apple・pptp2サポート廃止 代替のVPNは?

投稿者: | 2017年2月17日

Apple が iOS 10, macOS Sierra から PPTP をサポートしないことを発表しました。

<参考サイト>
iOS 10 および macOS Sierra にアップグレードする前に PPTP VPN の削除に備える
PPTPは以前から脆弱性が指摘されていましたが、OSで標準的に利用できるプロトコルとしてサポートされていたため、
今でもよく利用されているVPNプロトコルです。

今回、AppleによるPPTPのサポート中止で利用できなくなるため、他のVPNプロトコルに切り替える必要があります。

○PPTPの脆弱性

PPTPでは、VPNセッションの接続認証に脆弱性が知られています。

PPTPで下記の図の様に認証の通信を行います。

STEP1.クライアントがサーバにユーザ ID を送信
STEP2.サーバがクライアントにチャレンジコード (乱数) を送信
STEP3.クライアントがパスワードとチャレンジコードでハッシュ値を計算してサーバに送信
STEP4.サーバ側で計算した結果とクライアントから送信されたデータを比較

PPTP

問題は、SETP3で送信されるハッシュ値が56bitであり、
パスワードを知りえない状態でもハッシュ値の総当たりをすることで、
認証をすり抜けることが可能である事です。
↑56bitなので、2の56乗のパターンを総当たりすればいいことになります。

○PPTPに代わるVPN

PPTPに代わるVPNとして、AppleがサポートするVPNプロトコルは次の4つです。

・L2TP/IPSec
・IKEv2/IPSec
・Cisco IPSec
・App Store で提供されている SSL VPN クライアント
(AirWatch、Aruba、Check Point、Cisco、F5 Networks等)

この中では、L2TP/IPSecが便利そうです。
IPsec で通信を暗号化したうえで L2TP によって接続する方式で、PPTP比較してセキュリティとしても強固です。

しかしながら、利用するプロトコルを変更した場合に、
認証する環境を構築しないといけないのは、管理者としては頭が痛いところです。

さらには、Windows、Linux、Android、iOSまたはMacOSなど、
さまざまOSのデバイスが利用されており、複数のプロトコルを利用するニーズが大きくなってきています。

○マルチプロトコル対応のVPNサーバ

ヴィンテージは VPN として SoftEther PacketiX VPN 4.0 を提案いたします。

SoftEther PacketiX VPNはL2TP/IPsec に対応しているので、macOS と iOS はもちろん接続できますが、
それだけでなく Windows や Linux、Android の標準プロトコルに対応しているので、1つの認証環境で複数のプロコルの認証に対応します。
また十分な暗号の強度を持ちつつ通信も高速で行われるため、ストレスなく利用可能です。

SoftEther VPN の導入をご検討ならば、ヴィンテージにご相談ください。