j'aimerais connaitre vos avis sur la sécurité de PPTP/MPPE. Je lis un
peu tout et n'importe quoi, que c'est secure, que ca vaut
rien.. J'aimerais savoir ce qu'il en est pour de vrai.
Il semblerait néanmoins que le protocole d'authentification entre en
jeu. Quel est celui par défaut sous Windows ? Sous Linux je met le mot
de passe dans le fichier chap-secrets (il me semble que c'est du
ms-chapv2)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Snarf
On 2005-02-08, Bruno Bonfils wrote:
Bonjour,
j'aimerais connaitre vos avis sur la sécurité de PPTP/MPPE. Je lis un peu tout et n'importe quoi, que c'est secure, que ca vaut rien.. J'aimerais savoir ce qu'il en est pour de vrai. d'apres ce que j'en fait c'est pas trop crade (je suis pas expert a ce
niveau mais bon ) en dehors des trous "classique" du pptp amha, c'est mppe qui est le point noir. on sait pas trop commence ça fonctionne
j'utilise pptp +mppe-128 pour faire du nagios d'un rezo full-Win2003 je doit dire que ça marche pas trop mal, du moins avec les paquets debian testing
Il semblerait néanmoins que le protocole d'authentification entre en jeu. Quel est celui par défaut sous Windows ? Sous Linux je met le mot de passe dans le fichier chap-secrets (il me semble que c'est du ms-chapv2) yep c'est du v2
Merci d'avance !! de nada
Snarf
-- "L'IRQ a été inventée par Murphy ; le partage des IRQ, par quelqu'un voulant le defier " echo '[q]sa[ln0=aln256%Pln256/snlbx]sb3135071790101768542287578439snlbxq' | dc
On 2005-02-08, Bruno Bonfils <asyd-no-spam@debian-fr.org> wrote:
Bonjour,
j'aimerais connaitre vos avis sur la sécurité de PPTP/MPPE. Je lis un
peu tout et n'importe quoi, que c'est secure, que ca vaut
rien.. J'aimerais savoir ce qu'il en est pour de vrai.
d'apres ce que j'en fait c'est pas trop crade (je suis pas expert a ce
niveau mais bon ) en dehors des trous "classique" du pptp amha, c'est
mppe qui est le point noir. on sait pas trop commence ça fonctionne
j'utilise pptp +mppe-128 pour faire du nagios d'un rezo full-Win2003
je doit dire que ça marche pas trop mal, du moins avec les paquets debian
testing
Il semblerait néanmoins que le protocole d'authentification entre en
jeu. Quel est celui par défaut sous Windows ? Sous Linux je met le mot
de passe dans le fichier chap-secrets (il me semble que c'est du
ms-chapv2)
yep c'est du v2
Merci d'avance !!
de nada
Snarf
--
"L'IRQ a été inventée par Murphy ; le partage des IRQ, par quelqu'un
voulant le defier "
echo '[q]sa[ln0=aln256%Pln256/snlbx]sb3135071790101768542287578439snlbxq' | dc
j'aimerais connaitre vos avis sur la sécurité de PPTP/MPPE. Je lis un peu tout et n'importe quoi, que c'est secure, que ca vaut rien.. J'aimerais savoir ce qu'il en est pour de vrai. d'apres ce que j'en fait c'est pas trop crade (je suis pas expert a ce
niveau mais bon ) en dehors des trous "classique" du pptp amha, c'est mppe qui est le point noir. on sait pas trop commence ça fonctionne
j'utilise pptp +mppe-128 pour faire du nagios d'un rezo full-Win2003 je doit dire que ça marche pas trop mal, du moins avec les paquets debian testing
Il semblerait néanmoins que le protocole d'authentification entre en jeu. Quel est celui par défaut sous Windows ? Sous Linux je met le mot de passe dans le fichier chap-secrets (il me semble que c'est du ms-chapv2) yep c'est du v2
Merci d'avance !! de nada
Snarf
-- "L'IRQ a été inventée par Murphy ; le partage des IRQ, par quelqu'un voulant le defier " echo '[q]sa[ln0=aln256%Pln256/snlbx]sb3135071790101768542287578439snlbxq' | dc
Jacques Caron
Salut,
On 08 Feb 2005 20:53:38 GMT, Bruno Bonfils wrote:
j'aimerais connaitre vos avis sur la sécurité de PPTP/MPPE. Je lis un peu tout et n'importe quoi, que c'est secure, que ca vaut rien.. J'aimerais savoir ce qu'il en est pour de vrai.
