為什麼我們不建議您使用PPTP,L2TP和IKEV1
我們喜歡為您帶來這些內容,並希望它可以幫助您確保您在線安全安全. 也可以隨意與您的朋友分享.
使用L2TP/IPSEC與公共共享密鑰安全?
不,它不是安全的,只能在不需要安全/重要的情況下使用.G. 如果您是在不同位置需要IP的流媒體內容. 要了解為什麼它沒有安全閱讀.
為了與客戶端設備的廣泛兼容性以及易於設置L2TP/IPSEC服務使用預共享密鑰進行身份驗證. 該密鑰通常在VPN提供者網站上發布,因此任何人都可以訪問.
但是,此預共享密鑰不用於對您的設備和VPN服務器之間的數據進行加密,而僅對客戶端設備進行身份驗證服務器. 連接上的被動對手竊聽無法解密隧道數據. 但是,確實存在有效的MITM(中間攻擊中的人)的風險,在這種情況下,對手冒充VPN服務器,然後能夠解密並在連接上竊聽.
此功能需要攻擊者的技術成熟,但可能性非常真實,因此我們強烈建議需要安全的客戶使用基於OpenVPN的VPN服務. 此外,“ der Spiegel”出版物發布的NSA演示文稿表明,IKE以未知的方式被利用,以解密IPSEC流量.
進一步的技術信息
IPSEC使用稱為IKE(Internet密鑰交換)的協議,用於在客戶端和服務器之間設置安全關聯(SA). ike有兩個階段,在第一階段,客戶端和服務器生成和交換名詞,然後他們執行差異 – 赫爾曼密鑰交換. 雙方然後使用聲,Diffie-Hellman共享的秘密和預共享的鍵來生成IKE鍵. 然後在第二階段使用這些IKE鍵來生成IPSEC SA,其中包含用於加密隧道數據的會話密鑰.
由於第1階段的差異 – 赫爾曼操作. 但是,如上所述,由於使用預共享密鑰,可能會進行主動MITM攻擊,在這種情況下,對手可以竊聽甚至將惡意數據注入連接.
相關文章
- 我的IP被WEBRTC洩漏. 我如何禁用?
- 你支持黑莓嗎?
- 您在哪個國家 /地區有服務器 /服務器位於哪裡?
- 抗危機常見問題解答
- 在哪裡可以為計算機下載VPN軟件?
仍然有疑問?
取得聯繫,我們會在幾個小時後與您聯繫.
對隱私感興趣?
閱讀我們最新的隱私新聞,並保持最新的IVPN服務.
為什麼我們不建議您使用PPTP,L2TP和IKEV1
在為您選擇正確的VPN協議時,這可能是一個棘手的任務. 有很多可供選擇,每個人的作用都可以理解一些技術,尤其是對於那些只想保持互聯網活動盡可能私密的人來說. 這就是為什麼重要的是要知道有一些VPN協議提供,但不安全,應盡可能避免. 這些協議包括PPTP,L2TP和IKEV1. 在本文中,我們將深入了解為什麼您不應該使用這些協議.
pptp
點對點隧道協議(PPTP)是最常見的VPN協議之一,這主要是由於其在眾多設備上的兼容性. 自2000年以來,它就一直存在,從那時起,互聯網安全行業就完全抹黑了,因為它具有許多眾所周知的安全缺陷.
PPTP擁有的漏洞是由PPP身份驗證協議和使用的MPPE協議引起的. 這包括MPPE和PPP用於會話密鑰建立的方式.
用於身份驗證的MS-chap-V1從根本上是不安全的,可用的各種工具可以輕鬆從捕獲的MS-CHAP-V1 Communications獲取NT密碼哈希. MS-chap-v2也同樣脆弱,但是這次是對挑戰響應數據包的字典攻擊. 同樣,可以輕鬆地使用工具來執行這些攻擊.
MPPE協議使用RC4流動機進行加密. 這意味著無法驗證密文流,這意味著它很容易受到輕微攻擊的攻擊. 這意味著攻擊者可以修改流量而無可能被檢測到.
如您所見,PPTP已完全妥協,應不惜一切代價避免. 兼容性很有用,但根本不再安全.
