微軟近日宣布,未來版本的 Windows Server 將正式棄用點對點隧道協議(PPTP)和第二層隧道協議(L2TP)。微軟建議系統管理員轉向使用安全性更高的替代協議。
這兩種 VPN 協議在過去 20 多年來一直被企業用於提供遠端存取公司網路和 Windows 伺服器。然而,隨著網路安全攻擊手法和資源日益複雜強大,這些協議的安全性已不再足夠。
微軟指出 PPTP 和 L2TP 的主要安全隱憂:
- PPTP 容易遭受離線暴力破解攻擊,特別是針對捕獲的驗證雜湊值。
- L2TP 本身不提供加密,除非與其他協議(如 IPsec)結合使用。但若 L2TP/IPsec 配置不當,可能引入新的安全弱點。
基於這些考量,微軟現在建議用戶轉向更新的安全通訊端隧道協議(SSTP)和網際網路金鑰交換協議第 2 版(IKEv2),這兩種協議能提供更佳的性能和安全性。
微軟表示棄用 PPTP 和 L2TP VPN 協議是加強安全性和性能策略的一部分。SSTP 和 IKEv2提供更強的加密、更快的連線速度和更好的可靠性,更適合當今日益複雜的網路環境。微軟特別強調了 SSTP 和 IKEv2 的主要優勢:
SSTP 優勢
- 強大加密:使用 SSL/TLS 加密,提供安全的通訊通道。
- 防火牆穿透:能輕鬆通過大多數防火牆和代理伺服器,確保無縫連接。
- 易於使用:Windows 原生支援,配置和部署簡單。
IKEv2 優勢
- 高安全性:支援強大的加密算法和認證方法。
- 移動性和多宿主:特別適合移動用戶,在網路變更時能維持 VPN 連線。
- 性能提升:隧道建立更快,延遲更低,性能優於舊有協議。
微軟強調,功能棄用並不意味立即移除,而是停止積極開發,可能在未來版本中移除。這個過渡期可能持續數月到數年,給予管理員充足時間遷移到建議的 VPN 協議。
在這次棄用過程中,未來版本的 Windows RRAS Server(VPN Server)將不再接受使用 PPTP 和 L2TP 協議的入站連線。但用戶仍可建立這兩種協議的出站連線。
為協助管理員遷移至 SSTP 和 IKEv2,微軟曾於今年六月發布了一份支援公告,詳細說明如何配置這些協議。
資安專家建議,企業應及早規劃 VPN 協議升級,以確保遠端存取的安全性和效能。同時,也應關注微軟未來可能發布的進一步指引和更新。
本文轉載自bleepingcomputer。