Menú
Está libre
registro
hogar  /  Navegantes/ ¿Se puede piratear un servicio VPN? Descripción detallada. Cómo funciona el cifrado de VPN

¿Se puede piratear una VPN? Descripción detallada. Cómo funciona el cifrado de VPN

Un artículo de revisión sobre el uso de túneles privados modernos en enrutadores de una popular marca letona. Hablaré sobre cómo configurar un servidor vpn en mikrotik basado en tecnologías como l2tp, ipsec, openvpn, pptp, gre y eoip. En el camino, hablaré brevemente sobre qué son estas tecnologías, en qué se diferencian y también compararé el rendimiento del micrótico con todos los túneles especificados.

Este artículo es parte de un ciclo único de artículos sobre.

Introducción

Inmediatamente quiero llamar su atención sobre el hecho de que este artículo será más una descripción general que una transferencia de experiencia real, ya que yo mismo lo uso con mayor frecuencia como servidor vpn... Sin embargo, también tuvimos que lidiar con vpn en Mikrotik. Configurado como servidor pptp para conexión clientes remotos y l2tp para combinar dos o más micróticos en una red privada común. Principalmente de forma predeterminada, sin profundizar en las complejidades de la configuración.

Para aquellos que quieran estar bien versados ​​en redes, pero por alguna razón aún no saben cómo hacerlo, les recomiendo esta serie de artículos - redes para los más pequeños.

Opciones del servidor VPN en Mikrotik

Con las opciones del servidor vpn en Mikrotik, todo es complicado :) En el sentido de que hay muchas implementaciones de vpn, lo cual no es tan fácil de elegir si no lo entiendes en detalle tecnologías de red... No sé mucho de ellos, pero me parece que capto un poco la esencia. Intentaré explicarte con mis propias palabras cuáles son las diferencias.

Hay 2 soluciones fundamentalmente diferentes para organizar conexiones entre dos micróticos y suscriptores externos:

  1. Cree un túnel l2 de sitio a sitio con Túnel EOIP... El mas simple y manera rápida combinar dos micróticos. Si no se utiliza el cifrado, se obtendrán las conexiones vpn más rápidas. Se requieren direcciones IP blancas dedicadas en ambos dispositivos. Estas conexiones se utilizan para conectar oficinas o sucursales a través de VPN. En general, no funciona a través de NAT. También agregaré aquí Túnel GRE aunque funciona en l3 y usa enrutamiento, funciona del mismo sitio a sitio.
  2. Conexiones VPN de nivel l3 basadas en tecnología Cliente-Servidor, como PPTP, L2TP, SSTP, OpenVPN... Estas conexiones se utilizan tanto para combinar oficinas como para conectar empleados remotos. Solo una dirección IP blanca en el lado del servidor es suficiente para crear conexiones VPN. Funciona a través de NAT.

Te contaré un poco más sobre cada uno de los tipos de conexiones vpn por separado.

  • GRE Tunnel: utiliza el protocolo gre simple para construir una VPN básica de sitio a sitio no segura. Desarrollado por CISCO. Le permite encapsular paquetes diferentes tipos dentro de túneles ip. En palabras simples eso es lo que hace. Toma sus datos con todos los encabezados, los empaqueta en un paquete, los transmite a través de Internet al otro extremo, donde este paquete se analiza nuevamente en los datos originales. Para los usuarios finales de la red, todo parece que se están comunicando a través de una red local.
  • Túnel EOIP: Ethernet sobre IP es un protocolo exclusivo de MikroTik RouterOS que crea un túnel Ethernet entre dos enrutadores a través de una conexión IP. Utiliza el protocolo GRE para la transferencia de datos. La diferencia fundamental entre el túnel eoip es que funciona en l2 y transmite tramas directamente, mientras que el túnel gre opera con paquetes y utiliza enrutamiento. Espero haberlo explicado correctamente y no mentir. Por qué mikrotik decidió crear su propia implementación de túnel a través del protocolo gre, no lo sé. Quizás simplemente no hay soluciones similares, por lo que se les ocurrió su propia implementación.
  • PPTP son las siglas de Point-to-Point Tunneling Protocol. Para el trabajo utiliza el protocolo GRE, admite cifrado. En un momento, pptp ganó gran popularidad debido al hecho de que Windows lo soportaba desde la versión 95. Hoy en día no se recomienda usar pptp, ya que es muy fácil de descifrar. La clave de cifrado se obtiene del volcado de tráfico en poco tiempo (varias horas) y se descifra todo el tráfico. Quizás esto pueda resolverse de alguna manera usando diferentes protocolos de encriptación, pero no entendí este tema en detalle. Por mi parte, decidí que pptp se puede usar como la solución más simple donde no hay mayores requisitos de seguridad y el descifrado del tráfico, si lo hay, no traerá ningún problema. PPTP es compatible no solo con Windows, sino también con Android listo para usar, lo cual es muy conveniente. Es muy fácil de configurar.
  • L2TP: protocolo de túnel de capa 2. A pesar de que el nombre indica l2, en realidad en la red ip funciona en nivel de sesión, es decir, l3. Utiliza el puerto udp 1701. Puede funcionar no solo en redes IP. De fábrica, como pptp, admite la autenticación de usuario. No proporciona cifrado por sí solo. Puede usar ipsec para cifrar el tráfico, que se considera muy seguro y no tiene vulnerabilidades graves. Actualmente es compatible con casi todos los dispositivos y sistemas listos para usar, al igual que pptp. La configuración no es mucho más difícil. En general, recomiendo usar este tipo de túnel encriptado para organizar vpn.
  • OpenVPN es una implementación muy popular de conexiones cifradas. La principal ventaja es la flexibilidad de configuración. Por ejemplo, una característica muy interesante de openvnp es enviar rutas directamente al cliente cuando está conectado. He estado usando servidores openvpn durante mucho tiempo. Cuando necesité pasar una ruta al cliente pptp por primera vez, no pude averiguar cómo configurarlo. Resultó que, de cualquier manera, simplemente no sabe cómo. Tuve que usar herramientas de terceros. Desafortunadamente, por alguna razón desconocida, en mikrotik openvpn no es compatible con el protocolo udp, lo que reduce en gran medida las posibilidades de usar este servidor vpn. Funciona mucho más lento en tcp que en udp. La compresión de encabezados de paquetes tampoco funciona. Entonces, en el caso general, no tiene sentido usar un servidor openvpn en microtic, a menos que lo necesite por alguna razón específica.
  • SSTP - Protocolo de túnel de sockets seguros - fue introducido por Microsoft en Windows Vista SP1. La principal ventaja es que está integrado en Windows, puede usar el puerto 443, lo que a veces ayuda a evitar los firewalls. Considerado muy seguro, utiliza SSL 3.0. De las desventajas, hasta donde yo sé, en Mikrotik es muy exigente con los recursos del procesador. En piezas débiles de hierro, dará la velocidad más baja en comparación con todas las demás conexiones vpn. Por esta razón, no lo consideraré en absoluto en mi revisión.

