Member of The Internet Defense League Últimos cambios
Últimos Cambios
Blog personal: El hilo del laberinto Geocaching

La (in)seguridad del protocolo PPTP de Microsoft

Última Actualización: 27 de Octubre de 1.999 - Miércoles

Artículo publicado en el boletín Una-Al-Día de Hispasec, el 26 de Octubre de 1.999.
Publicado también en el número 58 (27 de octubre de 1999) del boletín Criptonomicón.

El popular criptólogo Bruce Schneier (fundador de la consultora norteamericana Counterpane Systems) ha co-descubierto numerosos problemas de seguridad en las implementaciones PPTP de Microsoft.

El PPTP (Point to Point Tunneling Protocol) es un protocolo desarrollado por Microsoft, que permite el acceso de usuarios remotos a una red corporativa. Es una implementación concreta cliente <-> servidor de la tecnología VPN (redes privadas virtuales), orientada a servidores RAS con Windows NT y clientes tanto con Windows 95/98 como NT.

En 1.998, un equipo dirigido por Bruce Schenier (conocido consultor, entre otras cosas, por ser el autor del algoritmo de cifrado BlowFish, y del celebérrimo -y excelente- libro "Applied Criptography") descubrieron una serie de importantes vulnerabilidades en la implementación PPTP de Microsoft (prácticamente la única que existe).

Hace unas pocas semanas, Bruce Schenier y su equipo han analizado la revisión 2 de dicho protocolo y, aunque se han corregido muchos de los problemas denunciados en la implementación previa, algunos de ellos siguen presentes. Peor aún, algunos de los cambios realizados debilitan considerablemente la calidad del sistema.

En pocas palabras: PPTP es un protocolo que puede evitar al curioso casual, pero no es rival ante un adversario determinado a acceder a la información que circule por el túnel. Este hecho es especialmente importante para las empresas que emplean PPTP para interconectar sus intranets entre sí, a través de infraestructuras públicas como es Internet.

Ahora que L2TP, el sustituto del PPTP, es ya una propuesta oficial de estándar, tras varios años de desarrollo, la única excusa para seguir usando PPTP es el hecho de que este software viene incluído con los sistemas operativos Windows. Pero cualquier desarrollo que pueda elegir debe implementar L2TP. L2TP, al contrario que PPTP, ha sido desarrollado por multitud de empresas y especialistas en el campo de las redes privadas virtuales, y es un estándar abierto no atado a ninguna arquitectura en particular.

Más información:

Counterpane Systems: PPTP Crack
Redes Privadas Virtuales (incluye numerosos enlaces sobre PPTP y L2TP)



Python Zope ©1999 jcea@jcea.es

Más información sobre los OpenBadges

Donación BitCoin: 19niBN42ac2pqDQFx6GJZxry2JQSFvwAfS