[freebsd] Нагруженный VPN сервер

[Anton Yuzhaninov]

On 10/4/18 3:03 PM, Eugene Grosbein wrote:
> MS-CHAPv2 handshake не выполняется каждую секунду. Нужно либо иметь возможность активно
> вмешиваться в канал, чтобы инициировать переустановку соединения, либо иметь возможность
> длительного непрерывного мониторинга канала, чтобы поймать момент handshake.
> 
> Не то, чтобы это было неосуществимо, но овчинка должна стоить выделки и если вас пасут люди,
> достаточно для этого мотивированные и имеющие необходимые ресурсы - да, лучше PPtP не использовать.
> И вообще лучше стеганографию применять в дополнение к шифрованию.
> 
> Но закрыть от любопытных глаз WiFi-трафик ноутбука в открытой сети кафешки на полчаса,
> причём трафик с шифрованными протоколами типа https/ssh/RDP внутри - PPtP достаточен.
> 

Как раз таки в кафешке с WiFi поймать handshake несложно - достаточно
запустить сниффер до того как ты придешь и установишь pptp подключение. Да
даже если и после - WiFi можно заглушить на время больше таймаута pptp сессии,
не говоря уже о более тонких аттаках на WiFi подключение.

Даже если трафик внутри шифрованный перехват pptp-хендшейка позволит узнать
пароль, который потом можно использовать для доступа ко внутренней сети (если
VPN используется для доступа в какую то закрытую локалку).

Ну и зачем использовать DES, когда есть современные криптооллгаритмы.