحتاج قسم تكنولوجيا المعلومات إلى الحفاظ على أسطول إضافي من أجهزة الكمبيوتر المحمولة للشركات مع تكوين Microsoft VPN لكل مستخدم محتمل عن بُعد.
نوع Crypto Locker Type Malware مجاني لتشفير الملفات على نفق VPN.
MyWorkDrive كحل
يعمل MyWorkDrive كحل بديل مثالي لشبكة VPN
على عكس MyworkDrive ، يتم القضاء على المخاطر الأمنية لدعم Microsoft PPTP أو SSTP VPN:
يحصل المستخدمون على عميل Web File Manager الأنيق الذي يمكن الوصول إليه من أي متصفح.
يتم القضاء على تكاليف دعم تكنولوجيا المعلومات – ببساطة يسجل المستخدمون الدخول باستخدام بيانات اعتماد Windows Active Directory الحالية أو استخدام ADFs أو أي مزود SAML للوصول إلى أسهم الشركة ومحركات الأقراص المنزلية وتحرير/عرض المستندات عبر الإنترنت.
يتوفر عملاء محرك الأجهزة المحمولة لنظام Android/iOS و MyworkDrive Desktop Screed Drive Compans.
على عكس أنواع ملفات كتلة VPN واستلام التنبيهات عندما تتجاوز تغييرات الملف عتبات تعيين لحظر رانسومواري.
للأمان ، يدعم جميع عملاء MyWorkDrive الثنائي مصادقة عاملان.
دان جوردون
دانيال ، مؤسس MyworkDrive.com ، عملت في مختلف أدوار إدارة التكنولوجيا التي تخدم المؤسسات والحكومة والتعليم في منطقة خليج سان فرانسيسكو منذ عام 1992. دانيال معتمد في Microsoft Technologies ويكتب عن تكنولوجيا المعلومات والأمن والاستراتيجية وحصل على براءة اختراع الولايات المتحدة #9985930 في شبكات الوصول عن بُعد
المشاركات الاخيرة
اختلاف الأداء: Apple M1 VS. معالجات M2 مع SSDs NAND SSDS
الوضع الحالي لمشاركة الملفات: مقارنة السحابة العامة والخاصة للعمل عن بُعد
النشرة الإخبارية في يونيو MyworkDrive 2023
إصدار MyWorkDrive 6.4 صدر للإنتاج
بروتوكول PPTP VPN: هل هو آمن?
ليس من المبالغة أن نقول أن بروتوكولات الأنفاق تحدث الفرق بين التجارة الخالية من المتاعب والفوضى المطلقة والفوضى المطلقة. تنشئ هذه الأدوات الأساسية “أنفاق” آمنة تحتوي على بيانات مشفرة أثناء مرورها عبر الشبكات الخاصة الافتراضية (VPNS).
من الناحية النظرية ، فإنهم يختتمون معلومات سرية ، ويحافظون عليها في مأمن من عيون المتطفلين. ولكن هذا ليس هو الحال دائمًا ، وقد أثبتت بعض البروتوكولات الشائعة أنها غير كافية لضمان الحماية الكافية.
دعونا نلقي نظرة على أحد تلك البروتوكولات القديمة: PPTP. لا يُنظر إلى بروتوكول النفق من نقطة إلى نقطة على نطاق واسع على أنه خيار قابل للتطبيق من قبل خبراء الأمان هذه الأيام ، ولسبب وجيه. ومع ذلك ، نظرًا لأنه مدمج في العديد من إصدارات Windows ، فلا يزال يستخدمه الشركات بشكل منتظم على شبكاتها الداخلية وتواجه العميل.
لا تكن مثل تلك الشركات. بدلاً من ذلك ، هناك الكثير من الأسباب للنظر إلى ما هو أبعد من PPTP واختيار بروتوكول آمن حقًا يحميك وبيانات عملائك. دعونا نكتشف ما هي هذه الأسباب.
PPTP: بعض الخلفية السريعة
تم إنشاء PPTP في التسعينيات من قبل المهندسين من Microsoft و Ascend ومجموعة من مقدمي الاتصالات المتنقلة مثل Nokia. مع توسيع نطاق الإنترنت عالي السرعة والتجارة الإلكترونية ، أرادت Microsoft تزويد مستخدمي Windows بأداة أساسية لتشفير بياناتهم ، وهذا ما أنشأه الفريق إلى حد كبير.
تمامًا مثل سابقتها PPP ، تعمل PPTP من خلال إنشاء حزم بيانات تشكل أساس النفق الفعلي. إنها تبرز عملية إنشاء الحزمة هذه مع أنظمة المصادقة لضمان نقل حركة المرور المشروعة عبر الشبكات. ويستخدم شكلاً من أشكال التشفير لتدافع البيانات التي تحتفظ بها الحزم.
استحوذت PPTP على مواصفات رسمية لـ RFC (RFC 2637) في عام 1999 ، ويستحق الإشارة إلى ذلك للحصول على التفاصيل الفنية. ولكن لوضع الأمور ببساطة ، تعمل في طبقة البيانات 2 ، وتستخدم تغليف التوجيه العام (GRE) كنظام إنشاء الحزم الخاص به. تستخدم الحزم منفذ IP 47 ومنفذ TCP 1723 ، ومعيار التشفير المستخدم هو Microsoft الخاص بـ MPPE الخاص.
صممت Microsoft البروتوكول للعمل في بيئات Windows اليومية ، مع انخفاض البصمة وسرعات عالية. ونتيجة لذلك ، فإن PPTP بسيط بشكل مدهش لإعداد VPNs الداخلية ، واكتسبت أتباعًا كبيرًا بين الشركات الصغيرة والمتوسطة في 2000s. لا يزال البعض منهم يعتمد على PPTP ، لكن هذه ليست خطوة ذكية. هذا هو السبب.
ما هي العيوب الأمنية التي تم تحديدها مع PPTP?
منذ بداية حياتها تقريبًا ، تعرضت PPTP من خلال الادعاءات بأنها ببساطة غير آمنة ، وأن رجل واحد مسؤول في المقام الأول عن هذه السمعة. في عام 1998 ، نشر محلل الأمن بروس شنير ورقة مهمة على PPTP ، وجعلت قراءة مروعة للمستخدمين. أو على الأقل يجب أن يكون.
وفقًا لـ Schneier ، كانت أضعف نقطة البروتوكول هي بروتوكول مصادقة التحدي/الاستجابة (CHAP) ، تليها عن كثب تشفير MPPE المستند إلى RC4.
من خلال العمل مع Mudge of Hacker Collective L0PHT Heavy Industries ، وجد Schneier أن خوارزميات التجزئة المستخدمة في تطبيقات PPTP كانت سهلة التصدع بشكل مثير للصدمة. هذا يمكن أن يسهل مجموعة من هجمات التنصت ، حيث يتتبع المتسللين كل مستخدم أثناء تنقلهم شبكات الشركات.
ذهبت مشاكل مع الفصل أعمق. كما وجد شنير ، أعطت معظم تطبيقات PPTP المهاجمين القدرة على وضع خوادم رسمية ، لتصبح عقدة للمعلومات الحساسة.
ثالثًا ، وجد المحللون أن جودة تشفير MPPE من PPTP كانت منخفضة للغاية ، مع مفاتيح يمكن كسرها بسهولة إلى حد ما ، ومجموعة متنوعة من الطرق لمديري الشبكات لتكوين الأنظمة بشكل غير صحيح – مما يؤدي إلى نقاط الضعف الأسوأ حتى.
هذه القضايا لم تتم الإجابة عليها. في الواقع ، قامت Microsoft بتحديث PPTP (PPTP الإصدار 2) ، وهو الإصدار الأكثر شيوعًا المستخدمة مع حزم Windows التي تم إصدارها منذ عام 2000. مرة أخرى ، ألقى شنير نظرة على التحديث ، ووجد بعض نقاط الضعف الخطيرة.
بينما تمت معالجة المشكلات المتعلقة بـ CHAP ، حكم شنير على أن كلمات المرور ظلت قابلية للضعف الأساسية ، مما يترك المستخدمين في خطر من هجمات تخمين كلمة المرور. وفقًا للمحللين ، فإن هذا يعني أن البروتوكول كان آمنًا بشكل أساسي مثل كلمات المرور التي يختارها المستخدمون. بمعنى آخر ، كان أمنه يعتمد على الصلاة لتجنب الخطأ البشري ، وليس استخدام أحدث معايير التشفير.