De todo lo que se ha escrito, se puede sacar la siguiente conclusión. En general, es mejor usar vpn basado en l2tp + ipsec en microtics. Razones principales:

  1. Sencillez y facilidad de personalización.
  2. Fuerte cifrado.
  3. Soporte para conexiones l2tp por casi todos los dispositivos y sistemas modernos. No es necesario instalar software adicional.
  4. Adecuado para combinar oficinas y empleados remotos: conexiones de sitio a sitio y de cliente a sitio.

Si necesita el máximo rendimiento sin cifrado, cree conexiones entre redes u oficinas utilizando el túnel EOIP de Mikrotik.

Comencemos a configurar y probar conexiones vpn en mikrotik.

Configurando el túnel l2tp en mikrotik

Primero, configuremos un túnel l2tp simple sin cifrado y midamos la velocidad. Para configurar l2tp vpn en mikrotik, siga estos pasos.

Vamos a la sección IP -> Piscina y agregue un grupo de direcciones IP para el túnel vpn.

Cree un perfil para el túnel en PPP -> Perfiles.

Las otras pestañas tienen configuraciones predeterminadas. A continuación, creamos un usuario en PPP -> Secretos.

Ahora iniciamos el servidor l2tp. Ir a PPP y presiona el botón Servidor L2TP.

Establecemos la configuración para el servidor l2tp. no habilite ipsec todavía.

El servidor VPN está configurado. Ahora crearemos una interfaz persistente para él con el fin de crear rutas estáticas basadas en él. Ir a Interfaces y crear.

Toque final. Creamos una ruta estática con la que los abonados red local los servidores podrán conectarse a un suscriptor de la red local detrás de un enrutador remoto a través de vpn. Ir a IP -> Rutas y agregue una ruta.

Agregamos una ruta estática para que los clientes de este enrutador sepan dónde contactar a los suscriptores de una red local remota para vpn.

Eso es todo. Configuramos l2tp en un micrótico remoto y así conectamos 2 redes locales usando vpn. En la lista de direcciones IP con una conexión l2tp activa en el servidor y el cliente, debería ver las direcciones IP del rango especificado en el servidor para la red vpn: 10.10.5.1-10.10.5.100. Ahora puede hacer ping a redes opuestas desde ambas redes.

Tengo computadoras portátiles conectadas a ambos micróticos para la prueba. Ahora mediré la velocidad de conexión usando iperf3. Detrás del enrutador m-remoto en el portátil 10.30.1.254 inicio el servidor y en 10.20.1.3 el agente. Ejecutamos la prueba de la velocidad de la conexión vpn:

velocidad media 194 Mbps... Hablando francamente, no entendí por qué una velocidad tan baja. Mi banco de pruebas está montado en dos enrutadores micróticos y un interruptor micrótico gigabit entre ellos. Se esperaba ver algo alrededor de 500 Mbps. Permítame recordarle que el túnel aún no está encriptado. Al mismo tiempo, la carga de procesadores en enrutadores estaba en la región del 90-95%. Ese es, de hecho, el techo de estas piezas de hierro.

