Статья-поводырь для жестокого задрота но вдруг комуто понадобится!!!

1 Введение

Многие организации не являются централизованными. Филиалы, виртуальные корпорации и перемещающиеся сотрудники делают идею создания выделенногоканала к любому требуемому пункту логически невозможной. Концепция виртуальныхсетей обеспечивает решение возникшей проблемы путем туннелирования объединяемогосетевого пространства по другим, промежуточным и небезопасным сетям (например,Интернет), тем самым позвол удаленным пунктам стать локальными. Данноерешение не требует вложений на проведение абонируемых или выделенных линийв любую точку. Такой способ иногда называют "тоннель".

По мере решения виртуальными сетями проблем нецентрализованных машинвозникла другая проблема. Трафик, который раньше находился в пределах компании,теперь открыт для любопытных глаз со всего мира. Для обеспечения не толькоотказоустойчивости, но и безопасности информации необходимо использоватьмеханизмы аутентификации и шифрования. В результате виртуальные сетевыесоединения объединили с криптографической защитой, и конечный продукт назвалиВиртуальные Приватные Сети (VPN).

Безопасность VPN основывается на безопасности протоколов аутентификациии шифрования. Если криптография VPN слаба, то степень защиты не выше, чемв любой другой неприватной сети передачи информации по Интернет. Посколькукомпании надеются, что VPN расширит периметр внутренней безопасности доудаленного офиса, прорыв системы защиты туннеля соответствует уничтожениювсех систем защиты внутреннего периметра. Прорыв в VPN означает практическито же самое, что и прорыв за firewall.

Протокол PPTP (туннельный протокол типа точка-точка) был предназначендля решения задачи создания и управления VPN по общественной сети TCP/IPс использованием стандартного протокола РРР. Хотя протокол резервируетпространство для всех возможных типов шифрования и аутентификации, в большинствекоммерческих продуктов используется версия данного протокола для WindowsNT. Именно эта реализация и подвергнута анализу в данной статье.

Мы обнаружили, что протокол аутентификации Microsoft слаб и уязвимпутем атаки по словарю; большинство паролей можно вскрыть в течение несколькихчасов. Мы обнаружили, что способы шифрования с использованием 40- и 128-разрядныхключей одинаково слабы и открыли ряд заложенных в реализацию неразумныхидей, которые позволяют осуществлять другие атаки на данный шифр. Мы можетоткрывать соединения через firewall, нарушая правила переговоров РРTР,и можем проводить различные атаки отказа в обслуживании на тех, кто используетMicrosoft PPTP.

Оставшаяся часть работы разделена следующим образом: В параграфе 2рассматривается РРТР, как стандарт протокола, так и реализация Microsoft.В параграфе 3 рассматриваются две функции хэширования паролей в MicrosoftPPTP и способы атаки на них. В параграфе 4 проводится криптоанализ протоколааутентификации Microsoft, а в параграфе 5 - криптоанализ протокола шифрованияMicrosoft. Другие атаки на Microsoft РРТР рассмотрены в параграфе 6. Наконец,в параграфе 7 делаются некоторые выводы.

2 Туннельный протокол типа точка-точка

РРТР - протокол, который позволяет выполнять туннелирование РРР-соединенийпо IP-сети путем создания VPN. Таким образом, удаленный компьютер в сетиХ может туннелировать трафик на шлюз в сети У и имитировать подключение,с внутренним IP-адресом, к сети У. Шлюз получает трафик для внутреннегоIP-адреса и передает его удаленной машине в сети Х. Существуют два основныхспособа использования РРТР: по Интернет и по коммутируемым соединениям.Настояща статья ориентирована на использовании РРТР как VPN при непосредственномподключен ии клиента к Интернет.

Функционирование РРТР заключается в инкапсулировании пакетов виртуальнойсети в пакеты РРР, которые в свою очередь, инкапсулируются в пакеты GRE(Generic Routing Incapsulation), передаваемые по IP от клиента к шлюзу- серверу РРР и обратно. Совместно с каналом инкапсулированных данных существуетуправляющий сеанс на базе TCP. Пакеты управляющего сеанса позволяют запроситьстатус и сопровождать сигнальную информацию между клиентом и сервером.Канал управления инициируется клиентом на сервере на ТСР-порте 1723. Вбольшинстве случаев это двунаправленный канал, по которому сервер посылаетзапросы на сервер и наоборот.

РРТР не оговаривает конкретных алгоритмов аутентификации и протоколов;вместо этого он обеспечивает основу для обсуждения конкретных алгоритмов.Переговоры не присущи только РРТР, они относятся к существующим вариантампереговоров РРР, содержащихся в ССР, СНАР и других расширениях и усовершенствованияхРРР.

