martes, 26 de octubre de 1999

La (in)seguridad del protocolo PPTP de Microsoft

El popular criptólogo Bruce Schneier (fundador de la consultora
norteamericana Counterpane Systems) ha co-descubierto numerosos
problemas de seguridad en las implementaciones PPTP de Microsoft.
El PPTP (Point to Point Tunneling Protocol) es un protocolo desarrollado
por Microsoft, que permite el acceso de usuarios remotos a una red
corporativa. Es una implementación concreta cliente <-> servidor de la
tecnología VPN (redes privadas virtuales), orientada a servidores RAS
con Windows NT y clientes tanto con Windows 95/98 como NT.

En 1.998, un equipo dirigido por Bruce Schenier (conocido consultor,
entre otras cosas, por ser el autor del algoritmo de cifrado BlowFish, y
del celebérrimo -y excelente- libro "Applied Criptography") descubrieron
una serie de importantes vulnerabilidades en la implementación PPTP de
Microsoft (prácticamente la única que existe).

Hace unas pocas semanas, Bruce Schenier y su equipo han analizado la
revisión 2 de dicho protocolo y, aunque se han corregido muchos de los
problemas denunciados en la implementación previa, algunos de ellos
siguen presentes. Peor aún, algunos de los cambios realizados debilitan
considerablemente la calidad del sistema.

En pocas palabras: PPTP es un protocolo que puede evitar al curioso
casual, pero no es rival ante un adversario determinado a acceder a la
información que circule por el túnel. Este hecho es especialmente
importante para las empresas que emplean PPTP para interconectar sus
intranets entre sí, a través de infraestructuras públicas como es
Internet.

Ahora que L2TP, el sustituto del PPTP, es ya una propuesta oficial de
estándar, tras varios años de desarrollo, la única excusa para seguir
usando PPTP es el hecho de que este software viene incluído con los
sistemas operativos Windows. Pero cualquier desarrollo que pueda elegir
debe implementar L2TP. L2TP, al contrario que PPTP, ha sido desarrollado
por multitud de empresas y especialistas en el campo de las redes
privadas virtuales, y es un estándar abierto no atado a ninguna
arquitectura en particular.

Más información:
Counterpane Systems: PPTP Crack
Redes Privadas Virtuales (incluye numerosos enlaces sobre PPTP)



Jesús Cea Avión
jcea@hispasec.com