Ahora intentemos habilitar el cifrado ipsec y medir la velocidad con él.

Configuración de ipsec

Con la configuración de ipsec para l2tp, me quedé atascado por un tiempo. Hay muchas instrucciones en la red, pero todas están desactualizadas. Al final resultó que, en las últimas versiones de firmware, ejecutar ipsec en la configuración predeterminada no es fácil, pero muy simple. Para hacer esto, solo necesita especificar en las propiedades del servidor l2tp Utilice IPsec- sí y establezca una contraseña.

Todo configuraciones requeridas ipsec se generará automáticamente. En el agente, haga lo mismo: habilite el cifrado ipsec y especifique una contraseña.

Después de conectar el cliente l2tp, verá líneas similares en el registro:

19:17:00 l2tp, ppp, info l2tp-out1: inicializando ... 19:17:00 l2tp, ppp, info l2tp-out1: conectando ... 19:17:03 ipsec, info iniciar nueva fase 1 (Identidad Protección): 192.168.13.197<=>192.168.13.1 19:17:04 ipsec, información ISAKMP-SA establecida 192.168.13.197-192.168.13.1 spi: 407844c0ceb5d2ab: 46ce7ffb25495efd 19:17:07 l2tp, ppp, info l2tp-out1: autenticado 19:17:07pp l2tp, p , info l2tp-out1: conectado

Para asegurarse de que el cifrado ipsec funcione, puede ir a la sección IP -> Ipsec -> SA instaladas y mire el contador de paquetes cifrados. Si crece, entonces todo está en orden, el tráfico está encriptado.

Ibid en la sección Compañeros remotos puede ver la lista de clientes remotos para los que funciona el cifrado ipsec, consulte los algoritmos utilizados. Todas las configuraciones de ipsec predeterminadas se encuentran en esta sección. Puede verlos, cambiarlos o agregar nuevos perfiles. De forma predeterminada, se utilizan el algoritmo de autorización sha1 y el cifrado AES. Puede cambiar estos parámetros si está familiarizado con el tema. No seré inteligente, no profundicé en el tema del cifrado. Qué algoritmos son los más rápidos y seguros, no lo sé.

Probemos la velocidad de la conexión vpn l2tp + ipsec.

Lo tengo así 26 Mbps promedio. En este caso, la carga del procesador es del 100%. Poco. Estas piezas de hierro no son adecuadas para canales encriptados. En estas pruebas, no se cargan con nada más que la prueba en sí. En condiciones reales, la velocidad será aún menor.

Hemos terminado con la configuración de vpn basada en l2tp + ipsec. Continuemos configurando el resto de túneles vpn y comparemos su velocidad.

Configurando el servidor pptp en mikrotik

La configuración de un servidor pptp no difiere fundamentalmente de l2tp. La lógica y secuencia de acciones es la misma. Primero, creamos un grupo de direcciones en IP -> Piscina para la red vpn. Usaré el mismo grupo que creamos anteriormente.

Este perfil contiene la configuración de cifrado predeterminada para la que está deshabilitado. Primero verifiquemos la velocidad del canal vpn sin ellos. Cree un nuevo usuario para una conexión pptp remota.

Encienda el servidor pptp en la sección PPP.

Ahora creemos en la lista de interfaces Enlace de servidor PPTP por analogía con el apartado anterior.

Y finalmente, agregue una ruta estática a la red remota a través de conexión pptp.

La configuración del servidor pptp está completa. En el firewall, deberá abrir lo siguiente para las conexiones entrantes de la interfaz externa:

  • Puerto TCP 1723
  • Protocolo GRE

Vamos a configurar el cliente pptp.

cliente pptp

Vamos al enrutador remoto y configuramos una conexión a través del cliente pptp allí. Vamos, como siempre, a la sección PPP y añadir Cliente PPTP... En la pestaña General no tocamos nada, pero en Dial Out indicamos la dirección del servidor pptp y el nombre de usuario para la conexión.

Agregue una ruta estática a una oficina remota a través de un túnel vpn.

Todo esta listo. Activamos la conexión pptp e intentamos hacer ping a las direcciones en la red local. Puede asegurarse de que el cifrado esté deshabilitado en el estado de la conexión pptp en el cliente.

Ahora verifiquemos la velocidad de la conexión vpn a través de pptp.

Mismo 194 Mbps que en l2tp sin cifrar al 100% de carga de CPU. En general, fue un poco extraño ver exactamente los mismos números. Hice las pruebas varias veces, pero el resultado fue siempre el mismo en todas partes. Sin cifrado, no hay diferencia de velocidad entre las conexiones l2tp y pptp.

Ahora habilitemos el cifrado en pptp en el servidor y observemos la velocidad. Para hacer esto, indicamos explícitamente en el perfil pptp para que se utilice el cifrado. Ir a PPP -> Perfiles y editar nuestro perfil.

Comprobemos el estado del cliente de que el cifrado está funcionando.

Estoy probando la velocidad de una conexión VPN a través de pptp con el cifrado habilitado.