نتيجة لذلك ، هذا يعني أن Schneier لم يستطع “أن يوصي Microsoft PPTP بالتطبيقات التي يكون فيها الأمان عاملاً.”
هل تجعل هذه المشكلات PPTP عدم وجود أمن المؤسسة?
منذ إدخال تحديث PPTP ، أصبحت عيوب الأمان هذه أكثر إثارة للقلق فقط. لم تختار Microsoft الاستثمار في مزيد من التحديثات ، وقد انتقل عالم الجريمة الإلكترونية بسرعة ، مع أدوات اختراق كلمة المرور على الجرف التي لا يمكن للأشخاص في عام 1998 سوى الحلم.
على سبيل المثال ، وجدت الدراسات أن تشفير PPTP المتواضع أصبح بسيطًا تقريبًا. في Defcon 2012 ، أظهرت مجموعة Hacking Group CloudCracker أن MS-CHAPv2 (الفصل المحدث لـ PPTP) يمكن أن يكون بسهولة. ليست هناك حاجة لتوظيف مجموعة من أجهزة الكمبيوتر القوية ، ولا تستغرق العملية وقتًا طويلاً. بالتأكيد ، يتطلب معرفة فنية ، ولكن هذا ليس مختصرًا بين مجرمي الإنترنت.
ولكن ماذا يعني هذا بالنسبة للشركات الصغيرة التي تستخدم PPTP في بيئات الأمن الخاصة بهم?
في بعض الحالات ، قد تكون هناك طرق لتعزيز أمان تطبيقات PPTP الحالية. على سبيل المثال ، يمكنك التبديل من MS-CHAP إلى EAP-TLS (بروتوكول المصادقة القابل للتمديد). يستخدم هذا البنية التحتية العامة للمفتاح (PKI) لمصادقة البيانات عبر نظام قائم على الشهادة.
PKI ليس للجميع. قد يستلزم إجراء التبديل الحصول على أداء أداء ، و PKI مرهق للغاية لبعض حالات العمل عن بُعد. علاوة على ذلك ، لماذا المخاطرة? بدلاً من ذلك ، كما يوصي Schneier و CloudCracker ، من المنطقي أن ننظر إلى بروتوكولات النفق الأخرى لإعداد VPN الخاص بك حولها. وهذا يعني أنه قد تضطر إلى التضحية بسهولة الاستخدام للأمن.
إيجاد البديل الصحيح لـ PPTP
لحسن الحظ ، حفز انعدام الأمن في PPTP تطوير البروتوكولات التي توفر حماية أفضل بكثير ضد التهديدات الخارجية. ربما تكون قد صادفت بعض هذه الأدوات عند استخدام VPNs المستندة إلى المستهلك ، لكنها تنطبق بنفس القدر على بيئات الأعمال.
OpenVPN هو خيار شعبي. تقدم تشفير SSL 256 بت (مقارنةً بتشفير PPTP 128 بت) ، يكاد يكون من المستحيل تصدع OpenVPN ، بقدر ما نعلم. ومع ذلك ، فإنه لا يتناسب بسلاسة مع أنظمة Windows أو Linux أو MacOS وسيتطلب بعض التكوين. غالبًا ما يساعد على جلب المتخصصين للقيام بذلك بشكل صحيح ، حيث أن الأخطاء يمكن أن تسوية المشروع بأكمله منذ البداية.
بصرف النظر عن OpenVPN ، تستخدم بعض الشركات مزيجًا من IPSEC و L2TP. إنشاء Microsoft آخر ، هذا المزيج أسهل بكثير في تطبيقه على الرف ، ويجب أن يجدها مستخدمو PPTP الحاليين مألوفًا إلى حد ما. إنها ليست آمنة تمامًا مثل OpenVPN ، ولكنها أكثر أمانًا من PPTP وهي سريعة جدًا أيضًا.
أخيرًا ، قد ترغب الشركات التي تعتمد في العمل عن بُعد وأجهزة محمولة IKEV2. إنه ليس البروتوكول الأكثر شيوعًا ، لكن IKEV2 مرن للغاية ، وإعادة الاتصال تلقائيًا إذا تم مقاطعة التشفير. استنادًا إلى IPSEC ، إنه آمن وسريع جدًا عند استخدامه مع أجهزة Android و iOS.