Il semblerait néanmoins que le protocole d'authentification entre en jeu. Quel est celui par défaut sous Windows ? Sous Linux je met le mot de passe dans le fichier chap-secrets (il me semble que c'est du ms-chapv2)
La grosse problématique est en effet au niveau de la méthode d'authentification utilisée. Sans même parler de PAP ou CHAP (qui de toutes façons ne fournissent pas de clef utilisable pour le chiffrement), MS-CHAPv1 et v2 ne sont pas considérés comme sûrs non plus. Il vaut mieux se tourner vers de bonnes méthodes implémentées dans le cadre d'EAP (PEAP, EAP-TLS, EAP-TTLS, EAP-SRP...). Après, j'avoue que je ne sais pas trop ce que donne MPPE lui-même.
Pas mal de documents sur le sujet sur la page de Bernard Aboba sur la sécurité des réseaux IEEE 802: http://www.drizzle.com/~aboba/IEEE/
(qui soit dit en passant a salement pris de l'ampleur depuis la dernière fois que j'y suis passé!)
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Salut,
On 08 Feb 2005 20:53:38 GMT, Bruno Bonfils <asyd-no-spam@debian-fr.org>
wrote:
j'aimerais connaitre vos avis sur la sécurité de PPTP/MPPE. Je lis un
peu tout et n'importe quoi, que c'est secure, que ca vaut
rien.. J'aimerais savoir ce qu'il en est pour de vrai.
Il semblerait néanmoins que le protocole d'authentification entre en
jeu. Quel est celui par défaut sous Windows ? Sous Linux je met le mot
de passe dans le fichier chap-secrets (il me semble que c'est du
ms-chapv2)
La grosse problématique est en effet au niveau de la méthode
d'authentification utilisée. Sans même parler de PAP ou CHAP (qui de
toutes façons ne fournissent pas de clef utilisable pour le chiffrement),
MS-CHAPv1 et v2 ne sont pas considérés comme sûrs non plus. Il vaut mieux
se tourner vers de bonnes méthodes implémentées dans le cadre d'EAP (PEAP,
EAP-TLS, EAP-TTLS, EAP-SRP...). Après, j'avoue que je ne sais pas trop ce
que donne MPPE lui-même.
Pas mal de documents sur le sujet sur la page de Bernard Aboba sur la
sécurité des réseaux IEEE 802:
http://www.drizzle.com/~aboba/IEEE/
(qui soit dit en passant a salement pris de l'ampleur depuis la dernière
fois que j'y suis passé!)
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
j'aimerais connaitre vos avis sur la sécurité de PPTP/MPPE. Je lis un peu tout et n'importe quoi, que c'est secure, que ca vaut rien.. J'aimerais savoir ce qu'il en est pour de vrai.
Il semblerait néanmoins que le protocole d'authentification entre en jeu. Quel est celui par défaut sous Windows ? Sous Linux je met le mot de passe dans le fichier chap-secrets (il me semble que c'est du ms-chapv2)
La grosse problématique est en effet au niveau de la méthode d'authentification utilisée. Sans même parler de PAP ou CHAP (qui de toutes façons ne fournissent pas de clef utilisable pour le chiffrement), MS-CHAPv1 et v2 ne sont pas considérés comme sûrs non plus. Il vaut mieux se tourner vers de bonnes méthodes implémentées dans le cadre d'EAP (PEAP, EAP-TLS, EAP-TTLS, EAP-SRP...). Après, j'avoue que je ne sais pas trop ce que donne MPPE lui-même.
Pas mal de documents sur le sujet sur la page de Bernard Aboba sur la sécurité des réseaux IEEE 802: http://www.drizzle.com/~aboba/IEEE/
(qui soit dit en passant a salement pris de l'ampleur depuis la dernière fois que j'y suis passé!)
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Samuel
La grosse problématique est en effet au niveau de la méthode d'authentification utilisée. Sans même parler de PAP ou CHAP (qui de toutes façons ne fournissent pas de clef utilisable pour le chiffrement), MS-CHAPv1 et v2 ne sont pas considérés comme sûrs non plus. Il vaut mieux se tourner vers de bonnes méthodes implémentées dans le cadre d'EAP (PEAP, EAP-TLS, EAP-TTLS, EAP-SRP...). Après, j'avoue que je ne sais pas trop ce que donne MPPE lui-même.