Resultó en promedio 71 Mbps... No es un mal resultado en comparación con el cifrado ipsec en l2tp. Como dije anteriormente, el servidor pptp es muy adecuado cuando el cifrado no es necesario en absoluto o se permite la posibilidad de que se descifre el tráfico cifrado. Pero al mismo tiempo, todavía está cerrado con encriptación y todos los que pasen no podrán ver nada. Como mínimo, debe eliminar el tráfico y, de alguna manera, seleccionar una clave utilizando un diccionario o la fuerza bruta. No sé exactamente cómo se implementa esto en la práctica. No estudié la pregunta.

Pasemos al servidor openvpn en Mikrotik. Es muy curioso mirar las pruebas de velocidad de este tipo de conexiones vpn.

Configurando el servidor openvpn en Mikrotik

No hay nada complicado en configurar un servidor openvpn en mikrotik, excepto por un matiz con los certificados. Para alguien que nunca ha trabajado con ellos, todo puede parecer demasiado confuso. Además, microtic en sí no contiene ningún medio para crear certificados de servidor y cliente. Debe utilizar utilidades de terceros. Si tiene una máquina Linux, puede usar mis instrucciones para.

Si no tienes máquinas linux, pero todavía está configurado para generar un túnel vpn usando openvpn en microtic, luego tratemos la configuración más a fondo. En primer lugar, necesitamos una distribución openvpn para Windows. Puede descargarlo desde el enlace: https://openvpn.net/community-downloads/. Estaremos interesados ​​en Windows Installer.

Realizamos la instalación en nombre del administrador y especificamos en el proceso un componente llamado Scripts de gestión de certificados EasyRSA 2.

Ir al directorio C: \ Archivos de programa \ OpenVPN... Transferimos la carpeta desde allí easy-rsa en otro lugar para que no tenga que tropezar constantemente con UAC, lo que no le permitirá trabajar silenciosamente en archivos de programa. Me mude a D: \ tmp \ easy-rsa... Cambiar el nombre del archivo vars.bat.sample v vars.bat... Lo abrimos para editarlo y lo llevamos a algo como lo siguiente.

Para aquellos que no entienden, estas son solo variables que especifiqué para mis necesidades. Allí se puede escribir cualquier cosa, no es imprescindible para nuestra tarea. No puedes cambiar nada en absoluto, pero déjalo como está. Crea una carpeta en el directorio teclas... A continuación, corre línea de comando del administrador y muévase al directorio especificado D: \ tmp \ easy-rsa.

Respondemos las preguntas planteadas y completamos la creación del certificado raíz. Aparecerá en la carpeta D: \ tmp \ easy-rsa \ keys... A continuación, creamos un certificado para el servidor openvpn con el comando - build-key-server nombre del servidor.

Ahora generemos un certificado para el cliente. Solo tengo un cliente en forma de micrótico remoto. Creas exactamente todo lo que necesitas. Usamos el comando nombre_certificado de clave de compilación.

Con la creación de certificados finalizada. Todos los tenemos en el directorio de claves. En el microtic, que actuará como un servidor openvpn, debe transferir los archivos:

  • ca.crt
  • ovpnserver.crt
  • ovpnserver.key

Importamos certificados de los archivos agregados. Ir a Sistema -> Certificados e importar primero ca.crt, después ovpnserver.crt y ovpnserver.key.

Debería verse algo como esto. Ahora comencemos a configurar un servidor openvpn en mikrotik. Creemos un perfil separado para él en PPP -> Perfiles.

Todas las configuraciones son predeterminadas. Utilizo Ip Pool como dirección local y remota, que creé al principio de la configuración de l2tp. Agregar un usuario remoto para openvpn a PPP -> Secretos.

Vamos a la sección PPP y haga clic en Servidor OVPN... Indicamos la configuración y el certificado ca descargado.

Esto completa la configuración del servidor openvpn en Mikrotik. Por defecto, se utilizará el protocolo de cifrado. BF-128-CBC... Se puede cambiar en las propiedades del cliente y en la lista de todos los cifrados admitidos en las propiedades del servidor vpn.

Para que funcione la configuración especificada del servidor openvpn, debe abrir el puerto tcp entrante 1194 en el firewall. Ahora configuraremos el cliente openvpn y probaremos la velocidad de conexión a través de vpn basado en openvpn.

cliente openvpn

Para configurar el cliente openvpn en mikrotik, debe transferir allí los certificados generados en el paso anterior. Específicamente, estos archivos son:

  • m-remote.crt
  • m-remote.key

Importamos, así como en el servidor, el certificado de estos archivos. Tenga en cuenta que debe haber caracteres KT frente al nombre del certificado.

Ahora configura el cliente openvpn. Ir a PPP y añadir Cliente OVPN.

Agregue una ruta estática para acceder a los recursos de la red remota detrás del servidor openvpn.

Todo esta listo. Puede conectarse y probar la velocidad de la conexión vpn a través de openvpn.

Resultó en promedio 24 Mbps al 100% de la carga de la CPU. El resultado es comparable a l2tp + ipsec. Me sorprendió un poco el resultado. Pensé que sería peor que l2tp, pero en realidad es lo mismo. Personalmente, me gusta la opción openvpn de manera más general, aunque debido a la configuración limitada de openvpn en microtik, las ventajas de openvpn son difíciles de realizar. Permítanme recordarles que lo probé con el cifrado BF-128-CBC, es decir, pez globo.

Aquí está el resultado con AES-128-CBC: 23 Mbps, aproximadamente lo mismo.

Con cliente-servidor implementaciones vpn resolvió los servidores en mikrotik. Ahora veamos la velocidad l2-vpn en forma de túnel eoip.

Configuración del túnel EOIP + Ipsec

Configurar red vpn basado en EOIP en Mikrotik. Aquí debe comprender una diferencia importante con respecto a todas las configuraciones anteriores que hicimos anteriormente. El túnel EOIP opera en el nivel 12, es decir, ambos segmentos de la red se considerarán en la misma red física. El espacio de direcciones para ambos será el mismo. En mi ejemplo, esto es 10.20.1.0/24. Debe haber un solo servidor DHCP para ambas redes. En mi caso, permanecerá encendido servidor móvil.

Creamos un túnel EOIP a m-server. Ir a Lista de interfaces -> Túnel EoIP y agregue uno nuevo.

Desde la configuración, es suficiente especificar solo la dirección remota del segundo micrótico. La nueva interfaz EoIP debe agregarse al puente local junto con las interfaces físicas.

Pasamos al control remoto micrótico y allí hacemos todo igual, solo que especificamos otra Dirección Remota.

Esto es suficiente para que el túnel EoIP funcione de inmediato. Su condición será RS.

En el segundo micrótico, la interfaz EoIP también debe agregarse al puente local con el resto de interfaces.

La forma más sencilla de comprobar que todo está en orden es dhcp a la dirección IP del esclavo m para la interfaz del puente. Debería obtener una dirección IP del servidor DHCP en el servidor M, siempre que ya no haya otros servidores DHCP en la red. Lo mismo ocurrirá con las máquinas locales en la red detrás de m-slave. Recibirán direcciones IP del servidor dhcp al servidor m.

Ahora, verifiquemos el rendimiento de un túnel vpn basado en EoIP.

Muestro el resultado máximo que obtuve - 836 Mbps... Por alguna razón, en diferentes pruebas, la velocidad flotó en el rango entre 600-850 Mbps. Para que la velocidad cambie, fue necesario deshabilitar y volver a habilitar la interfaz EoIP. La velocidad es impresionante. Al mismo tiempo, el procesador no está cargado al 100%. Es decir embotellamiento no él. Parece que me encontré con el rendimiento de la red. Permítame recordarle que aquí no hay encriptación ni enrutamiento de tráfico. Canal l2 directo entre dos micróticos a través de EoIP vpn.

Agreguemos el cifrado Ipsec al túnel EoIP y observemos la velocidad. Para hacer esto, cambiamos la configuración del canal en ambos micróticos. Agregue la contraseña de Ipsec y las direcciones locales, desactive Fast Path.

Curso online "Ingeniero de redes"

Si desea aprender a construir y mantener redes confiables y de alta disponibilidad, le recomiendo que eche un vistazo al curso en línea "Ingeniero de redes" en OTUS. eso programa del autor combinado con práctica remota en equipos reales y un certificado académico de Cisco! Los estudiantes adquieren habilidades prácticas para trabajar con equipos utilizando un laboratorio en línea remoto que opera sobre la base de un socio de capacitación: RTU MIREA: routers Cisco 1921, Cisco 2801, Cisco 2811; conmutadores Cisco 2950, ​​Cisco 2960. Características del curso:
  • El curso contiene dos trabajos de diseño.
  • Los estudiantes están inscritos en la Academia oficial de Cisco (OTUS, Cisco Academy, ID 400051208) y tienen acceso a todas las partes del curso CCNA Routing and Switching;
  • Los estudiantes pueden realizar el examen y recibir, junto con el certificado OTUS, otro certificado del curso "CCNA Routing and Switching: Scaling Networks";
Compruébelo usted mismo en la prueba de acceso y consulte el programa para obtener más detalles.

Divide y vencerás: Hack MS-CHAPv2 garantizado

Alejandro Antipov

En la vigésima conferencia de Defcon, David Hulton y yo hicimos una presentación sobre el hack de MS-CHAPv2. Esta publicación proporciona una descripción general aproximada de lo que cubrimos en nuestra charla.


En la vigésima conferencia de Defcon, David Hulton presentó una presentación sobre el truco MS-CHAPv2. Esta publicación proporciona una descripción general aproximada de lo que cubrimos en nuestra charla.

¿Por qué MS-CHAPv2?

