Il protocollo CHAP (Challenge Handshake Authentication Protocol) di Microsoft versione 2 (MS-CHAP v2) è un protocollo di autenticazione basato su password ampiamente utilizzato come metodo di autenticazione in VPN basate su PPTP (Point to Point Tunneling Protocol). Microsoft avverte che tutte le organizzazioni che utilizzano MS-CHAP v2 senza incapsulamento insieme al tunnel PPTP per la connettività VPN eseguono una configurazione potenzialmente non sicura.
INTRODUZIONE
Microsoft suggerisce che le organizzazioni che utilizzano MS-CHAP v2/PPTP implementino il PEAP (Protected Extensible Authentication Protocol) nelle proprie reti. Ciò riduce tale tecnica incapsulando il traffico di autenticazione MS-CHAP v2 in TLS.
Configurare PPTP in modo da utilizzare PEAP-MS-CHAP v2 per l'autenticazione
PEAP-MS-CHAP v2
PEAP con MS-CHAP v2 come metodo di autenticazione client è un modo per facilitare l'autenticazione VPN in sicurezza. Per rafforzare l'utilizzo PEAP su piattaforme client, Windows Routing e i server RRAS (Remote Access Server) devono essere configurati per consentire solo connessioni che utilizzano l'autenticazione PEAP e rifiutare connessioni da client che utilizzano MS-CHAP v2 o EAP-MS-CHAP v2. Gli amministratori devono verificare le opzioni del metodo di autenticazione corrispondente sul server RRAS e il server NPS (Network Policy Server).
Gli amministratori devono inoltre verificare quanto segue:
-
La convalida del certificato server è ATTIVATA (il comportamento predefinito è ATTIVATO).
-
La convalida del certificato server è ATTIVATA (il comportamento predefinito è ATTIVATO). Specificare il nome del server corretto.
-
Il certificato radice da cui è stato emesso il certificato server deve essere installato correttamente e ATTIVATO nell'archivio del sistema client (Sempre ATTIVATO).
-
Su Windows 7, Windows Vista e Windows XP, la casella di controllo Non chiedere all'utente di autorizzare nuovi server o autorità di certificazione attendibili nella finestra delle proprietà PEAP deve essere abilitata. Per impostazione predefinita, è disabilitata.
Configurare il server RRAS per il metodo di autenticazione PEAP-MS-CHAP v2
La procedura per la configurazione del metodo di autenticazione PEAP-MS-CHAP v2 per il server RRAS e per disattivare i metodi meno sicuri MS-CHAP v2 e EAP-MS-CHAP v2 viene brevemente descritta nella seguente procedura.
Configurare il metodo di autenticazione per RRAS
Per effettuare questa operazione, attenersi alla seguente procedura:
-
Nella finestra Gestione server RRAS, aprire la finestra di dialogo Proprietà del server, quindi fare doppio clic sulla scheda Sicurezza.
-
Fare clic su Metodi di autenticazione.
-
Assicurarsi che la casella di controllo EAP sia selezionata e che la casella di controllo MS-CHAP v2 non sia selezionata.
Configurare le connessioni per NPS
Configurare NPS (Network Policy Server) solo per consentire connessioni da client che utilizzano il metodo di autenticazione PEAP-MS-CHAP v2. Per configurare l'NPS, attenersi alla seguente procedura:
-
Aprire NPS dell'interfaccia utente, fare clic su Criteri e quindi fare clic su Rete Criteri.
-
Fare clic con il pulsante destro del mouse su Connessioni al server Routing e Accesso remoto Microsoft, quindi selezionare Proprietà.
-
In Proprietà dell'interfaccia utente, fare clic sulla scheda Vincoli .
-
Sul pannello di sinistra Vincoli, selezionare Metodi di autenticazione, quindi fare clic per deselezionare le caselle di controllo per i metodi MS-CHAP e MS-CHAP-v2.
-
Rimuovere EAP-MS-CHAP v2 dall'elenco Tipi di EAP.
-
Fare clic su Aggiungi, selezionare Metodo di autenticazione PEAP, quindi fare clic su OK.
Nota Deve essere installato un certificato Server valido nell'archivio "Personale" e un certificato principale valido deve essere installato nell'archivio "Trusted Root CA" del server prima di configurare la connessione dei criteri di rete. -
Fare clic su Modifica, quindi selezionare EAP-MS-CHAP v2 come metodo di autenticazione.
Configurare il client RRAS per il metodo di autenticazione PEAP-MS-CHAP v2
I client Windows VPN possono essere configurati per utilizzare il metodo di autenticazione PEAP-MS-CHAP v2 selezionando il metodo corrispondente dalle proprietà di connessione VPN dell'interfaccia utente installando l'apposito certificato radice sul sistema del client.