Sviktende sikkerhet ved virtuelle nett over NT

Måten Windows NT implementerer PPTP-protokollen i opplegget av virtuelle private nett over Internett-forbindelser, utgjør en sikkerhetsfare for bedriften, ifølge en amerikansk sikkerhetsekspert.

Virtuelle private nettverk (VPN) er en populær måte å bruke Internett-samband til bedriftsintern kommunikasjon. Prinsippet er at spesialisert programvare oppretter forbindelser mellom klienter over vanlige Internett-forbindelser, og sørger for at trafikken mellom dem krypteres og beskyttes på ulike måter. VPN er et svært rimelig alternativ til direkte forbindelser, og Windows NT har en løsning som gjør det forholdsvis enkelt å opprette et VPN.

Bruce Schneier fra Counterpane Systems Inc. i Minneapolis fortalte amerikanske medier mandag at han var i stand til å oppspore passord, avlytte meldinger og analysere trafikken på VPN drevet av Windows NT. PPTP (point to point tunneling protocol) er noe Microsoft har utviklet selv. Schneier sier andre selskaper har utviklet langt mer robuste VPN-protokoller.

Schneier kritiserer spesielt at Microsofts passord-system ikke er tilstrekkelig for å sikre nøklene som krypterer VPN-trafikken, og mener at enhver NT-tjener tilkoplet Internett utgjør en betydelig sikkerhetsrisiko.

Microsoft prøvde først å avvise Schneiers påstand, men anerkjente seinere at han hadde rett. En serie med "fiks" er varslet. Ifølge produktsjef for NT, Karan Khanna, skal blant annet brukerautentiseringen og krypteringen skjerpes. Krypteringsnøkkelen skal endres for hver 256. pakke, og det skal nyttes ulike nøkler for samband til og fra en tjener.

En fullstendig dokumentasjon av Counterpanes påstand om alvorlige sikkerhetsfeil knyttet til VPN over Windows NT kan lastes ned fra selskapets nettsted. Klikk på Counterpane under "relaterte bedrifter" øverst til høyre for denne artikkelen.

Til toppen