La primera pregunta obvia es por qué entramos en MS-CHAPv2 dada la sensación de que Internet no debería depender de este protocolo. Desafortunadamente, incluso como un protocolo desactualizado y objeto de críticas generalizadas, sigue utilizándose en todas partes. Lo más notable es el uso de MS-CHAPv2 en PPTP VPN. También se utiliza mucho en las configuraciones de WPA2 Enterprise, especialmente cuando se basa en sus propiedades de autenticación mutua. Para nuestra charla, hemos compilado una lista de cientos de proveedores de VPN que dependen de PPTP. Incluye ejemplos notables como iPredator, The Pirate Bay VPN, que supuestamente está diseñado para proteger las comunicaciones de la vigilancia gubernamental.

Creemos que MS-CHAPv2 sigue siendo tan frecuente ya que los investigadores anteriores de posibles debilidades del protocolo se han centrado principalmente en los ataques de diccionario. Combinando esta limitación de la investigación con el número extremadamente amplio de clientes que admiten el protocolo y su compatibilidad con el sistema operativo, queda claro por qué esta solución, que requiere la menor cantidad de movimientos corporales por parte del usuario, es tan tentadora.

¿Ahora que?

1) Todos los usuarios y proveedores de soluciones PPTP VPN deben comenzar a migrar a otro protocolo VPN de inmediato. El tráfico PPTP debe considerarse sin cifrar.

2) Las empresas que dependen de las propiedades de autenticación mutua de MS-CHAPv2 para conectarse a sus servidores WPA2 RADIUS deben comenzar a migrar a una solución alternativa de inmediato.

En muchos casos, las grandes empresas han optado por utilizar IPSEC-PSK sobre PPTP. Si bien PPTP ahora aparentemente está pirateado, IPSEC-PSK es probablemente incluso más vulnerable a un vector de ataque de diccionario que PPTP. PPTP al menos requiere que un atacante espíe el tráfico de red activo para lanzar un ataque de diccionario fuera de línea, mientras que una VPN IPSEC-PSK en modo agresivo esencialmente emite hash a cualquier atacante que se conecte.

Dadas las soluciones disponibles en la actualidad, implementar cualquier cosa de forma segura necesita cierta validación de certificado. Esto es para la configuración de OpenVPN o para usar IPSEC en modo certificado en lugar de PSK.

Red privada virtual(Red Privada Virtual, en adelante simplemente VPN) le permite crear en Internet, un túnel virtual seguro de un dispositivo a otro... Si accede a la red a través de un túnel de este tipo, todos los demás incluido su proveedor se vuelve muy difícil hacer un seguimiento de sus acciones.

Los servicios VPN también ayudan a reemplazar su ubicación física con cualquier otro dato, lo que le permite acceder a servicios que están bloqueados para usuarios de ciertas regiones por geografía. Usando una VPN le permite proteger la confidencialidad (los datos permanecen secretos) y la integridad (los datos permanecen sin cambios) de los mensajes transmitidos a través de la red.

Conectarse a una VPN es bastante sencillo. Primero, el usuario se conecta, se conecta a los servidores del proveedor, luego establece una conexión VPN con el servidor VPN usando el cliente ( programa especial instalado en la computadora del usuario). A continuación, el servicio VPN recibe las páginas solicitadas por el usuario y se las transmite a través de un túnel seguro. Esto asegura que los datos y la privacidad del usuario estén protegidos cuando se trabaja en línea.

¿Cómo funciona el cifrado de VPN?

El protocolo VPN es un conjunto de reglas para la transmisión y el cifrado de datos. La mayoría de los servicios VPN brindan a sus clientes varios protocolos VPN para elegir, los más comunes son el protocolo de túnel punto a punto (PPTP), el protocolo de túnel de capa dos (L2TP), el protocolo de seguridad de Internet (IPSec) y OpenVPN (SSL / TLS). )).

No hay forma de explicar cómo las VPN protegen la privacidad del usuario sin hablar de cifrado. Los servicios de VPN utilizan un método especial de procesamiento de datos (cifrado) para hacer que los datos sean legibles (texto sin formato) completamente ilegible (texto cifrado) para cualquiera que pueda interceptarlos. El algoritmo (cifrado) determina cómo se lleva a cabo exactamente el cifrado y descifrado de datos dentro del marco de un protocolo VPN particular. Los protocolos VPN utilizan estos algoritmos criptográficos para cifrar sus datos y mantenerlos confidenciales.

Cada uno de estos protocolos VPN tiene sus propias fortalezas y debilidades, dependiendo del algoritmo criptográfico respectivo. Algunos servicios VPN permiten a los usuarios elegir ellos mismos uno de los cifrados disponibles. Hay tres tipos de cifrado: simétrico, asimétrico y hash.

El cifrado simétrico utiliza la misma clave tanto para el cifrado como para el descifrado de datos. El cifrado asimétrico utiliza dos claves, una para el cifrado y la otra para el descifrado. La siguiente tabla compara estos tipos de cifrado entre sí.

