人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

ブロードバンドルーターのPPTP機能を使用してVPNを組んでいます。
PPTPの仕組みやネットーワークについて詳しくなく、すこし不安なのですが、
PPTP接続に使用するIDとパスワードがフィッシングされ、盗まれる可能性はあるでしょうか?

条件は以下の通りです。

PPTPサーバー、クライアントともに固定IPではなく、PPTPサーバーのほうは、ダイナミックDNSでホスト名を割り当てています。
PPTPクライアントからは、ダイナミックDNSで割り当てたホスト名に対してPPTP接続しに行く。
(A) ダイナミックDNSの設定が、何らかの方法で、自分が意図したIP(自分の立てたPPTPサーバー)とは別のIP(フィッシングマシン)が
設定されてしまう。(具体的にはDynDNSというフリーのダイナミックDNSサービスを利用しています。)
(B) DNSポイズニングにより、自分の設定しているダイナミックDNSのホスト名が別のIP(フィッシングマシン)を指してしまう。

500文字制限に引っかかってしまったので、詳細(続き)を
http://okwave.jp/qa4356334.html
に書きました。こちらもあわせて参照してもらえると幸いです。


●質問者: HYU-GA
●カテゴリ:コンピュータ
✍キーワード:DNS IP PPTP VPN クライアント
○ 状態 :キャンセル
└ 回答数 : 1/1件

▽最新の回答へ

1 ● youku554

ないです

◎質問者からの返答

申し訳ありませんが、「ない」という理由、技術的根拠の簡単な解説、

または、ネット上の分かりやすい解説サイト等のソース、など

示していただけないでしょうか。

RFCなど、技術仕様書のようなものは、避けていただけると幸いです。


http://okwave.jp/qa4356334.html

のほうで、すこしやりとりがあり、

それを踏まえて、今のところ、以下のように解釈しています。


PPTPクライアントで、認証方式を「MS-CHAPv2」に固定していた場合、

PPTP接続要求時のユーザー名は、

偽サーバーに平文で送信してしまうため、盗まれてしまうが、

パスワードは、暗号化されたパスワードを送信する(*)ため、

偽サーバーに取得されることは無い。

PPTPの仕組み上、

取得したユーザー名と、(*)で取得した暗号化済みのパスワードを利用して、正しいサーバーへPPTP接続要求を行っても、認証がとおらない。

PPTPサーバーでは、

クライアントから送信された暗号化済みパスワードを復号して確認するのではなく、

送られてきた暗号化されたパスワードと、サーバー側で設定した

パスワードを暗号化したものを比較して、パスワードが正しいことを

確認している、ということでいいのか?(疑問)

復号できてしまっては、結局パスワードがもれてしまうことに

なってしまうと思うので。

PPTPクライアントで、認証方式を「自動認証」にしていた場合、

偽PPTPサーバーが、暗号化しない認証方式を要求すると、

平文でID/パスワードを送信してしまい、ID/パスワードが

漏洩してしまう。

現時点では、以上のような解釈です。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