Bonjour,
Justement j'ai longtemps cherché et hésité mais j'ai mis en place cette solution : passerelle Debian Woody avec serveur pptp + ppp_mppe_mppc pour des clients WinXP (je limite qd même les accès sur l'IP source).
En fait, si je ne dis pas de bêtises, la sécurité dépend surtout de l'OS sur lequel est installé pptp. La faiblesse de PPTP provenant surtout des risques de sniffing lors de l'authentification, je pense que le risque est 'limité' lors d'utilisation nomade à partir de connections PPP. Sur un serveur Win2000, t'as intérêt à avoir tous les patchs à jour si tu veux mettre pptp accessible d'Internet .... je pense que le risque est plus limité avec une passerelle Linux bien configurée (pas trop de services entre autres) ... dans ce cas il ne reste que les attaques dictionnaires sur le demon pptp ou le sniffing si on se connecte depuis un Lan externe.
J'espère ne pas avoir dit trop de bêtises.
Samuel.
La grosse problématique est en effet au niveau de la méthode
d'authentification utilisée. Sans même parler de PAP ou CHAP (qui de
toutes façons ne fournissent pas de clef utilisable pour le
chiffrement), MS-CHAPv1 et v2 ne sont pas considérés comme sûrs non
plus. Il vaut mieux se tourner vers de bonnes méthodes implémentées
dans le cadre d'EAP (PEAP, EAP-TLS, EAP-TTLS, EAP-SRP...). Après,
j'avoue que je ne sais pas trop ce que donne MPPE lui-même.
Bonjour,
Justement j'ai longtemps cherché et hésité mais j'ai mis en place cette
solution : passerelle Debian Woody avec serveur pptp + ppp_mppe_mppc
pour des clients WinXP (je limite qd même les accès sur l'IP source).
En fait, si je ne dis pas de bêtises, la sécurité dépend surtout de l'OS
sur lequel est installé pptp.
La faiblesse de PPTP provenant surtout des risques de sniffing lors de
l'authentification, je pense que le risque est 'limité' lors
d'utilisation nomade à partir de connections PPP.
Sur un serveur Win2000, t'as intérêt à avoir tous les patchs à jour si
tu veux mettre pptp accessible d'Internet .... je pense que le risque
est plus limité avec une passerelle Linux bien configurée (pas trop de
services entre autres) ... dans ce cas il ne reste que les attaques
dictionnaires sur le demon pptp ou le sniffing si on se connecte depuis
un Lan externe.
La grosse problématique est en effet au niveau de la méthode d'authentification utilisée. Sans même parler de PAP ou CHAP (qui de toutes façons ne fournissent pas de clef utilisable pour le chiffrement), MS-CHAPv1 et v2 ne sont pas considérés comme sûrs non plus. Il vaut mieux se tourner vers de bonnes méthodes implémentées dans le cadre d'EAP (PEAP, EAP-TLS, EAP-TTLS, EAP-SRP...). Après, j'avoue que je ne sais pas trop ce que donne MPPE lui-même.
Bonjour,
Justement j'ai longtemps cherché et hésité mais j'ai mis en place cette solution : passerelle Debian Woody avec serveur pptp + ppp_mppe_mppc pour des clients WinXP (je limite qd même les accès sur l'IP source).
En fait, si je ne dis pas de bêtises, la sécurité dépend surtout de l'OS sur lequel est installé pptp. La faiblesse de PPTP provenant surtout des risques de sniffing lors de l'authentification, je pense que le risque est 'limité' lors d'utilisation nomade à partir de connections PPP. Sur un serveur Win2000, t'as intérêt à avoir tous les patchs à jour si tu veux mettre pptp accessible d'Internet .... je pense que le risque est plus limité avec une passerelle Linux bien configurée (pas trop de services entre autres) ... dans ce cas il ne reste que les attaques dictionnaires sur le demon pptp ou le sniffing si on se connecte depuis un Lan externe.
J'espère ne pas avoir dit trop de bêtises.
Samuel.
Bruno Bonfils
[..]