Parámetro Cifrado simétrico Cifrado asimétrico
Teclas Una clave para múltiples entidades Una entidad tiene una clave pública y la otra tiene una clave privada
Intercambio de llaves Necesario camino seguro enviando y recibiendo claves El propietario conserva la clave privada, la clave pública está disponible para todos los demás
Velocidad Mas facil y rapido Más duro y más lento
Fiabilidad Más fácil de piratear Más difícil de piratear
Escalabilidad Bien Aun mejor
Uso Para cifrar cualquier cosa Solo claves y firmas digitales
Opciones de seguridad Garantizando la confidencialidad Garantizar la confidencialidad, la autenticación y la prevención de rechazos.
Ejemplos de DES, Tipple DES, AES, Blowfish, IDEA, RC4, RC5 y RC6 Algoritmo RSA, ECC, DSA y Diffie-Hellman

La criptografía asimétrica viene al rescate cuando necesita superar las limitaciones inherentes a la criptografía simétrica (como se muestra en la tabla anterior). Whitfield Diffie y Martin Hellman fueron parte del primer grupo de investigación que trabajó en la mejora del cifrado simétrico, y fueron ellos quienes desarrollaron el algoritmo de cifrado asimétrico conocido como Algoritmo Diffie - Hellman.

Es un algoritmo criptográfico popular que subyace a muchos protocolos VPN, incluidos HTTPS, SSH, IPsec y OpenVPN. Con este algoritmo, dos partes, que nunca se han conocido antes, pueden discutir una clave privada incluso en los casos en que la comunicación se realiza a través de una red pública no segura (por ejemplo, Internet).

El hash es un cifrado unidireccional (irreversible) que se utiliza para proteger la integridad de los datos transmitidos. Muchos protocolos VPN utilizan algoritmos hash para validar los mensajes enviados a través de la VPN. Los ejemplos incluyen MD5, SHA-1 y SHA-2. Sin embargo, MD5 y SHA-1 ya no se consideran seguros.

Los servicios VPN pueden ser pirateados, pero es muy, muy difícil. Si no usa una VPN, sus posibilidades de ser atacado por piratas informáticos son mucho mayores.

¿Alguien puede piratear el servicio VPN?

Los servicios VPN siguen siendo una de las formas más confiables de proteger la privacidad en línea de los usuarios. Sin embargo, debe recordarse que cualquier cosa puede ser pirateada, especialmente si usted es un objetivo valioso y sus enemigos tienen suficiente fuerza, tiempo y dinero. Afortunadamente, la mayoría de los usuarios de VPN ocasionales no son tales objetivos y, por lo tanto, es poco probable que atraigan demasiada atención.

Para piratear una conexión VPN, necesita descifrar el cifrado y, para ello, debe aprovechar las vulnerabilidades en el sistema o el algoritmo, o robar la clave de cifrado de una forma u otra. Los piratas informáticos y los criptoanalistas utilizan los ataques criptográficos para extraer texto sin formato de su versión cifrada en ausencia de una clave de cifrado. Sin embargo, descifrar el cifrado requiere una gran cantidad de recursos informáticos y tiempo; literalmente, puede llevar años resolver este problema.

A menudo intentan robar la clave de cifrado, y esto es comprensible: es mucho más fácil que resolver el cifrado. Este es el método que utilizan los piratas informáticos en primer lugar. Todo depende no solo de las matemáticas, sino de una combinación de varios factores, incluidos trucos técnicos, poder computacional, trampas, órdenes judiciales y puertas traseras, sobornos y otros métodos sucios. Y todo porque resolver cifrados es una tarea muy difícil y que requiere muchos recursos.

Vulnerabilidades de VPN conocidas

El infame Edward Snowden y especialistas en la seguridad informática en más de una ocasión, se ha afirmado que la NSA (Agencia de Seguridad Nacional de EE. UU.) ha descifrado el cifrado utilizado para proteger la mayor parte del tráfico de Internet, incluido el tráfico de VPN. El material de Snowden dice que la NSA descifra el tráfico VPN interceptando el tráfico cifrado y transmitiendo los datos a computadoras potentes, que luego devuelven la clave.

Los expertos en seguridad informática Alex Halderman y Nadia Heninger presentaron un informe convincente de que la NSA puede descifrar grandes volúmenes de tráfico HTTPS, SSH y VPN con un ataque Logjam dirigido a los principales usos del algoritmo Diffie - Hellman.

La NSA debe su éxito a una vulnerabilidad en la implementación del algoritmo Diffie-Hellman. La esencia de esta vulnerabilidad es que los programas de cifrado utilizan números primos estandarizados. Halderman y Heninger argumentan que por varios cientos de millones de dólares estadounidenses, se puede construir una computadora que sea lo suficientemente poderosa como para descifrar un único cifrado Diffie-Hellman de 1024 bits. Se necesitará aproximadamente un año para crear una computadora de este tipo, en cuanto a la cantidad requerida para esto; desde el punto de vista del presupuesto anual de la NSA, nada es imposible en ella.

Por desgracia, da la casualidad de que no todos los números primos (menos de 1024 bits) se utilizan comúnmente en las aplicaciones cifradas de todos los días, incluidas las VPN. Como resultado, resulta aún más fácil descifrar dichos algoritmos. Como dijo Bruce Schneier, “Las matemáticas son buenas, pero no se pueden piratear. Pero el código es otro asunto ".

