V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
a2z
V2EX  ›  问与答

为什么说 PPTP VPN 不安全?

  •  
  •   a2z · 2014-06-09 21:51:40 +08:00 · 63657 次点击
    这是一个创建于 3816 天前的主题,其中的信息可能已经有所发展或是发生改变。
    之前很多人问我,为什么不推荐PPTP vpn,方便快捷,128位加密也还凑合。

    请自己看吧。
    https://www.cloudcracker.com/blog/
    http://www.networksorcery.com/enp/protocol/mppe.htm
    http://www.networksorcery.com/enp/rfc/rfc3079.txt

    大概如下,认证过程为mschapv2,总key 长度为 2^56 x2 = 57bits,FPGA之类的专用硬件大概23小时内搞定,天朝超级计算机在世界前几名的可是有不少。

    MPPE的128位session key是基于mschapv2的hash生成的,套了几次md4和sha1而已,如果获得了初始认证的key,如果对整个pptp vpn抓包了的话,可以推出后续的session key从而解密整个pptp vpn流量。

    所以说PPTP vpn缺乏forward secrecy,一旦key被破解就可以解密全部之前的流量,但是ipsec的ike握手用的是diffie hellman key exchange,每次随机产生的session key可以提高forward secrecy。
    29 条回复    2018-10-27 16:25:43 +08:00
    halczy
        1
    halczy  
       2014-06-09 22:12:28 +08:00
    天朝是否学NSA那样记录上网的内容. 这要多少PB的硬盘啊.
    leavic
        2
    leavic  
       2014-06-09 22:23:00 +08:00
    明天研究一下,不过事实上我确实用大家都知道的某家VPN的PPTP很久了.
    而且是在路由上用,只是每天凌晨3点定时断一下,我感觉那是服务器自己的配置,速度真的一直很稳定.所以我一直都没感觉到大家说的PPTP被干扰的情况.
    其实各种VPN连接方式都有很多加密方法,但加密往往带来的结果就是不标准,私有协议,客户端的支持上就可能出问题,这是个两难的局面.
    a2z
        3
    a2z  
    OP
       2014-06-09 22:26:37 +08:00
    @halczy
    我可以明确的告诉你,从今年下半年开始会保存完整全部流量1-2个月或更长。
    之前只是保存5元组。
    leavic
        4
    leavic  
       2014-06-09 22:27:09 +08:00
    不过从另一个层面来说,解密的仅仅是你到VPN之间的明文数据吧,如果是https协议,那数据从你客户端出来的时候就是加密过的,这个总不至于破解了吧.
    退一万步讲,用VPN访问网络,安全性总不至于比直接在国内网络访问还差吧,不知道我这个理解有没有错,其实我们主要是怕PPTP的连接不可用,安全性上只要不低于直接使用ISP线路,我觉得还能接受.
    lizheming
        5
    lizheming  
       2014-06-09 22:29:17 +08:00
    好像记得pptp被说不安全主要是因为不能更改端口..至于为什么不能更改端口就不安全了这个我就不是很清楚了,期待其它小伙伴继续补充~
    casparchen
        6
    casparchen  
       2014-06-09 22:31:57 +08:00
    @a2z 求信息来源
    a2z
        7
    a2z  
    OP
       2014-06-09 22:40:15 +08:00
    @casparchen

    可靠来源,只是说了有文件或者通知下达到各省的运营商要求采购设备记录完整内容。
    geeklian
        8
    geeklian  
       2014-06-09 22:54:55 +08:00
    其实我只是想用google而已,并不在乎别人记录了我用google搜索什么。
    =.=!
    DreaMQ
        9
    DreaMQ  
       2014-06-09 22:57:24 +08:00 via iPad
    PPTP一般用rc之类的弱加密,已经被证实由NSA破解了
    这是算法本身的漏洞,与多少位没关系
    vvtommy
        10
    vvtommy  
       2014-06-09 23:11:12 +08:00
    @leavic 咦好像知道说的是哪个诶~
    a2z
        11
    a2z  
    OP
       2014-06-09 23:11:24 +08:00
    @DreaMQ