Tout d'abord merci de vos réponses, je suis déjà un peu plus avancé, pas autant que j'aurais voulu mais bon ;p
Sur un serveur Win2000, t'as intérêt à avoir tous les patchs à jour si tu veux mettre pptp accessible d'Internet .... je pense que le risque [..]
Dans mon cas le VPN Concentrator est un Cisco series 3000. J'ai bien tout un tas d'autres protocoles à dispo (dont IPSec que je vais finir par mettre) mais le probléme c'est que mes utilisateurs du VPN sont sur beaucoup d'OS (des linux, sans pour autant maitriser cependant), et j'ai rien trouvé de plus pratique que le PPTP.
Merci encore
-- _o<
[..]
Tout d'abord merci de vos réponses, je suis déjà un peu plus avancé,
pas autant que j'aurais voulu mais bon ;p
Sur un serveur Win2000, t'as intérêt à avoir tous les patchs à jour si
tu veux mettre pptp accessible d'Internet .... je pense que le risque
[..]
Dans mon cas le VPN Concentrator est un Cisco series 3000. J'ai bien
tout un tas d'autres protocoles à dispo (dont IPSec que je vais finir
par mettre) mais le probléme c'est que mes utilisateurs du VPN sont
sur beaucoup d'OS (des linux, sans pour autant maitriser cependant),
et j'ai rien trouvé de plus pratique que le PPTP.
Tout d'abord merci de vos réponses, je suis déjà un peu plus avancé, pas autant que j'aurais voulu mais bon ;p
Sur un serveur Win2000, t'as intérêt à avoir tous les patchs à jour si tu veux mettre pptp accessible d'Internet .... je pense que le risque [..]
Dans mon cas le VPN Concentrator est un Cisco series 3000. J'ai bien tout un tas d'autres protocoles à dispo (dont IPSec que je vais finir par mettre) mais le probléme c'est que mes utilisateurs du VPN sont sur beaucoup d'OS (des linux, sans pour autant maitriser cependant), et j'ai rien trouvé de plus pratique que le PPTP.
Merci encore
-- _o<
Cedric Blancher
Le Tue, 08 Feb 2005 20:53:38 +0000, Bruno Bonfils a écrit :
j'aimerais connaitre vos avis sur la sécurité de PPTP/MPPE. Je lis un peu tout et n'importe quoi, que c'est secure, que ca vaut rien.. J'aimerais savoir ce qu'il en est pour de vrai.
http://www.schneier.com/paper-pptpv2-fr.html
Tout y est écrit, à savoir que la faiblesse majeure vient de l'authentification MSCHAPv2.
-- FC> Même pas pour le couper en quatre dans le sens de la longueur ? il n'est pas question de découpage. et puis ce sont trois nouveaux groupes qui seront proposés, pas quatre -+- BC in Guide du Neuneu sur Usenet : Capillosection, halte ! -+-
Le Tue, 08 Feb 2005 20:53:38 +0000, Bruno Bonfils a écrit :
j'aimerais connaitre vos avis sur la sécurité de PPTP/MPPE. Je lis un
peu tout et n'importe quoi, que c'est secure, que ca vaut
rien.. J'aimerais savoir ce qu'il en est pour de vrai.
http://www.schneier.com/paper-pptpv2-fr.html
Tout y est écrit, à savoir que la faiblesse majeure vient de
l'authentification MSCHAPv2.
--
FC> Même pas pour le couper en quatre dans le sens de la longueur ?
il n'est pas question de découpage.
et puis ce sont trois nouveaux groupes qui seront proposés, pas quatre
-+- BC in Guide du Neuneu sur Usenet : Capillosection, halte ! -+-
Le Tue, 08 Feb 2005 20:53:38 +0000, Bruno Bonfils a écrit :
j'aimerais connaitre vos avis sur la sécurité de PPTP/MPPE. Je lis un peu tout et n'importe quoi, que c'est secure, que ca vaut rien.. J'aimerais savoir ce qu'il en est pour de vrai.
http://www.schneier.com/paper-pptpv2-fr.html
Tout y est écrit, à savoir que la faiblesse majeure vient de l'authentification MSCHAPv2.
-- FC> Même pas pour le couper en quatre dans le sens de la longueur ? il n'est pas question de découpage. et puis ce sont trois nouveaux groupes qui seront proposés, pas quatre -+- BC in Guide du Neuneu sur Usenet : Capillosection, halte ! -+-