كل هذا يعني أن هناك بدائل قابلة للحياة لأولئك الذين يعتمدون على PPTP. بالنظر إلى الحاجة الحيوية لحماية بيانات العميل والخطر الدائم للهجمات الإلكترونية ، لا يوجد عذر لاستخدام التكنولوجيا القديمة ، والكثير من الجوانب للشركات التي تتخذ نهجًا أمنيًا استباقيًا.
ماذا يجب أن تتعلم بعد ذلك?
من محلل SOC إلى تأمين المبرمج إلى مدير الأمن – لدى فريق الخبراء لدينا 12 خطط تدريب مجانية لمساعدتك في تحقيق أهدافك. احصل على نسختك المجانية الآن.
هو PPTP آمن
VPN 0 Comments
بروتوكول PPTP VPN: هل هو آمن
PPTP هو تطبيق Microsoft VPN الذي كان موجودًا منذ Windows NT. يميل المستخدمون إلى استخدام PPTP حيث يتم تكوينه عادة على أجهزة سطح المكتب Windows مع اختصار يتذكر اسم المستخدم وكلمة المرور للوصول السريع. عندما يقترن بدقة الاسم المناسبة (تاريخيا) والآن DNS ، يمكن للمستخدمين بسهولة تصفح الشبكة للأسهم والطابعات. في النهاية الخلفية ، يتم تكوين Windows Server PPTP بواسطة مسؤول النظام مع دور التوجيه والوصول عن بُعد (RRAS). على الرغم من أن الأدوات المستخدمة لإدارة ونشر أنظمة PPTP قد تغيرت مع كل إصدار جديد من Windows ، فقد اتفق عالميًا على أن PPTP غير آمن مقارنة بالبدائل الحديثة ويضيف تكاليف دعم غير مباشرة إضافية حتى عند ترقيتها لدعم SSTP.
لم يعد بروتوكول PPTP نفسه آمنًا لأن تكسير مصادقة MS-CHAPv2 الأولية يمكن تقليله إلى صعوبة تكسير مفتاح DES 56 بت واحد ، والذي يمكن أن يكون مع أجهزة الكمبيوتر الحالية غاشمة في وقت قصير جدًا (صنع ملف كلمة مرور قوية غير ذات صلة إلى حد كبير بأمان PPTP حيث يمكن البحث في مساحة مفاتيح 56 بت بأكملها خلال قيود زمنية عملية).
المهاجم يلتقط المصافحة (وأي حركة مرور PPTP بعد ذلك) ، قم بعمل صدع غير متصل بالمصافحة واشتقاق مفتاح RC4. بمجرد اشتقاق مفتاح RC4 ، سيكون المهاجم قادرًا على فك تشفير وحللة حركة المرور التي يتم حملها في PPTP VPN. لا يدعم PPTP السرية إلى الأمام ، لذا فإن مجرد تكسير جلسة PPTP واحدة كافية لتكسير جميع جلسات PPTP السابقة باستخدام نفس بيانات الاعتماد.
يوفر PPTP حماية ضعيفة لسلامة البيانات التي يتم نقلها. لا يتحقق تشفير RC4 ، مع توفير التشفير ، من سلامة البيانات لأنه ليس تشفيرًا مصادقًا مع تشفير البيانات المرتبطة (AEAD). لا يقوم PPTP أيضًا بفحوصات تكامل إضافية على حركة المرور الخاصة بها وهي عرضة لهجمات الانزلاق بت ، هـ.ز. يمكن للمهاجم تعديل حزم PPTP مع إمكانية ضئيلة للكشف. تجعل العديد من الهجمات المكتشفة على تشفير RC4 (مثل هجوم Royal Holloway) RC4 خيارًا سيئًا لتأمين كميات كبيرة من البيانات المنقولة ، و VPNs مرشح رئيسي لمثل هذه الهجمات لأنها عادة ما تنقل كميات حساسة وكبيرة من البيانات.
منفذ PPTP
يستخدم بروتوكول النفق من نقطة إلى نقطة (PPTP) منفذ TCP 1723 وبروتوكول IP 47 تغليف التوجيه العام (GRE). قد يتم حظر المنفذ 1723 بواسطة ISP’s و Gre IP بروتوكول 47.
