Apple が iOS 10, macOS Sierra から PPTP をサポートしないことを発表しました。
<参考サイト>
iOS 10 および macOS Sierra にアップグレードする前に PPTP VPN の削除に備える
PPTPは以前から脆弱性が指摘されていましたが、OSで標準的に利用できるプロトコルとしてサポートされていたため、
今でもよく利用されているVPNプロトコルです。
今回、AppleによるPPTPのサポート中止で利用できなくなるため、他のVPNプロトコルに切り替える必要があります。
○PPTPの脆弱性
PPTPでは、VPNセッションの接続認証に脆弱性が知られています。
PPTPで下記の図の様に認証の通信を行います。
STEP1.クライアントがサーバにユーザ ID を送信
STEP2.サーバがクライアントにチャレンジコード (乱数) を送信
STEP3.クライアントがパスワードとチャレンジコードでハッシュ値を計算してサーバに送信
STEP4.サーバ側で計算した結果とクライアントから送信されたデータを比較
問題は、SETP3で送信されるハッシュ値が56bitであり、
パスワードを知りえない状態でもハッシュ値の総当たりをすることで、
認証をすり抜けることが可能である事です。
↑56bitなので、2の56乗のパターンを総当たりすればいいことになります。
○PPTPに代わるVPN
PPTPに代わるVPNとして、AppleがサポートするVPNプロトコルは次の4つです。
・L2TP/IPSec
・IKEv2/IPSec
・Cisco IPSec
・App Store で提供されている SSL VPN クライアント
(AirWatch、Aruba、Check Point、Cisco、F5 Networks等)
この中では、L2TP/IPSecが便利そうです。
IPsec で通信を暗号化したうえで L2TP によって接続する方式で、PPTP比較してセキュリティとしても強固です。
しかしながら、利用するプロトコルを変更した場合に、
認証する環境を構築しないといけないのは、管理者としては頭が痛いところです。
さらには、Windows、Linux、Android、iOSまたはMacOSなど、
さまざまOSのデバイスが利用されており、複数のプロトコルを利用するニーズが大きくなってきています。
○マルチプロトコル対応のVPNサーバ
ヴィンテージは VPN として SoftEther PacketiX VPN 4.0 を提案いたします。
SoftEther PacketiX VPNはL2TP/IPsec に対応しているので、macOS と iOS はもちろん接続できますが、
それだけでなく Windows や Linux、Android の標準プロトコルに対応しているので、1つの認証環境で複数のプロコルの認証に対応します。
また十分な暗号の強度を持ちつつ通信も高速で行われるため、ストレスなく利用可能です。
SoftEther VPN の導入をご検討ならば、ヴィンテージにご相談ください。