L2TP/IPSEC
第2層隧道協議(L2TP)是另一個非常流行的協議,具有一些固有的安全性弱點. 由於Android和iOS的本機支持,移動用戶經常使用它. 它的起源來自上述PPTP,其最新迭代L2TPV3來自2005年.
L2TP實際上並未指定任何強制性加密,但依賴於PPP的MPPE加密方法. 這就是為什麼它幾乎總是與IPSEC配對,後者支持AES-256. IPSEC的一個大問題是它使用UDP端口500,這使得通過防火牆很容易阻止. L2TP/IPSEC非常安全,但是Edward Snowden和John Gilmore(EFF的創始成員)等人的隆隆聲是該協議已被NSA削弱,這意味著它不一定是當它出現時的最佳選擇。安全. 最近的研究證明,L2TP/IPSEC遭受與常規IKEV1 IPSEC相同的漏洞,而不應再使用的。. 您可能會在這裡找到有關該主題的更多信息.
總體而言,L2TP/IPSEC看起來像是表面上很棒的協議,但如今應該避免. 毫無疑問,它對iOS和Android之類的支持是有用的,但這並不值得以安全為代價.
ikev1
Internet密鑰交換(IKE)協議的第一個版本是IKEV2成為當前可用的最安全,最快的VPN協議之一的基礎. 第一個版本具有固有的安全漏洞,無法避免.
Der Spiegel發布的洩露的NSA演示文稿表明,IKE正在以目前未知的方式剝削IPSEC流量. 研究人員還發現了一種可能打破1024位差異 – 赫爾曼加密的logjam攻擊. 這是一個巨大的發現,因為這意味著有66%的VPN服務器,18%的前百萬https和26%的SSH服務器都是脆弱的. 儘管這一發現在互聯網安全行業非常有爭議,但選擇VPN協議時值得考慮.
如上所述,iKeV1上的密鑰填充漏洞的最新發現使協議確實不安全. 利用隱藏的密鑰填充漏洞.由於我們對IKEV1部署的設計,無法使用ME服務器(我們不使用脆弱的基於RSA的身份驗證機制). 由於這個事實,我們的IKEV2實施也是安全的.
當存在Ikev2(在第一個版本上都無法確定地改善時,就沒有理由不使用它. IKEV2帶來了否認服務攻擊彈性,SCTP支持和NAT遍歷之類的.
在這一點上應該避免使用IKEV1,我們強烈建議將IKeV2用作您的主要VPN協議.
更好的使用協議
我們提供許多不同的VPN協議,這些協議比此處列出的協議更好. 我們高度評價IKeV2,這是我們為大多數用戶提供的建議VPN協議. 但是OpenVPN是另一個不錯的選擇. 手動設置可能有些麻煩,絕對不是新手用戶. 但是它可以在各種各樣的設備上可用,並已知安全.
柔和的選擇是另一個不錯的選擇,但只能通過專門的程序才能使用. 它提供良好的安全性和速度,但不要期望在所有設備上使用它. 最後,SSTP是一個不錯的選擇. 值得記住的是Microsoft的專有協議,但是規格已經足夠清楚,並且不應有任何問題. . 對於Windows用戶來說,這是一個不錯的選擇,因為它是本地支持的,並且可以輕而易舉地設置.
隱藏.我VPN應用程序
在設備上設置VPN連接的最簡單方法是使用該hide.我VPN應用. 它可以在Windows,MacOS,iOS,Android和Windows Phone上使用. 在我們的應用程序上,您可以在我們提供的所有VPN協議之間進行選擇,包括柔和的. 因此,您可以連接到選擇的服務器,而不必擔心保持安全. 您甚至可以設置後備協議,以防您選擇的協議下降.
甚至沒有提及我們的應用程序可用的其他功能,例如殺戮開關,分裂隧道,防火牆和停止DNS-Leaks的能力. 我們甚至有可用的鍍鉻和Firefox擴展名.
我們喜歡為您帶來這些內容,並希望它可以幫助您確保您在線安全安全. 也可以隨意與您的朋友分享.
在藏匿處.我我們都關心互聯網自由,我們很高興能夠將其帶給所有人. 這就是為什麼我們在高級計劃中給您30天的退款保證. 沒有問題,也沒有記錄日誌.
如果您有任何疑問,請在support@hide上與我們的24/7支持團隊聯繫.我或通過實時聊天.