نقاط الضعف PPTP
راجع خبراء الأمن PPTP وأدرجوا العديد من نقاط الضعف المعروفة بما في ذلك:
MS-CHAP-V1 غير آمن بشكل أساسي
توجد أدوات يمكنها بسهولة استخراج تجزئة كلمة مرور NT من حركة مرور مصادقة MS-CHAP-V1. MS-CHAP-V1 هو الإعداد الافتراضي على خوادم Windows الأقدم
MS-CHAP-V2 ضعيف
MS-CHAP-V2 عرضة لهجمات القاموس على حزم استجابة التحدي التي تم التقاطها. توجد أدوات لكسر هذه التبادلات بسرعة
إمكانيات هجوم القوة الغاشمة
لقد ثبت أن تعقيد هجوم القوة الغاشمة على مفتاح MS-CHAP-V2 يعادل هجومًا وحشيًا على مفتاح des واحد. مع عدم وجود خيارات مدمجة لعامل متعدد/مصادقة عامل ، فإن هذا يترك تطبيقات PPTP ضعيفة للغاية.
تكاليف دعم إضافية
احذر من تكاليف الدعم الإضافية المرتبطة عادةً بعميل PPTP & Microsoft VPN.
MyWorkDrive كحل
على عكس MyworkDrive ، يتم القضاء على المخاطر الأمنية لدعم Microsoft PPTP أو SSTP VPN:
دان جوردون
دانيال ، مؤسس MyworkDrive.com ، عملت في مختلف أدوار إدارة التكنولوجيا التي تخدم المؤسسات والحكومة والتعليم في منطقة خليج سان فرانسيسكو منذ عام 1992. دانيال معتمد في Microsoft Technologies ويكتب عن تكنولوجيا المعلومات والأمن والاستراتيجية وحصل على براءة اختراع الولايات المتحدة #9985930 في شبكات الوصول عن بُعد
المشاركات الاخيرة
بروتوكول PPTP VPN: هل هو آمن?
ليس من المبالغة أن نقول أن بروتوكولات الأنفاق تحدث الفرق بين التجارة الخالية من المتاعب والفوضى المطلقة والفوضى المطلقة. تنشئ هذه الأدوات الأساسية “أنفاق” آمنة تحتوي على بيانات مشفرة أثناء مرورها عبر الشبكات الخاصة الافتراضية (VPNS).
من الناحية النظرية ، فإنهم يختتمون معلومات سرية ، ويحافظون عليها في مأمن من عيون المتطفلين. ولكن هذا ليس هو الحال دائمًا ، وقد أثبتت بعض البروتوكولات الشائعة أنها غير كافية لضمان الحماية الكافية.
دعونا نلقي نظرة على أحد تلك البروتوكولات القديمة: PPTP. لا يُنظر إلى بروتوكول النفق من نقطة إلى نقطة على نطاق واسع على أنه خيار قابل للتطبيق من قبل خبراء الأمان هذه الأيام ، ولسبب وجيه. ومع ذلك ، نظرًا لأنه مدمج في العديد من إصدارات Windows ، فلا يزال يستخدمه الشركات بشكل منتظم على شبكاتها الداخلية وتواجه العميل.
لا تكن مثل تلك الشركات. بدلاً من ذلك ، هناك الكثير من الأسباب للنظر إلى ما هو أبعد من PPTP واختيار بروتوكول آمن حقًا يحميك وبيانات عملائك. دعونا نكتشف ما هي هذه الأسباب.
PPTP: بعض الخلفية السريعة
تم إنشاء PPTP في التسعينيات من قبل المهندسين من Microsoft و Ascend ومجموعة من مقدمي الاتصالات المتنقلة مثل Nokia. مع توسيع نطاق الإنترنت عالي السرعة والتجارة الإلكترونية ، أرادت Microsoft تزويد مستخدمي Windows بأداة أساسية لتشفير بياناتهم ، وهذا ما أنشأه الفريق إلى حد كبير.
تمامًا مثل سابقتها PPP ، تعمل PPTP من خلال إنشاء حزم بيانات تشكل أساس النفق الفعلي. إنها تبرز عملية إنشاء الحزمة هذه مع أنظمة المصادقة لضمان نقل حركة المرور المشروعة عبر الشبكات. ويستخدم شكلاً من أشكال التشفير لتدافع البيانات التي تحتفظ بها الحزم.