    你没仔细看第一个连接。
    爆破128位RC4是下下策,实际上抓到完整握手过程后只用爆破2个56bit的DES加密就能获取整个128位的RC4 key了,一旦获取了第一个key,后续的key都是通过第一个key加密的。
    ShunYea
        12
    ShunYea  
       2014-06-09 23:37:02 +08:00 via Android
    记录1到2个月啊?还是运营商来记录?
    a2z
        13
    a2z  
    OP
       2014-06-10 00:25:22 +08:00
    @ShunYea
    是的,部署在省级网络主干上,只知道这么多了
    ShunYea
        14
    ShunYea  
       2014-06-10 00:41:36 +08:00 via Android
    @a2z 原来如此,等我研究下
    lm902
        15
    lm902  
       2014-06-10 01:20:55 +08:00
    SSTP用户表示毫无压力
    findwho
        16
    findwho  
       2014-06-10 07:15:13 +08:00
    @a2z 那楼主推荐哪一种vpn,特别是通用性能比较好的,电脑上,手机上各种平台都能用的,
    Roboo
        17
    Roboo  
       2014-06-10 08:04:24 +08:00 via Android
    @a2z 我操 科学上网之余安全上网也是必备了
    Zhang
        18
    Zhang  
       2014-06-10 08:13:03 +08:00
    stealth vpn表示毫无压力。
    clippit
        19
    clippit  
       2014-06-10 11:39:12 +08:00
    那还有什么比较通用的 VPN 方案呢?L2TP+IPSec?抑或是 AnyConnect?
    a2z
        20
    a2z  
    OP
       2014-06-10 11:49:42 +08:00
    @clippit
    ikev1的l2tp/ipsec vpn也被干扰的厉害,ikev2的cisco vpn还可以。
    openvpn vpn+obfs patch把padding调大点应该还能撑一段时间
    Tinet
        21
    Tinet  
       2014-06-10 12:48:25 +08:00
    你和CNCERT是什么关系,不怕被送快递么
    Leafove
        22
    Leafove  
       2014-06-10 13:02:57 +08:00
    记录1,2个月的数据...
    我只想知道理论上要绝对规避大家都使用PPTP后造成储存饱和的情况需要采购多少设备
    billlee
        23
    billlee  
       2014-06-10 13:32:39 +08:00   ❤️ 3
    PPTP 除了加密算法上的漏洞,协议本身的安全性也有很多问题,通过破解加密算法攻击是下下策。PPTP 的安全性完全依赖于上面跑的 PPP, 而 PPP 是设计来做点对点连接的,用到 Internet 上很不合适。

    首先 PPP 没有对完整性的保护,链路上的分组可以被篡改和重放。没有完整性保护的加密是没有意义的。比如,攻击者可以窃听,然后修改 IP payload 上的 destination 后重放(这也是早期针对 WEP 的攻击方法之一)。

    另外 PPP 的控制消息也没有任何保护,对于配置不当(或者实现不当)的 PPTP, 可以通过伪造 ECP 包,把 ms-chap, mppe 降级成 pap, 无加密。

    这些问题在 RFC3193 - Securing L2TP using IPsec 里都提到了。另外 Windows 下 L2TP/IPSec 实现也不完全安全,它没有可以把 IPSec 指定为 required 的选项,通过干扰 IKE, 可以把 L2TP/IPSec 降级成没有 IPSec 保护的 L2TP.
    a2z
        24
    a2z  
    OP
       2014-06-11 09:18:09 +08:00
    @Leafove

    你觉得"重视网络安全"后还会缺这点钱么,gfw盖到现在你知道一共花了几百亿么?
    这点钱从每年比军费还高的维稳费里出,根本不算什么,实在没钱了打只老虎就有了。
    marklrh
        25
    marklrh  
       2014-06-11 11:21:42 +08:00
    Cisco IPSec还应该是挺安全的
    scola
        26
    scola  
       2014-06-11 11:38:37 +08:00
    “这点钱从每年比军费还高的维稳费里出,根本不算什么,实在没钱了打只老虎就有了。” 亮了
    kavinyao
        27
    kavinyao  
       2014-06-11 13:32:48 +08:00
    我朝的超计算机这么厉害,却用在阻止社会进步上,想想真是心寒啊。
    gissimo
        28
    gissimo  
       2014-11-09 12:34:01 +08:00 via iPhone
    请教lz,静态秘钥的openvpn ikev1,ikev2,SSTP安全性哪个好?现在似乎openvpn用静态,和ikev速度都很快,没被干扰
    hyrz
        29
    hyrz  
       2018-10-27 16:25:43 +08:00 via Android
    术业有专攻吧,直接走的国外付费 V PN,省心

    topvpn.github.io
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5844 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 06:20 · PVG 14:20 · LAX 22:20 · JFK 01:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.