Иллюстрированный самоучитель по Secure Web


Заключительные замечания - часть 13


  •  Кодируются только сами данные, при этом злоумышленники могут свободно извлекать информацию из служебного трафика, передаваемого по каналу управления
  •  В статье делается предположение о том, что клиентные подключения к сети,через РРТР-серверы могут служить в качестве потайных входов в эти сети
  • Устранение недостатков протокол а РРТР


    Означает ли все это, что над технологией виртуальных частных сетей разверзлись небеса? Абсолютно нет. Повторим еще раз, что все перечисленные недостатки касаются лишь конкретной реализации протокола компании Microsoft. Все они были устранены в сервисном пакете Service Pack 4 для серверов и клиентов. Более подробная информация об устраненных недостатках содержится в бюллетене Microsoft Security Bulletin MS98-012. Кроме того, в реализации для Windows 2000 протокол РРТР был существенно доработан. Теперь существует возможность использования протокола L2TP, основанного на IPSec. Для совместимости с новыми средствами обеспечения безопасности со стороны серверов РРТР-клиенты, работающие под управлением Win 9x, необходимо модернизировать с помощью Dial-Up Networking версии 1.3. Компания Microsoft подготовила подробный документ, касающийся протокола РРТР и защиты виртуальных частных сетей, который можно найти по адресу  http://www.microsoft.com/ntserver/zipdocs/vpnsecur.exe).

    В ответ на предпринятые компанией Microsoft действия Шнеер и Мадж опубликовали новую статью, в которой одобрили результаты устранения большинства из описанных ранее недостатков. Однако авторы замечают, что протокол MS РРТР по-прежнему основывается на пользовательских паролях в целях обеспечения разнообразия ключей.

    Однако наиболее важный вывод из статьи Шнеера и Маджа читается между строк: существуют достаточно способные люди, которые хотят и могут испытать на прочность и взломать виртуальные частные сети, несмотря на все заявления об абсолютной защищенности последних. Кроме того, возможности реатазации стандартных атак против операционной системы, под управлением которой работает виртуальная частная сеть (например, проблема хэш-кодов LanMan), а также просто плохие проектные решения (неавторизованные каналы управления или повторное использование ключей сеансов) могут свести на нет все остальные преимущества этой безопасной, на первый взгляд, системы.

    Статья Шнеера и Маджа содержит одно парадоксальное утверждение: на фоне жесткой критики реализации протокола РРТР компании Microsoft, авторы выражают оптимистичное мнение, заключающееся в том, что протокол IPSec станет основой технологии VPN благодаря открытости и прозрачности процесса его разработки. Однако описание протокола РРТР и даже его расширенной реализации компании Microsoft тоже имеется в Internet. Так что же выгодно отличает протокол IPSec? Ничего. Стоило бы с таким же пристрастием проанализировать и протокол IPSec. Именно это и сделал Брюс Шнеер (Bruce Schneier).





    Начало  Назад  Вперед