PPTPによるVPNでIP、パスワードがフィッシングされる可能性はある？

2008/09/25 20:26

このQ&Aのポイント

PPTPによるVPNでのIPとパスワードがフィッシングされる可能性について調査しています。
PPTPサーバーとクライアント両方が固定IPではなく、ダイナミックDNSを使用している場合には、フィッシング攻撃のリスクがあります。
また、DNSポイズニングにより、ダイナミックDNSのホスト名がフィッシングマシンを指す可能性もあります。

PPTPによるVPNでIP、パスワードがフィッシングされる可能性はありますか？

ブロードバンドルーターのPPTP機能を使用してVPNを組んでいます。 PPTPの仕組みやネットーワークについて詳しくなく、すこし不安なのですが、 PPTP接続に使用するIDとパスワードがフィッシングされ、盗まれる可能性はあるでしょうか？条件は以下の通りです。 PPTPサーバー、クライアントともに固定IPではなく、PPTPサーバーのほうは、ダイナミックDNSでホスト名を割り当てています。 PPTPクライアントからは、ダイナミックDNSで割り当てたホスト名に対してPPTP接続しに行く。 (A) ダイナミックDNSの設定が、何らかの方法で、自分が意図したIP（自分の立てたPPTPサーバー）とは別のIP（フィッシングマシン）が設定されてしまう。（具体的にはDynDNSというフリーのダイナミックDNSサービスを利用しています。） (B) DNSポイズニングにより、自分の設定しているダイナミックDNSのホスト名が別のIP（フィッシングマシン）を指してしまう。以上の条件で、(A)または(B)が成立した場合、 PPTPクライアントは、フィッシングマシンへPPTP接続しに行ってしまうと思うのですが、その際、PPTP接続用のIPとパスワードが盗まれてしまうことになるのでしょうか？それともPPTPの仕組み上、盗まれることはなく、安全なのでしょうか。実際に使用しているブロードバンドルータは、バッファローのBHR-4RVというものですが、認証方法は「自動認証」に設定しています。「MS-CHAPv2(128bit暗号鍵)のみ」に設定すれば安全、などということはあるでしょうか。よろしくお願いいたします。

ohkami1978
お礼率83% (5/6)

ネットワーク
回答数2
ありがとう数16

みんなの回答 （2）
専門家の回答

質問者が選んだベストアンサー

ベストアンサー

Nyaah
ベストアンサー率51% (42/82)

2008/09/28 09:24 回答No.2

PPTPの認証方法ですが、先ほどの回答にうそがありました。申し訳ありません。　PPP接続したから暗号化通信と申しましたが、暗号化されたVPNトンネルを先に張ってから、その中で通常のPPP認証を行います。なので、VPNトンネルさえ張れば、盗聴等の心配は不要です。誤った（なりすまされた）サーバWindow2003サーバなどと接続しようとした際に、正しいIDとパスワードが攻撃者にばれてしまう可能性については、以下のようなものが考えられます。　・なりすまされたサーバとVPNトンネルが張られた場合　・トンネルを張ったあとのPPP認証にてなりすまされたサーバ側でパスワードとIDを推測された場合（これは普通のWindowsのリモートログインと同じでわかりづらいのを設定しておけば大丈夫だとおもうのですが・・・）参考URL１：PPTPの説明 http://www.infraexpert.com/info/5.4adsl.htm 参考URL２：PPPの認証のしくみ http://www.cisco.com/JP/support/public/ht/tac/100/1007872/understanding_ppp_chap-j.shtml 参考URL３：WindowsサーバのPPTP設定 http://www.atmarkit.co.jp/fwin2k/verification/vpn03/vpn03_05.html 　※ご心配のようなリモートアクセスでなりすまし等を防げるよう、ワンタイムパスワードを使用したIPSec又はSSL-VPNなどを使うことが多いです。