2.1 РРТР от Microsoft

Microsoft РРТР является частью ОС Windows NT Server, данное программноеобеспечение можно бесплатно получить с Web-сайта Microsoft. Подключениеосуществляется с помощью панели управления и редактора реестра. Даннаяреализация РРТР широко используется в коммерческих применениях VPN, напримерAventail и Freegate именно потому, что входит в состав ОС Microsoft.

Сервер Microsoft РРТР может существовать только для Windows NT, хотяклиентское программное обеспечение существует для Windows NT, некоторыхверсий Windows и Windows 98. Реализация Microsoft поддерживает три вариантааутентификации:
Текстовый пароль: Клиент передает серверу пароль в открытом виде.
Хэшированный пароль: Клиент передает серверу хэш пароля (см. параграф3).
Вызов/Отклик: Аутентификация сервера и клиента с использованием протоколаMS-CHAP (вызов/отклик), что описано в параграфе 4.

Третий вариант называется в документации для пользователей "АутентификациMicrosoft", для шифрования пакетов РРТР его надо разрешить. При выборелюбого из двух других вариантов шифрование неосуществимо. Кроме того, возможностьшифрования (40- или 128-разрядное) гарантируется только в том случае, есликлиент использует Windows NT. Некоторые клиенты Windows 95 не могут поддерживатьзашифрованные сеансы1.

3. Криптоанализ функций хэширования паролей WindowsNT

В ОС Microsoft Windows NT для защиты паролей используются две однонаправленныехэш-функции: хэш Lan Manager и хэш Windows NT. Функция хэша Lan Managerбыла разработана Microsoft для операционной системы IBM OS/2, она былаинтегрирована в Windows for Workgroups и частично в Windows 3.1. Даннаяфункция используется в некоторых протоколах аутентификации перед WindowsNT. Хэш Windows NT был разработан специально для ОС Microsoft Windows NT.Функция хэша Lan Manager основана на алгоритме DES; Функция хэша WindowsNT основана на односторонней хэш-функции MD4. Обе эти функции используютсяво многих протоколах аутентификации Windows NT, а не только в РРТР.

Функция хэша Lan Manager вычисляется следующим образом:

Превращение пароля в 14-символьную строку путем либо отсечки болеедлинных паролей, либо дополнения коротких паролей нулевыми элементами.
Замена всех символов нижнего регистра на символы верхнего регистра.Цифры и специальные символы остаются без изменений.
Разбиение 14-байтовой строки на две семибайтовых половины.
Использование каждой половины строки в роли ключа DES, шифрование фиксированнойконстанты с помощью каждого ключа, получение двух 8-байтовых строк.
Слияние двух строк для создания одного 16-разрядного значения хэш-функции.

Словарные атаки на функцию хэша Lan Manager легко достигают успехапо следующим причинам:

Большинство людей выбирают легко угадываемые пароли.
Все символы преобразуются в верхний регистр, что ограничивает и безтого небольшое число возможных паролей.
Нет индивидуальной привязки (salt); два пользователя с одинаковымипаролями всегда будут иметь одинаковые значения хэш-функции. Таким образом,можно заранее составить словарь хэшированных паролей и осуществлять поискнеизвестного пароля в нем. При таком подходе с точки зрения отношения время/памятьтестирование пароля может выполнятьс со скоростью дискового ввода/вывода.
Две семибайтовых "половины" пароля хэшируются независимодруг от друга. Таким образом, две половины могут подбираться методом грубогоподбора независимо друг от друга, и сложность атаки не превышает сложностиатаки против семибайтового пароля. Пароли, длина которых превышает семьсимволов, не сильнее, чем пароли с длиной семь символов. Кроме того, тепароли, длина которых не превышает семь символов очень просто распознать,поскольку вторая половина хэша будет одной и той же фиксированной константой:шифрование фиксированной константы с помощью ключа из семи нулей.

Функция хэша Windows NT вычисляется следующим образом:
Преобразование пароля, длиной до 14 символов, с различением регистровв Unicode.
Хэширование пароля с помощью MD4, получение 16-символьного значенияхэш-функции.

Хэш Windows NT обладает преимуществом по сравнению с функцией хэшаLan Manager - различаются регистры, пароли могут быть длиннее 14 символов,хэширование пароля в целом вместо разбиения его на маленькие части - хотяпо-прежнему отсутствует индивидуальность. Таким образом, люди, имеющиеодинаковые пароли, всегда будут иметь одинаковые хэшированные пароли WindowsNT. Сравнение файла хэшированных паролей с заранее рассчитанным словаремхэшированных паролей может быть весьма эффективной атакой.

Кроме того, более серьезна проблема реализации существенно облегчаетраскрытие паролей. Даже хотя хэш Lan Manager был включен по соображениямсовместимости с предыдущими версиями, и не требуется в сетях Windows NT,оба значения хэш-функций всегда передаются вместе. Следовательно, можновыполнить грубый подбор пароля с помощью более слабой хэш-функции Lan Managerи затем выполнить тестирование с учетом регистра для подбора значения хэш-функцииWindows NT.