- ベストアンサー
PPTPによるVPNでIP、パスワードがフィッシングされる可能性はある?
- PPTPによるVPNでのIPとパスワードがフィッシングされる可能性について調査しています。
- PPTPサーバーとクライアント両方が固定IPではなく、ダイナミックDNSを使用している場合には、フィッシング攻撃のリスクがあります。
- また、DNSポイズニングにより、ダイナミックDNSのホスト名がフィッシングマシンを指す可能性もあります。
- ohkami1978
- お礼率83% (5/6)
- ネットワーク
- 回答数2
- ありがとう数16
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
PPTPの認証方法ですが、 先ほどの回答にうそがありました。申し訳ありません。 PPP接続したから暗号化通信と申しましたが、 暗号化されたVPNトンネルを先に張ってから、その中で通常のPPP認証を行います。 なので、VPNトンネルさえ張れば、盗聴等の心配は不要です。 誤った(なりすまされた)サーバWindow2003サーバなどと接続しようとした際に、 正しいIDとパスワードが攻撃者にばれてしまう可能性については、以下のようなものが考えられます。 ・なりすまされたサーバとVPNトンネルが張られた場合 ・トンネルを張ったあとのPPP認証にてなりすまされたサーバ側でパスワードとIDを推測された場合(これは普通のWindowsのリモートログインと同じでわかりづらいのを設定しておけば大丈夫だとおもうのですが・・・) 参考URL1:PPTPの説明 http://www.infraexpert.com/info/5.4adsl.htm 参考URL2:PPPの認証のしくみ http://www.cisco.com/JP/support/public/ht/tac/100/1007872/understanding_ppp_chap-j.shtml 参考URL3:WindowsサーバのPPTP設定 http://www.atmarkit.co.jp/fwin2k/verification/vpn03/vpn03_05.html ※ご心配のようなリモートアクセスでなりすまし等を防げるよう、 ワンタイムパスワードを使用したIPSec又はSSL-VPNなどを使うことが多いです。
その他の回答 (1)
- Nyaah
- ベストアンサー率51% (42/82)
PPTPのRFC等 原本をよんでないので参考までとしてください DDNSで名前解決したサーバ間とクライアント間ででVPN接続をしたい。 PPTPでPPP通信をカプセル化してIP通信をしている カプセル化した内容を自動認証MS-CHAPv2で暗号化している。 ご質問のA),B)のフィッシング攻撃などで、偽のサーバへ PPTPの接続要求を出したときに、IP/パスワードがもれるか ということですね。 可能性としてはIP/パスワードが攻撃者にわかります。 でも適切に設定していれば気にしなくていいレベルと思います。 PPTPの認証部分はPPPとほぼ同じです。PPPという接続はISDNルータでのダイアルアップ接続などに良く使われます。 認証のときは平文ですので、この時点で偽ルータにつながったら PPP接続のチャレンジパケットの中にユーザ名が含まれてますので ユーザ名は取得される恐れがあります。 しかしパスワードや相手のコンピュータ名など完全に一致してないと 認証自体成功しませんのでそんなに心配しなくていいと考えます。 認証が終わったあとの、データ部分が暗号化については、自動認証でなくMS-CHAPv2など、1つに決めておくことを推奨します。 セキュリティは自動判断・自動認証でつながりやすくするのではなく、方式を固定して、一致していないとつながらないようにするのが基本的な考え方です
お礼
詳しいご説明、大変ありがとうございます。 参考にさせていただきます。 「MS-CHAPv2」というのは、PPTPでの通信データの暗号化方式の ひとつなのでしょうか。 「認証方法」の設定項目の選択肢にあったので、 認証方法のうちの1つだと思っていました。 Nyaahさんの回答を読ませていただいて、 以下のように解釈しました。 PPTPクライアントで、認証方式を「MS-CHAPv2」に固定していた場合、 PPTP接続要求時のユーザー名は、 偽サーバーに平文で送信してしまうため、盗まれてしまうが、 パスワードは、暗号化されたパスワードを送信する(*)ため、 偽サーバーに取得されることは無い。 PPTPの仕組み上、 取得したユーザー名と、(*)で取得した暗号化済みのパスワードを利用して、正しいサーバーへPPTP接続要求を行っても、認証がとおらない。 PPTPサーバーでは、 クライアントから送信された暗号化済みパスワードを復号して確認するのではなく、 送られてきた暗号化されたパスワードと、サーバー側で設定した パスワードを暗号化したものを比較して、パスワードが正しいことを 確認している、ということなのでしょうか。 復号できてしまっては、結局パスワードがもれてしまうことに なってしまうと思うので。 PPTPクライアントで、認証方式を「自動認証」にしていた場合、 偽PPTPサーバーが、暗号化しない認証方式を要求すると、 平文でID/パスワードを送信してしまい、IP/パスワードが 漏洩してしまう。 P.S 私の質問のタイトル、本文で「IP/パスワード」と書いたところがありましたが、 正しくは「ID/パスワード」でした。大変失礼しました。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_4_thumbnail_img_sm.png)
お礼
お返事おそくなり申し訳ありません。 丁寧なご回答、ありがとうございました。 PPTPサーバーの指定をホスト名で行う場合、 DNSが偽サーバーのIPアドレスを返答してしまった場合、 (偽PPTPサーバーに接続しに行ってしまった場合) たとえ、クライアント側での設定で認証方法を 「MS-CHAPv2(128bit暗号鍵)のみ」としていても、 偽PPTPサーバーにPPTP接続用のID/パスワードが奪われてしまう 可能性がある、と解釈しました。 DSNポイズニングの可能性があったり、 設定を勝手にのっとられてしまう可能性のあるDDNSサービスなどを 利用している場合、危険性がかなりある。 PPTPサーバーの指定はIPアドレスを直接指定するのがよい、 と解釈しました。 PPTPでのVPNを行う場合、サーバーは固定IPでないと、 危険ですね。 たとえば、SSHなんかの場合、 ホスト名でSSHサーバーを指定して、 DSN攻撃により、偽サーバーに接続しに行ってしまったとしても、 「サーバーの鍵の指紋が変わりました。繋げますか?」って 警告してくれるから分かるんですけどねぇ。 PPTPにはそういう仕組みは無いんですかね。