[freebsd] Нагруженный VPN сервер
Eugene Grosbein
eugen at grosbein.net
Thu Oct 4 22:03:37 EEST 2018
05.10.2018 1:44, Anton Yuzhaninov пишет:
> On 10/4/18 2:00 PM, Eugene Grosbein wrote:
>> Во-вторых, вся "небезопасность" PPtP заключается только в том, что сложность его взлома
>> зависит от сложности используемых паролей (а не должна бы). Если использовать не словарные
>> пароли для PPtP, то никакой небезопасности в нём нет.
>
> PPtP использует MSCHAPv2 для авторизации. Вот что писали про его безопасность
> в 2001м году: https://penguin-breeder.org/pptp/download/pptp_mschapv2.pdf
>
> On a system equipped with a 550MHz Intel Celeron, we can test around 2^16
> passwords per second. At this speed, the remaining password space is searched in
> 2^36·2^−16 secs = 2^20 secs ≈ 2^14 mins ≈ 12 days
>
> D pdf-ке выше речь идет про пароли длинной до 8 символов, но на современных
> CPU (и тем более GPU) это будет сильно быстрее чем 2^16 паролей в секунду.
Пароли до 8 символов для VPN? Я как раз про это и говорил, сложность взлома
зависит от сложности паролей, а не должна. Не вижу противоречия.
Есть какие-то проблемы использовать гораздо более длинные пароли?
> Плюс есть online сервис, который позволяет для перебора DES использовать FPGA:
> https://crack.sh/
> https://crack.sh/pptp/
> Про скорсть пишут: this means that it can exhaustively search the entire
> 56-bit DES keyspace in ... ≈ 26 hours
Я в курсе. На практике использовать этот сервис нетривиально.
The first thing you’ll need to do is obtain the network traffic for the PPTP VPN MS-CHAPv2 handshake you’d like to crack.
Next you’ll use chapcrack in order to parse and extract the PPTP VPN MS-CHAPv2 handshake.
MS-CHAPv2 handshake не выполняется каждую секунду. Нужно либо иметь возможность активно
вмешиваться в канал, чтобы инициировать переустановку соединения, либо иметь возможность
длительного непрерывного мониторинга канала, чтобы поймать момент handshake.
Не то, чтобы это было неосуществимо, но овчинка должна стоить выделки и если вас пасут люди,
достаточно для этого мотивированные и имеющие необходимые ресурсы - да, лучше PPtP не использовать.
И вообще лучше стеганографию применять в дополнение к шифрованию.
Но закрыть от любопытных глаз WiFi-трафик ноутбука в открытой сети кафешки на полчаса,
причём трафик с шифрованными протоколами типа https/ssh/RDP внутри - PPtP достаточен.
More information about the freebsd
mailing list