PPTPの仕組みやネットーワークについて詳しくなく、すこし不安なのですが、
PPTP接続に使用するIDとパスワードがフィッシングされ、盗まれる可能性はあるでしょうか?
条件は以下の通りです。
PPTPサーバー、クライアントともに固定IPではなく、PPTPサーバーのほうは、ダイナミックDNSでホスト名を割り当てています。
PPTPクライアントからは、ダイナミックDNSで割り当てたホスト名に対してPPTP接続しに行く。
(A) ダイナミックDNSの設定が、何らかの方法で、自分が意図したIP(自分の立てたPPTPサーバー)とは別のIP(フィッシングマシン)が
設定されてしまう。(具体的にはDynDNSというフリーのダイナミックDNSサービスを利用しています。)
(B) DNSポイズニングにより、自分の設定しているダイナミックDNSのホスト名が別のIP(フィッシングマシン)を指してしまう。
500文字制限に引っかかってしまったので、詳細(続き)を
http://okwave.jp/qa4356334.html
に書きました。こちらもあわせて参照してもらえると幸いです。
HYU-GA
2008/09/25 20:45:31
2
1
95
0
1
1
1
申し訳ありませんが、「ない」という理由、技術的根拠の簡単な解説、
または、ネット上の分かりやすい解説サイト等のソース、など
示していただけないでしょうか。
RFCなど、技術仕様書のようなものは、避けていただけると幸いです。
http://okwave.jp/qa4356334.html
のほうで、すこしやりとりがあり、
それを踏まえて、今のところ、以下のように解釈しています。
PPTPクライアントで、認証方式を「MS-CHAPv2」に固定していた場合、
PPTP接続要求時のユーザー名は、
偽サーバーに平文で送信してしまうため、盗まれてしまうが、
パスワードは、暗号化されたパスワードを送信する(*)ため、
偽サーバーに取得されることは無い。
PPTPの仕組み上、
取得したユーザー名と、(*)で取得した暗号化済みのパスワードを利用して、正しいサーバーへPPTP接続要求を行っても、認証がとおらない。
PPTPサーバーでは、
クライアントから送信された暗号化済みパスワードを復号して確認するのではなく、
送られてきた暗号化されたパスワードと、サーバー側で設定した
パスワードを暗号化したものを比較して、パスワードが正しいことを
確認している、ということでいいのか?(疑問)
復号できてしまっては、結局パスワードがもれてしまうことに
なってしまうと思うので。
PPTPクライアントで、認証方式を「自動認証」にしていた場合、
偽PPTPサーバーが、暗号化しない認証方式を要求すると、
平文でID/パスワードを送信してしまい、ID/パスワードが
漏洩してしまう。
現時点では、以上のような解釈です。