Hvorfor vi ikke anbefaler, at du bruger PPTP, L2TP og IKEV1
Contents
Vi elsker at bringe dig dette indhold og håber, det hjælper med at holde dig sikker og sikker online. Du er velkommen til at dele det med dine venner også.
Bruger L2TP/IPSEC med en offentlig præ-delet nøgle sikker?
Nej, det er ikke sikkert og bør kun bruges, hvor sikkerhed ikke kræves/vigtig E.g. Hvis du streamer indhold, der kræver en IP på et andet sted. At forstå, hvorfor det ikke er sikkert, læses videre.
For bred kompatibilitet med klientenheder og let opsætning bruger L2TP/IPSEC-tjenesten en foruddelt nøgle til godkendelse. Denne nøgle offentliggøres ofte på et VPN -udbyders websted og er derfor tilgængelig af nogen.
Denne foruddelte nøgle bruges dog ikke til at kryptere dataene mellem din enhed og VPN-serverne, kun til at autentificere serveren til klientenheden. En passiv modstanders aflytning af forbindelsen er ikke i stand til at dekryptere tunneldataene. Der findes dog en risiko for en aktiv MITM (mand i det midterste angreb), hvor modstanderen efterligger VPN -serveren og derefter er i stand til at dekryptere og aflæse på forbindelsen.
Denne kapacitet kræver en vis teknisk raffinement fra angriberen, men muligheden er meget reel, og derfor anbefaler vi kraftigt, at kunder, der kræver sikkerhed, bruger en OpenVPN -baseret VPN -service. Desuden indikerer lækkede NSA -præsentationer frigivet af “Der Spiegel” -publikationen, at Ike udnyttes på en ukendt måde for at dekryptere IPsec -trafikken.
Yderligere teknisk info
IPSEC bruger en protokol kaldet IKE (Internet Key Exchange), der bruges til at oprette en sikkerhedsforening (SA) mellem klienten og serveren. Ike har to faser i den første fase, klienten og serveren genererer og udveksler navneord, hvorefter de udfører en Diffie -Hellman -nøgleudveksling. Begge sider bruger derefter Nounce, Diffie-Hellman delte hemmelighed og den foruddelte nøgle til at generere IKE-tasterne. Disse ike -nøgler bruges derefter i den anden fase til at generere IPsec SA’erne, der indeholder de sessionstaster, der bruges til at kryptere tunneldataene.
På grund af Diffie-Hellman-operationen i fase 1 ville en passiv aflytte ikke være i stand til at udlede det samme sæt sessionstaster, der blev brugt til at kryptere tunneldataene. Som nævnt ovenfor er et aktivt MITM-angreb imidlertid muligt på grund af brugen af den foruddelte nøgle, i hvilket tilfælde modstanderen ville være i stand til at aflytte eller endda injicere ondsindede data i forbindelsen.
relaterede artikler
- Min IP lækkes af WebRTC. Hvordan deaktiverer jeg det?
- Støtter du BlackBerry?
- I hvilke lande har du servere / hvor er dine servere placeret?
- Antitracker FAQ
- Hvor kan jeg downloade VPN -softwaren til min computer?
Har stadig spørgsmål?
Kom i kontakt, så vender vi tilbage til dig om et par timer.
Interesseret i privatlivets fred?
Læs vores seneste privatlivsnyheder, og hold dig opdateret om IVPN-tjenester.
Hvorfor vi ikke anbefaler, at du bruger PPTP, L2TP og IKEV1
Når det kommer til at vælge den rigtige VPN -protokol til dig, kan det være en vanskelig opgave. Der er så mange at vælge imellem, og hvad hver enkelt kan være lidt teknisk at forstå, især for dem, der bare ønsker at holde deres internetaktivitet så privat som muligt. Derfor er det vigtigt at vide, at der er nogle VPN -protokoller, der tilbydes, men ikke sikre og bør undgås, hvis det er muligt. Disse protokoller inkluderer PPTP, L2TP og IKEV1. I denne artikel vil vi gå dybtgående om, hvorfor du ikke skal bruge disse protokoller.
PPTP
Point-to-punkt Tunneling Protocol (PPTP) er en af de mest tilgængelige VPN-protokoller omkring, hovedsageligt på grund af dens brede kompatibilitet på adskillige enheder. Det har eksisteret siden år 2000, og siden da er fuldstændigt blevet diskrediteret af internetsikkerhedsindustrien, da den har en række velkendte sikkerhedsfejl.
De sårbarheder, som PPTP har, er forårsaget af PPP -godkendelsesprotokollen og MPPE -protokollen, der bruges. Dette inkluderer den måde, hvorpå både MPPE og PPP bruges til session nøgleinstitution.
MS-chap-v1, der bruges til godkendelse, er grundlæggende usikker, med forskellige tilgængelige værktøjer, der let kan vælge nt-adgangskode hashes fra fanget MS-chap-v1-kommunikation. MS-Chap-V2 er også lige så sårbar, men denne gang til ordbogangreb på udfordringsresponspakker. Igen er værktøjer let tilgængelige til at udføre disse angreb.
MPPE -protokollen bruger RC4 Stream Cypher til kryptering. Dette betyder, at der ikke er nogen måde at autentificere chiffertekststrømmen på, hvilket betyder, at den er sårbar over for et bit-flippende angreb. Dette betyder, at en angriber kan ændre trafikken uden mulighed for at blive opdaget.
Som du kan se, er PPTP fuldt kompromitteret og bør undgås for enhver pris. Mens kompatibiliteten er nyttig, er den simpelthen ikke længere sikker.
