16 votos

¿Es segura la VPN de Windows?

He utilizado algunas soluciones de VPN a lo largo de los años. La mayoría son difíciles de configurar, lentas para conectarse y/o con un comportamiento bastante malo (sustituyen los controladores del sistema, se interrumpen mutuamente, etc.).

Una solución que nunca he utilizado antes es la incorporada en Windows. Esto se debe principalmente a que los chicos de infraestructura siempre se niegan a utilizarla porque afirman que "no es segura".

Ahora por fin he tenido la oportunidad de utilizarlo (en Windows 7), y ¡vaya si es un chorro! Fácil de configurar, se comporta bien, se conecta casi al instante, se autentifica automáticamente con mis credenciales de inicio de sesión, y se integra excelentemente con la interfaz de usuario. Tengo que decir que, a menos que no sea realmente seguro, me alegraré si no tengo que volver a utilizar otro producto VPN nunca más.

Tengo entendido que la VPN de Windows solía basarse en PPTP, que no se considera seguro. Pero en Windows 7/2008, soporta L2TP/IPSec, SSTP e IKEv2, y se autentifica con EAP o CHAP/CHAPv2. Eso me parece bastante actualizado.

Pero sólo soy un desarrollador de poca monta. ¿Alguien que sepa me puede dar la información sobre esto?

17voto

Chris S Puntos 65813

Como todas las cosas de seguridad, depende de cómo se configure.

Se puede configurar para que sea muy seguro. En un momento dado (alrededor de Win98) tuvo problemas. Desde entonces MS lo ha arreglado (Circa 1999). Hay un criptoanálisis de la misma disponible aquí En resumen, las contraseñas de los usuarios son el eslabón más débil (como debe ser).

Parte del problema de las contraseñas de los usuarios puede mitigarse utilizando certificados de autenticación de clientes. Si ya tienes una buena infraestructura PKI, probablemente ya emitas automáticamente certificados de cliente (ordenadores). PPTP puede utilizarlos para demostrar que el ordenador puede probar un par de nombre de usuario y contraseña. Sin embargo, los certificados no son necesarios y PPTP seguirá siendo tan seguro como tus contraseñas.

MS proporciona artículos sobre cómo configurar PPTP (incluyendo EAP/TLS) así como L2TP (L2TP requiere certificados/PKI) . Ambos son para Win2003, pero son suficientes para hacerse una idea de lo que se necesita; y hay documentos para 2008. Como se indica en los comentarios, cualquier variación de PAP y CHAP es insegura (porque puede ser forzada con recursos triviales).

Si tu informático te dice que el PPTP es inseguro, o bien no se ha mantenido al día con los problemas (desde <1999) o bien está usando "inseguro" como excusa para alguna otra razón.

1 votos

MSCHAPv2 está roto; puede ser forzado en horas. Necesitas hacer EAP-TLS para la autenticación aquí. Y luego está RC4...

8voto

fuggi Puntos 31

Mientras tanto, la respuesta de Chris es obsoleta. PPTP es inseguro, como lo demuestra Moxie Marlinspike . Por lo tanto, sólo se debe utilizar L2TP/IPSec, IPSec con IKEv2 u OpenVPN.

0 votos

Sip, eso es lo que pasa con el tiempo...

1 votos

Sin mencionar la guerra, pero... computerworld.com/article/2864800/

0 votos

Pero, ¿por qué PPTP sigue estando en Windows 10?

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: