MS-CHAp v2 (Microsoft Challenge Handshake Authentication Protocol, versie 2) is een met wachtwoord beveiligd verificatieprotocol dat veel wordt gebruikt als verificatiemethode in VPN-verbindingen met PPTP (Point to Point Tunneling Protocol). Microsoft waarschuwt dat organisaties die MS-CHAP v2 zonder inkapseling gebruiken in combinatie met PPTP-tunnels voor VPN-verbindingen mogelijk een onveilige configuratie hebben.
INLEIDING
Microsoft raadt organisaties die MS-CHAP v2/PPTP gebruiken aan om PEAP (Protected Extensible Authentication Protocol) in hun netwerken te implementeren. Hierdoor wordt het MS-CHAP v2-verificatieverkeer in TLS ingekapseld.
PPTP instellen op het gebruik van PEAP-MS-CHAP v2 voor verificatie
PEAP-MS-CHAP v2
Het gebruik van PEAP met MS-CHAP v2 als clientmethode voor verificatie is een van de manieren om VPN-verificatie beter te beveiligen. Het gebruik van PEAP op clientplatforms kan worden afgedwongen door RRAS-servers (Windows Routing and Remote Access Server) zodanig in te stellen dat uitsluitend verbindingen met PEAP-verificatie worden toegestaan en dat verbindingen vanaf clients met MS-CHAP v2 of EAP-MS-CHAP v2 worden geweigerd. Beheerders moeten de corresponderende verificatiemethode-opties op de RRAS-server en de NPS-server (Network Policy Server) controleren.
Beheerders moeten ook zorgen voor het volgende:
-
De validatie van het servercertificaat moet zijn ingeschakeld. (Deze instelling is standaard ingeschakeld.)
-
De validatie van het servernaam moet zijn ingeschakeld. (Deze instelling is standaard ingeschakeld.) De juiste servernaam moet zijn gespecificeerd.
-
Het basiscertificaat vanwaaruit het servercertificaat is verleend, is correct in het clientsysteemarchief geïnstalleerd en ingeschakeld. (Altijd ingeschakeld).
-
In Windows 7, Windows Vista en Windows XP moet het selectievakje Gebruiker niet vragen om nieuwe servers of vertrouwde certificeringsinstanties te verifiëren in het PEAP-eigenschappenvenster ingeschakeld zijn. Dit is standaard uitgeschakeld.
De RRAS-server instellen op de PEAP-MS-CHAP v2-verificatiemethode
In de volgende stappen wordt kort beschreven hoe u de PEAP-MS-CHAP v2-verificatiemethode inschakelt voor de RRAS-server en hoe u de minder betrouwbare methoden MS-CHAP v2 en EAP-MS-CHAP v2 uitschakelt.
De verificatiemethode voor RRAS instellen
Hiertoe gaat u als volgt te werk:
-
Open in het beheervenster voor de RRAS-server het dialoogvenster Eigenschappen en klik op het tabblad Beveiliging.
-
Klik op Verificatiemethoden.
-
Zorg dat het selectievakje EAP is ingeschakeld en dat het selectievakje MS-CHAP v2 is uitgeschakeld.
Verbindingen voor NPS instellen
Stel NPS (Network Policy Server) zodanig in dat uitsluitend verbindingen vanaf clients waarop gebruik wordt gemaakt van de verificatiemethode PEAP-MS-CHAP v2 worden toegestaan. Ga als volgt te werk om NPS zodanig in te stellen:
-
Open de NPS-gebruikersinterface, klik op Beleidsregels en klik vervolgens op Netwerkbeleid.
-
Klik met de rechtermuisknop op Verbindingen met Microsoft RAS-server en selecteer Eigenschappen.
-
Open de gebruikersinterface Eigenschappen en klik op het tabblad Beperkingen.
-
Selecteer in het linkerdeelvenster van Beperkingen het veld Verificatiemethoden en schakel de selectievakjes voor de methoden MS-CHAP en MS-CHAP-v2 uit.
-
Verwijder EAP-MS-CHAP v2 uit de lijst met EAP-typen.
-
Klik op Toevoegen, selecteerPEAP-verificatiemethode en klik vervolgens op OK.
Opmerking Voordat u de NPS-verbinding instelt, moet in het archief 'Persoonlijk' een geldig servercertificaat zijn geïnstalleerd en moet in het archief 'Vertrouwde basis-CA' van de server moet een geldig basiscertificaat zijn geïnstalleerd. -
Klik op Bewerken en selecteer EAP-MS-CHAP v2 als de verificatiemethode.
De RRAS-client instellen op de verificatiemethode PEAP-MS-CHAP v2
Windows VPN-clients kunnen worden ingesteld op het gebruik van de verificatiemethode PEAP-MS-CHAP v2 door de corresponderende methode te selecteren vanuit het eigenschappenvenster voor de VPN-verbinding en door het juiste basiscertificaat op het clientsysteem te installeren.