¿Deberías seguir usando VPN?

Halderman y Heninger aconsejan a las VPN que cambien a claves de cifrado Diffie-Hellman de 2048 bits o incluso más complejas, y han preparado un tutorial sobre cómo usarlas con TLS. El Grupo de trabajo de ingeniería de Internet (IETF) también aconseja utilizar versiones más recientes protocolos que requieren secuencias más largas de números primos.

Los piratas informáticos pueden romper las claves de cifrado Diffie-Hellman si tienen una longitud menor o igual a 1024 bits (aproximadamente 309 caracteres). ¡Descifrar claves de 2048 bits será un problema real para los piratas informáticos! En otras palabras, no podrán descifrar los datos protegidos por dichas claves durante mucho tiempo.

En cuanto a los usuarios, cabe señalar que los piratas informáticos conocen las vulnerabilidades de los servicios VPN y los protocolos de cifrado con los que roban y acceden a datos cifrados. Sin embargo, está mucho mejor protegido con VPN que sin ellas.. Su computadora puede ser pirateada, pero será muy costosa y llevará mucho tiempo. Y sí, cuanto menos visible eres, mejor protegido estás.

Como sostiene Snowden, “el cifrado realmente ayuda. Realmente puede confiar en sistemas de cifrado de datos confiables y bien configurados ". En consecuencia, debe evitar los servicios VPN que utilizan predominantemente algoritmos hash SHA-1 o MD5, así como protocolos PPTP o L2TP / IPSec. Vale la pena elegir un servicio VPN que utilice ultima versión OpenVPN(opción extremadamente segura) o SHA-2. Si no puede determinar con certeza cuál de los algoritmos de cifrado utiliza el servicio, busque esta información en el manual del usuario o comuníquese con el servicio de atención al cliente.

Las VPN son tus amigos. Confíe en el cifrado, no dude en las matemáticas. Utilice VPN con la mayor frecuencia posible, trate de asegurarse de que sus puntos de salida también sean seguros. De esta manera, puede mantenerse seguro incluso si su túnel cifrado es pirateado.

@SooLFaa:
Sin dudarlo, decidí tomar la recomendación literalmente.

Conocimiento y puesta en marcha del programa.

Los enrutadores serán atacados no desde mi máquina local, sino desde un VDS remoto alquilado especialmente bajo Control de ventanas. Haga doble clic botón izquierdo del ratón para transferirme a los Países Bajos.


Como dice el título, RouterScan actuará como herramienta de ataque. Para descargar el programa, vayamos al foro de Antichat. Según el autor, solo necesita descargar el programa desde allí.

El programa es portátil, su instalación consiste en descomprimir el archivo descargado en la carpeta especificada.


Por defecto, el programa ataca a los enrutadores en los puertos 80, 8080, 1080. Creo que esta lista está bastante justificada y no requiere adiciones ni cambios.
Además, el programa tiene la capacidad de conectar módulos adicionales
  • Escaneo de enrutador (principal)
  • Detectar servidores proxy
  • Utilice HNAP 1.0
  • Administrador de SQLite RCE
  • Servlet Hudson Java
  • phpMyAdmin RCE

y junto con un ataque a los enrutadores, "sondear" todas las direcciones IP en un rango determinado.
Pero tal carga del programa ralentizará significativamente su trabajo, por lo que no tocaremos nada en esta ventana. después de todo, el propósito del ataque es acceder a la interfaz WEB de un enrutador aleatorio para escribir un artículo.

Solo queda seleccionar el rango de IP para el ataque y puede ejecutar el programa.
Vamos a un sitio que proporciona rangos de IP por país y elegimos aleatoriamente a Polonia como víctima (la elección del país es aleatoria).


Después de insertar los rangos deseados en la ventana del programa correspondiente, puede iniciar el programa.
El tiempo dedicado al proceso de pirateo de enrutadores depende de la cantidad de IP en el rango seleccionado y puede llevar bastante tiempo.
Pero para escribir un artículo, solo necesito un enrutador pirateado, en el que es posible generar un servidor VPN. Estos modelos pueden ser Enrutadores ASUS, Mikrotik o cualquier otro modelo con Firmware DD-WRT... Al echar un vistazo rápido a la lista de enrutadores que apareció en la pestaña "Buenos resultados", es fácil encontrar que los modelos de los enrutadores especificados están en la lista.

Elevamos el servidor VPN en el enrutador.

Para el papel de la víctima en este artículo, elegí un enrutador con DD-WRT.

Mi elección se explica por el hecho de que el firmware mencionado brinda la capacidad de usar el enrutador como un servidor VPN usando el protocolo PPTP, y más recientemente dediqué este protocolo.

Copie la URL del enrutador deseado en Barra de dirección navegador y después de cargar la página nos encontramos en su interfaz WEB con derechos de administrador.

Para que el enrutador desempeñe el papel de un servidor VPN, debe ir a la pestaña Servicios - PPTP.