現在、サーバの設定でMS-SSTPサーバを有効にするのみを使用しており、Open-VPNサーバは使用していません。
が、この状態はどの程度セキュアなのか?というのが気になっております。
MS-SSTPでの証明書検証は、クライアントで行われるもので、攻撃シナリオとしては回避可能という認識をしております
MSのSSTPのドキュメントより。
5.3.1 Unauthorized Client Connecting to an SSTP Server
https://docs.microsoft.com/en-us/opensp ... 17d805bd24
「The HTTPS connection goes through because the server does not authenticate the client at the SSL/TLS layer. Make sure the SSTP server terminates the connection at the PPP layer after determining that the client has no proper user credentials. 」
MS-SSTPの証明書としては、中間者攻撃等からエンドユーザを守るのが目的であり、
SSTPサーバを攻撃者から守るのが目的ではないと理解しているのですが(SSTPサーバは、ID、パスワード認証の場合、ID、パスワードしか守られていない)、認識あっておりますでしょうか?
MS-SSTPの証明書のセキュリティ的な位置づけは、悪意のある攻撃者からの防御ではなく、中間者攻撃等からのエンドユーザ保護で会っているか?
-
potipoti
- Posts: 2
- Joined: Tue Apr 05, 2022 3:52 am
-
cedar
- Site Admin
- Posts: 2264
- Joined: Sat Mar 09, 2013 5:37 am
Re: MS-SSTPの証明書のセキュリティ的な位置づけは、悪意のある攻撃者からの防御ではなく、中間者攻撃等からのエンドユーザ保護で会っているか?
はい。
クライアント側で行われるサーバー証明書の検証は、偽のサーバーに接続していないことを保証するためのもので、クライアント自身の真正性は保証しません。
クライアントの真正性の検証は、ID(ユーザー名)とパスワードの検証によって行われます。
クライアント側で行われるサーバー証明書の検証は、偽のサーバーに接続していないことを保証するためのもので、クライアント自身の真正性は保証しません。
クライアントの真正性の検証は、ID(ユーザー名)とパスワードの検証によって行われます。
-
potipoti
- Posts: 2
- Joined: Tue Apr 05, 2022 3:52 am
Re: MS-SSTPの証明書のセキュリティ的な位置づけは、悪意のある攻撃者からの防御ではなく、中間者攻撃等からのエンドユーザ保護で会っているか?
回答ありがとうございます。
セキュリティー方針考えるのに使わせていただきます
セキュリティー方針考えるのに使わせていただきます