image

90% VPN netwerken is kwetsbaar voor hackers

maandag 31 januari 2005, 12:54 door Redactie, 8 reacties

Volgens security bedrijf NTA Monitor is 90% van de virtual private networks, vanwege standaardfouten, kwetsbaar voor hackers. Ondanks het feit dat de meeste bedrijven en financiele instellingen hun eigen security teams hebben, trof NTA in de afgelopen 3 jaar veel exploitbare lekken in de VPNs aan. Onder de fouten bevinden zich "username enumeration" lekken, waardoor gebruikersnamen via woordenboekaanvallen achterhaald kunnen worden. "Een van de standaard vereisten van een gebruikersnaam/wachtwoord authenticatie aanpak is dat een verkeerde login geen informatie mag vrijgeven of de gebruikersnaam of het wachtwoord verkeerd is. Veel VPNs negeren deze regel echter. Het feit dat VPN gebruikersnamen vaak op de namen en e-mailadressen van personen gebaseerd zijn, maakt het voor een aanvaller makkelijker om via een woordenboekaanval geldige gebruikersnamen te achterhalen." aldus Roy Hills van NTA.

Reacties (8)
31-01-2005, 13:24 door Anoniem
als jij je VPN instellingen aanpast inplaats van dat je het op de
standaard instellingen laat. kunnen hackers er ook geen gebruik van
maken :-)

ik neem aan dat ze hiermee de kleine bedrijfen mee bedoelen,
waarmee de eerste de beste sjonnie als netwerk beheerder wordt
benoemd.

tjah dan vraag je erom he.
31-01-2005, 14:36 door Anoniem
Op maandag 31 januari 2005 13:24 schreef Anoniem onder meer:
> tjah dan vraag je erom he.

En dat is nou precies een belangrijk deel van het probleem.
Jij slaapt 's zomers zeker met je slaapkamerraam potdicht,
om insluipers te voorkomen?

Als ik mijn deur een keer vergeet op slot te doen, of bij de
beveiliging van een server of VPN verbinding of wat dan ook
iets over het hoofd gezien heb, of een patch nog niet
geinstalleerd heb, of die patch er gewoon nog niet is, dan
betekent dit allemaal niet dat ik om een inbraak (een
misdrijf) vraag.

Wat niet wil zeggen dat de meeste Sjonnies (en ik) het niet
op prijs stellen als we op onvolkomenheden worden gewezen,
voordat de boel door egoistische malloten overhoop wordt
gehaald.

Erik van Straten
31-01-2005, 14:37 door FL4TLiN3R
Ik ben het met anoniem eens, sjonnie van de administratie die in het pc
magazine tijdschrift van een VPN heeft gelezen, kan dit met moeite
installeren, laat staan configgen...

Schoenmaker blijf bij je leest... een goeie sysadmin heeft zijn zaakjes wel
voor elkaar, 90% lijkt me ook een errug sterk percentage :S
31-01-2005, 21:58 door Anoniem
...kwetsbaar voor Crackers, bedoelt men.
01-02-2005, 08:39 door Anoniem
Lekker vaag onderzoek. Maar goed, een vpn zou helemaal geen
wachtwoord-authenticatie moeten hebben: sterke authenticatie is beter.
Daarbij komt dat pptp bijvoorbeeld met korte wachtwoorden heel goed te
kraken is. De vraag is natuurlijk wel: gebeurd dat ooit.

90% lijkt me volledig uit de lucht gegerepen. Vooral omdat ze geen bron
noemen of onderzoeksopzet.

a.no
01-02-2005, 10:57 door Anoniem
Username Enumeration: alsof de gebruikersnaam een geheim moet zijn.
Je moet via (bijvoorkeur sterke) authenticatie bewijzen dat je bent wie je
bent. Je moet dus niet alleen je wachtwoorden gaan geheimhouden,
maar ook nog je usernamen, etc. Straks wordt zelfs het feit dat je
Pietersen heet al een beviligingsrisico
01-02-2005, 14:29 door Anoniem
Door Anoniem
Op maandag 31 januari 2005 13:24 schreef Anoniem onder meer:
> tjah dan vraag je erom he.

En dat is nou precies een belangrijk deel van het probleem.
Jij slaapt 's zomers zeker met je slaapkamerraam potdicht,
om insluipers te voorkomen?

Als ik mijn deur een keer vergeet op slot te doen, of bij de
beveiliging van een server of VPN verbinding of wat dan ook
iets over het hoofd gezien heb, of een patch nog niet
geinstalleerd heb, of die patch er gewoon nog niet is, dan
betekent dit allemaal niet dat ik om een inbraak (een
misdrijf) vraag.

Wat niet wil zeggen dat de meeste Sjonnies (en ik) het niet
op prijs stellen als we op onvolkomenheden worden gewezen,
voordat de boel door egoistische malloten overhoop wordt
gehaald.

Erik van Straten


kijk dat laat nou weer zien hoe onprofessioneel je te werk gaat.
in dit geval ga je dus duidelijk voor een alternatief zoeken.
om zulk soort calamiteiten te voorkomen.

Nou Sjonnie, omdat jij denkt dat je nix kan doen, is jou netwerk in gevaar.
01-02-2005, 15:56 door Ronald van der Westen.

Als ik mijn deur een keer vergeet op slot te doen, of bij de
beveiliging van een server of VPN verbinding of wat dan ook
iets over het hoofd gezien heb, of een patch nog niet
geinstalleerd heb, of die patch er gewoon nog niet is, dan
betekent dit allemaal niet dat ik om een inbraak (een
misdrijf) vraag.

Wat niet wil zeggen dat de meeste Sjonnies (en ik) het niet
op prijs stellen als we op onvolkomenheden worden gewezen,
voordat de boel door egoistische malloten overhoop wordt
gehaald.

Erik van Straten

Ben ik het mee eens, maar wanneer je via VPN mensen toegang wil geven
tot je pc, gaat het er niet alleen om, om software te installeren en als het
werkt is het allemaal best.. maar er zou iets dieper in het protocol moeten
worden gekeken. Zo worden deze dingen opgevangen. Het is algemeen
bekent dat er met encryptie veel minder mogelijkheden zijn voor een
aanvaller.
Gebruik die dan ook al kost het meer tijd.

Mvg,
Ronald van der Westen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.