استحوذت PPTP على مواصفات رسمية لـ RFC (RFC 2637) في عام 1999 ، ويستحق الإشارة إلى ذلك للحصول على التفاصيل الفنية. ولكن لوضع الأمور ببساطة ، تعمل في طبقة البيانات 2 ، وتستخدم تغليف التوجيه العام (GRE) كنظام إنشاء الحزم الخاص به. تستخدم الحزم منفذ IP 47 ومنفذ TCP 1723 ، ومعيار التشفير المستخدم هو Microsoft الخاص بـ MPPE الخاص.
صممت Microsoft البروتوكول للعمل في بيئات Windows اليومية ، مع انخفاض البصمة وسرعات عالية. ونتيجة لذلك ، فإن PPTP بسيط بشكل مدهش لإعداد VPNs الداخلية ، واكتسبت أتباعًا كبيرًا بين الشركات الصغيرة والمتوسطة في 2000s. لا يزال البعض منهم يعتمد على PPTP ، لكن هذه ليست خطوة ذكية. هذا هو السبب.
ما هي العيوب الأمنية التي تم تحديدها مع PPTP?
منذ بداية حياتها تقريبًا ، تعرضت PPTP من خلال الادعاءات بأنها ببساطة غير آمنة ، وأن رجل واحد مسؤول في المقام الأول عن هذه السمعة. في عام 1998 ، نشر محلل الأمن بروس شنير ورقة مهمة على PPTP ، وجعلت قراءة مروعة للمستخدمين. أو على الأقل يجب أن يكون.
وفقًا لـ Schneier ، كانت أضعف نقطة البروتوكول هي بروتوكول مصادقة التحدي/الاستجابة (CHAP) ، تليها عن كثب تشفير MPPE المستند إلى RC4.
من خلال العمل مع Mudge of Hacker Collective L0PHT Heavy Industries ، وجد Schneier أن خوارزميات التجزئة المستخدمة في تطبيقات PPTP كانت سهلة التصدع بشكل مثير للصدمة. هذا يمكن أن يسهل مجموعة من هجمات التنصت ، حيث يتتبع المتسللين كل مستخدم أثناء تنقلهم شبكات الشركات.
ذهبت مشاكل مع الفصل أعمق. كما وجد شنير ، أعطت معظم تطبيقات PPTP المهاجمين القدرة على وضع خوادم رسمية ، لتصبح عقدة للمعلومات الحساسة.
ثالثًا ، وجد المحللون أن جودة تشفير MPPE من PPTP كانت منخفضة للغاية ، مع مفاتيح يمكن كسرها بسهولة إلى حد ما ، ومجموعة متنوعة من الطرق لمديري الشبكات لتكوين الأنظمة بشكل غير صحيح – مما يؤدي إلى نقاط الضعف الأسوأ حتى.
هذه القضايا لم تتم الإجابة عليها. في الواقع ، قامت Microsoft بتحديث PPTP (PPTP الإصدار 2) ، وهو الإصدار الأكثر شيوعًا المستخدمة مع حزم Windows التي تم إصدارها منذ عام 2000. مرة أخرى ، ألقى شنير نظرة على التحديث ، ووجد بعض نقاط الضعف الخطيرة.
بينما تمت معالجة المشكلات المتعلقة بـ CHAP ، حكم شنير على أن كلمات المرور ظلت قابلية للضعف الأساسية ، مما يترك المستخدمين في خطر من هجمات تخمين كلمة المرور. وفقًا للمحللين ، فإن هذا يعني أن البروتوكول كان آمنًا بشكل أساسي مثل كلمات المرور التي يختارها المستخدمون. بمعنى آخر ، كان أمنه يعتمد على الصلاة لتجنب الخطأ البشري ، وليس استخدام أحدث معايير التشفير.
نتيجة لذلك ، هذا يعني أن Schneier لم يستطع “أن يوصي Microsoft PPTP بالتطبيقات التي يكون فيها الأمان عاملاً.”
هل تجعل هذه المشكلات PPTP عدم وجود أمن المؤسسة?
منذ إدخال تحديث PPTP ، أصبحت عيوب الأمان هذه أكثر إثارة للقلق فقط. لم تختار Microsoft الاستثمار في مزيد من التحديثات ، وقد انتقل عالم الجريمة الإلكترونية بسرعة ، مع أدوات اختراق كلمة المرور على الجرف التي لا يمكن للأشخاص في عام 1998 سوى الحلم.
