MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol verze 2) je protokol ověřování na základě hesel, který je hojně využíván jako metoda ověřování v sítích VPN využívajících protokol PPTP (Point to Point Tunneling Protocol). Společnost Microsoft varuje, že organizace využívající protokol MS-CHAP v2 bez zapouzdření současně s tunely protokolu PPTP pro připojení k sítím VPN provozují potenciálně nezabezpečenou konfiguraci.
ÚVOD
Společnost Microsoft navrhuje, aby organizace používající protokol MS-CHAP v2/PPTP implementovaly ve svých sítích protokol PEAP (Protected Extensible Authentication Protocol). Riziko této techniky se sníží zapouzdřením komunikace ověřování MS-CHAP v2 v rámci TLS.
Konfigurace protokolu PPTP pro ověřování pomocí protokolu PEAP-MS-CHAP v2
PEAP-MS-CHAP v2
Použití protokolu PEAP s protokolem MS-CHAP v2 k ověření klientů představuje jeden ze způsobů, jak napomoci zabezpečení ověřování v sítích VPN. Chcete-li vynutit použití protokolu PEAP na klientských platformách, měly by servery pro směrování a vzdálený přístup systému Windows (RRAS) být nakonfigurovány tak, aby umožňovaly pouze připojení s ověřováním PEAP a odmítaly připojení využívající protokol MS-CHAP v2 nebo EAP-MS-CHAP v2. Správci musí zkontrolovat odpovídající možnosti ověřovacích metod na serveru RRAS a na serveru NPS (Network Policy Server). Správci rovněž musí potvrdit následující body:
-
Je ZAPNUTO ověřování certifikátu serveru. (Toto chování je nastaveno jako výchozí.)
-
Je ZAPNUTO ověřování názvu serveru. (Toto chování je nastaveno jako výchozí.) Musí být zadán správný název serveru.
-
Kořenový certifikát, na jehož základě byl vydán certifikát serveru, je správně nainstalován v úložišti klientského systému a je ZAPNUT. (Vždy ZAPNUTO.)
-
V systémech Windows 7, Windows Vista a Windows XP by měla být v okně vlastností protokolu PEAP povolena možnost Nezobrazovat výzvu k ověření nových serverů nebo důvěryhodných certifikačních autorit. Ve výchozím nastavení je tato možnost zakázána.
Konfigurace serveru RRAS pro metodu ověřování PEAP-MS-CHAP v2
V následujících krocích je stručně popsán postup při konfiguraci metody ověřování protokolu PEAP-MS-CHAP v2 pro server RRAS a při vypnutí méně zabezpečených metod využívajících protokoly MS-CHAP v2 a EAP-MS-CHAP v2. Konfigurace metody ověřování pro server RRASPostupujte takto:
-
V okně správy serveru RRAS otevřete dialogové okno Vlastnosti a pak klikněte na kartu Zabezpečení.
-
Klikněte na položku Metody ověřování.
-
Ověřte, že je zaškrtnuto políčko EAP a že není zaškrtnuto políčko MS-CHAP v2.
Konfigurace připojení pro server NPSNakonfigurujte server NPS (Network Policy Server) tak, aby umožňoval pouze připojení od klientů, kteří používají metodu ověřování PEAP-MS-CHAP v2. Chcete-li konfigurovat server NPS, postupujte následujícím způsobem:
-
Otevřete uživatelské rozhraní serveru NPS, klikněte na položku Zásady a pak klikněte na položku Zásady sítě.
-
Klikněte pravým tlačítkem myši na položku Připojení k serveru pro směrování a vzdálený přístup a pak vyberte příkaz Vlastnosti.
-
V okně Vlastnosti klikněte na kartu Omezení.
-
V levém podokně Omezení vyberte položku Metody ověřování a pak kliknutím zrušte zaškrtnutí políček pro metody MS-CHAP a MS-CHAP-v2.
-
Odeberte položku EAP-MS-CHAP v2 ze seznamu Typy protokolů EAP.
-
Klikněte na tlačítko Přidat, vyberte možnost Metoda ověřování PEAP a pak klikněte na tlačítko OK.Poznámka: Před zahájením konfigurace připojení serveru NPS je třeba, aby v osobním úložišti byl nainstalován platný certifikát serveru a aby byl v úložišti Důvěryhodné kořenové certifikační úřady serveru nainstalován platný kořenový certifikát.
-
Klikněte na tlačítko Upravit a pak jako metodu ověřování vyberte EAP-MS-CHAP v2.
Konfigurace klienta RRAS pro metodu ověřování PEAP-MS-CHAP v2
U klientů Windows VPN lze použití metody ověřování PEAP-MS-CHAP v2 nakonfigurovat výběrem odpovídající metody pomocí vlastností připojení sítě VPN a následnou instalací odpovídajícího kořenového certifikátu v klientském systému.