質問者

お礼 2008/10/03 23:23

お返事おそくなり申し訳ありません。丁寧なご回答、ありがとうございました。 PPTPサーバーの指定をホスト名で行う場合、 DNSが偽サーバーのIPアドレスを返答してしまった場合、（偽PPTPサーバーに接続しに行ってしまった場合）たとえ、クライアント側での設定で認証方法を「MS-CHAPv2(128bit暗号鍵)のみ」としていても、偽PPTPサーバーにPPTP接続用のID/パスワードが奪われてしまう可能性がある、と解釈しました。 DSNポイズニングの可能性があったり、設定を勝手にのっとられてしまう可能性のあるDDNSサービスなどを利用している場合、危険性がかなりある。 PPTPサーバーの指定はIPアドレスを直接指定するのがよい、と解釈しました。 PPTPでのVPNを行う場合、サーバーは固定IPでないと、危険ですね。たとえば、SSHなんかの場合、ホスト名でSSHサーバーを指定して、 DSN攻撃により、偽サーバーに接続しに行ってしまったとしても、「サーバーの鍵の指紋が変わりました。繋げますか？」って警告してくれるから分かるんですけどねぇ。 PPTPにはそういう仕組みは無いんですかね。

ログインすると、全ての回答が全文表示されます。

その他の回答 (1)

Nyaah
ベストアンサー率51% (42/82)

2008/09/27 08:03 回答No.1

PPTPのRFC等　原本をよんでないので参考までとしてください DDNSで名前解決したサーバ間とクライアント間ででVPN接続をしたい。 PPTPでPPP通信をカプセル化してIP通信をしているカプセル化した内容を自動認証MS-CHAPv2で暗号化している。ご質問のA),B)のフィッシング攻撃などで、偽のサーバへ PPTPの接続要求を出したときに、IP/パスワードがもれるかということですね。　可能性としてはIP/パスワードが攻撃者にわかります。でも適切に設定していれば気にしなくていいレベルと思います。 PPTPの認証部分はPPPとほぼ同じです。PPPという接続はISDNルータでのダイアルアップ接続などに良く使われます。認証のときは平文ですので、この時点で偽ルータにつながったら PPP接続のチャレンジパケットの中にユーザ名が含まれてますのでユーザ名は取得される恐れがあります。しかしパスワードや相手のコンピュータ名など完全に一致してないと認証自体成功しませんのでそんなに心配しなくていいと考えます。認証が終わったあとの、データ部分が暗号化については、自動認証でなくMS-CHAPv2など、1つに決めておくことを推奨します。セキュリティは自動判断・自動認証でつながりやすくするのではなく、方式を固定して、一致していないとつながらないようにするのが基本的な考え方です

質問者

お礼 2008/09/27 12:10

詳しいご説明、大変ありがとうございます。参考にさせていただきます。「MS-CHAPv2」というのは、PPTPでの通信データの暗号化方式のひとつなのでしょうか。「認証方法」の設定項目の選択肢にあったので、認証方法のうちの1つだと思っていました。 Nyaahさんの回答を読ませていただいて、以下のように解釈しました。 PPTPクライアントで、認証方式を「MS-CHAPv2」に固定していた場合、 PPTP接続要求時のユーザー名は、偽サーバーに平文で送信してしまうため、盗まれてしまうが、パスワードは、暗号化されたパスワードを送信する(*)ため、偽サーバーに取得されることは無い。 PPTPの仕組み上、取得したユーザー名と、(*)で取得した暗号化済みのパスワードを利用して、正しいサーバーへPPTP接続要求を行っても、認証がとおらない。 PPTPサーバーでは、クライアントから送信された暗号化済みパスワードを復号して確認するのではなく、送られてきた暗号化されたパスワードと、サーバー側で設定したパスワードを暗号化したものを比較して、パスワードが正しいことを確認している、ということなのでしょうか。復号できてしまっては、結局パスワードがもれてしまうことになってしまうと思うので。 PPTPクライアントで、認証方式を「自動認証」にしていた場合、偽PPTPサーバーが、暗号化しない認証方式を要求すると、平文でID/パスワードを送信してしまい、IP/パスワードが漏洩してしまう。 P.S 私の質問のタイトル、本文で「IP/パスワード」と書いたところがありましたが、正しくは「ID/パスワード」でした。大変失礼しました。

ログインすると、全ての回答が全文表示されます。