على سبيل المثال ، وجدت الدراسات أن تشفير PPTP المتواضع أصبح بسيطًا تقريبًا. في Defcon 2012 ، أظهرت مجموعة Hacking Group CloudCracker أن MS-CHAPv2 (الفصل المحدث لـ PPTP) يمكن أن يكون بسهولة. ليست هناك حاجة لتوظيف مجموعة من أجهزة الكمبيوتر القوية ، ولا تستغرق العملية وقتًا طويلاً. بالتأكيد ، يتطلب معرفة فنية ، ولكن هذا ليس مختصرًا بين مجرمي الإنترنت.
ولكن ماذا يعني هذا بالنسبة للشركات الصغيرة التي تستخدم PPTP في بيئات الأمن الخاصة بهم?
في بعض الحالات ، قد تكون هناك طرق لتعزيز أمان تطبيقات PPTP الحالية. على سبيل المثال ، يمكنك التبديل من MS-CHAP إلى EAP-TLS (بروتوكول المصادقة القابل للتمديد). يستخدم هذا البنية التحتية العامة للمفتاح (PKI) لمصادقة البيانات عبر نظام قائم على الشهادة.
PKI ليس للجميع. قد يستلزم إجراء التبديل الحصول على أداء أداء ، و PKI مرهق للغاية لبعض حالات العمل عن بُعد. علاوة على ذلك ، لماذا المخاطرة? بدلاً من ذلك ، كما يوصي Schneier و CloudCracker ، من المنطقي أن ننظر إلى بروتوكولات النفق الأخرى لإعداد VPN الخاص بك حولها. وهذا يعني أنه قد تضطر إلى التضحية بسهولة الاستخدام للأمن.
إيجاد البديل الصحيح لـ PPTP
لحسن الحظ ، حفز انعدام الأمن في PPTP تطوير البروتوكولات التي توفر حماية أفضل بكثير ضد التهديدات الخارجية. ربما تكون قد صادفت بعض هذه الأدوات عند استخدام VPNs المستندة إلى المستهلك ، لكنها تنطبق بنفس القدر على بيئات الأعمال.
OpenVPN هو خيار شعبي. تقدم تشفير SSL 256 بت (مقارنةً بتشفير PPTP 128 بت) ، يكاد يكون من المستحيل تصدع OpenVPN ، بقدر ما نعلم. ومع ذلك ، فإنه لا يتناسب بسلاسة مع أنظمة Windows أو Linux أو MacOS وسيتطلب بعض التكوين. غالبًا ما يساعد على جلب المتخصصين للقيام بذلك بشكل صحيح ، حيث أن الأخطاء يمكن أن تسوية المشروع بأكمله منذ البداية.
بصرف النظر عن OpenVPN ، تستخدم بعض الشركات مزيجًا من IPSEC و L2TP. إنشاء Microsoft آخر ، هذا المزيج أسهل بكثير في تطبيقه على الرف ، ويجب أن يجدها مستخدمو PPTP الحاليين مألوفًا إلى حد ما. إنها ليست آمنة تمامًا مثل OpenVPN ، ولكنها أكثر أمانًا من PPTP وهي سريعة جدًا أيضًا.
أخيرًا ، قد ترغب الشركات التي تعتمد في العمل عن بُعد وأجهزة محمولة IKEV2. إنه ليس البروتوكول الأكثر شيوعًا ، لكن IKEV2 مرن للغاية ، وإعادة الاتصال تلقائيًا إذا تم مقاطعة التشفير. استنادًا إلى IPSEC ، إنه آمن وسريع جدًا عند استخدامه مع أجهزة Android و iOS.
كل هذا يعني أن هناك بدائل قابلة للحياة لأولئك الذين يعتمدون على PPTP. بالنظر إلى الحاجة الحيوية لحماية بيانات العميل والخطر الدائم للهجمات الإلكترونية ، لا يوجد عذر لاستخدام التكنولوجيا القديمة ، والكثير من الجوانب للشركات التي تتخذ نهجًا أمنيًا استباقيًا.
ماذا يجب أن تتعلم بعد ذلك?
من محلل SOC إلى تأمين المبرمج إلى مدير الأمن – لدى فريق الخبراء لدينا 12 خطط تدريب مجانية لمساعدتك في تحقيق أهدافك. احصل على نسختك المجانية الآن.