L2tp/ipsec
Lag 2 Tunneling Protocol (L2TP) er en anden meget populær protokol, der har haft nogle iboende sikkerhedssvagheder. Det bruges ganske ofte af mobilbrugere på grund af den oprindelige support på både Android og iOS. Dens oprindelse kommer fra den førnævnte PPTP, og dens seneste iteration L2TPV3 kommer bagfra i 2005.
L2TP specificerer faktisk ikke nogen obligatorisk kryptering, men er afhængig af PPPs MPPE -krypteringsmetode. Derfor er det næsten altid parret med IPsec, der understøtter op til AES-256. Et stort problem med IPsec er, at den bruger UDP -port 500, og det gør det temmelig let at blokere ved firewalls. L2TP/IPSEC er ret sikker, men der er rumblings fra ligesom Edward Snowden og John Gilmore (et grundlæggende medlem af EFF), at protokollen er blevet svækket af NSA, hvilket betyder, at det ikke nødvendigvis er det bedste valg, når det kommer til sikkerhed. Nylige undersøgelser beviser, at L2TP/IPSEC lider af de samme sårbarheder som almindelige IKEV1 IPSEC og på sin side ikke bør bruges mere. Du kan finde ud af mere om emnet her.
Samlet set ser L2TP/IPSEC ud som en stor protokol på overfladen, men i dag bør man undgå. Det er støtte på lignende af iOS og Android er uden tvivl nyttig, men det er ikke rigtig værd at det på bekostning af sikkerhed.
IKEV1
Den første version af Internet Key Exchange (IKE) -protokollen er det, der lagde grundlaget for IKEV2 til at blive en af de mest sikre og hurtigste VPN -protokoller, der i øjeblikket er tilgængelige. Den første version har dog iboende sikkerhedssårbarheder, der ikke kan undgås.
Lækkede NSA -præsentationer, der blev frigivet af Der Spiegel, viser, at Ike udnyttes på en aktuelt ukendt måde at dekryptere ipsec -trafik. Forskere opdagede også et Logjam-angreb, der kunne bryde 1024-bit Diffie-Hellman-kryptering. Dette var en enorm opdagelse, da det betød, at 66% af VPN -servere, 18% af de øverste millioner HTTP’er og 26% af SSH -serverne var sårbare. Selvom denne opdagelse er ret omtvistet i internetsikkerhedsindustrien, skønt det er værd at overveje, når du vælger en VPN -protokol.
Som nævnt ovenfor gør den nylige opdagelse af nøgle-genbrugssårbarhed over IKEV1 protokollen virkelig usikker. Udnyttelse af den nøgle-genbrugssårbarhed på skjul.ME -servere er ikke mulig på grund af vores design af IKEV1 -implementering (vi bruger ikke den sårbare RSA -baserede godkendelsesmekanisme). På grund af denne kendsgerning er vores IKEV2 -implementering også sikker.
Når IKEV2 eksisterer, hvilket forbedrede sig umådeligt i løbet af den første version, er der ingen grund til ikke at gå med det. IKEV2 medførte dem som nægtelse af serviceangreb modstandsdygtighed, SCTP -support og Nat Traversal.
IKEV1 bør undgås på dette tidspunkt, vi anbefaler stærkt brugen af IKEV2 som din vigtigste VPN -protokol.
Bedre protokoller til brug
Vi tilbyder mange forskellige VPN -protokoller, der har bedre sikkerhed end dem, der er anført her. Vi vurderer meget IKEV2, og det er vores anbefalede VPN -protokol for de fleste brugere. Men OpenVpn er en anden god mulighed. Det kan være lidt fiddly at konfigurere manuelt, og det er bestemt ikke for begyndere brugere. Men det er tilgængeligt på en bred vifte af enheder og kendt sikker.
Softher er et andet godt valg, men kan kun virkelig bruges gennem et dedikeret program. Det tilbyder god sikkerhed og hastighed, men forvent ikke at bruge det på alle dine enheder. Endelig er SSTP en god mulighed. Det er værd at huske, at Microsofts proprietære protokol, men specifikationen er klar nok, og der skal ikke være nogen problemer med det. . For Windows -brugere er det et godt valg, da det støttes naturligt og en leg at oprette.
skjule.ME VPN -apps
Den nemmeste måde at oprette en VPN -forbindelse på din enhed ville være at bruge skjulet.mig VPN -app. Det er tilgængeligt på Windows, MacOS, iOS, Android og Windows Phone. På vores app kan du vælge mellem alle VPN -protokoller, som vi tilbyder, inklusive endda Softher. Så du kan bare oprette forbindelse til din valgte server og ikke behøver at bekymre dig om at forblive sikker. Du kan endda konfigurere faldback-protokoller, i tilfælde af at den protokol efter dit valg går ned.
Det er uden engang at nævne de andre funktioner, der er tilgængelige med vores apps, såsom en kill-switch, split tunneling, firewalling og evnen til at stoppe DNS-leaks. Vi har endda Chrome- og Firefox -udvidelser til rådighed.
Vi elsker at bringe dig dette indhold og håber, det hjælper med at holde dig sikker og sikker online. Du er velkommen til at dele det med dine venner også.
Her på Hide.Mig vi handler om internetfrihed, og vi er glade for at være i stand til at bringe det til alle. Derfor giver vi dig en 30-dages pengene-tilbage-garanti på vores premium-plan. Ingen spørgsmål stillet og ingen logfiler registreret.
Hvis du har spørgsmål, skal du føle dig at kontakte vores 24/7 supportteam enten på [email protected] eller via live chat.