Microsoft deprecates PPTP and L2TP VPN protocols in Windows Server
2024/10/12 BleepingComputer — Microsoft の発表は、Windows Server の PPTP (Point-to-Point Tunneling Protocol)/L2TP (Layer 2 Tunneling Protocol) を、将来的に廃止するというものだ。同社が Windows 管理者に対して推奨するのは、セキュリティが強化された他のプロトコルへの移行である。20年以上にわたり Microsoft は、企業ネットワークおよび Windows サーバへのリモート・アクセスを、PPTP/L2TP VPN プロトコルを介して提供してきた。しかし、セキュリティにおけるリソースが高度化し、サイバー攻撃が強大化するにつれて、これらのプロトコルの安全性は低下しつつある。
PPTP について言うなら、たとえば、取得された認証ハッシュのオフライン総当たり攻撃に対して脆弱である。また L2TP は、IPsec などの他のプロトコルと組み合わせない限り、暗号化が提供されない。したがって、L2TP と IPsec が正しくコンフィグされていない場合には、攻撃を受けやすくなるという可能性が生じる。
そのため Microsoft は、より優れたパフォーマンスとセキュリティを提供する、SSTP (Secure Socket Tunneling Protocol) と、IKEv2 (Internet Key Exchange version 2) への移行を推奨している。
10月8日に公開された記事で Microsoft は、「この決定は、SSTP や IKEv2 のような強固なプロトコルへとユーザーを移行させることで、セキュリティとパフォーマンスを強化するという、Microsoft 戦略の一部である。これらの最新プロトコルが提供する、優れた暗号化/高速な接続速度/高度な信頼性などは、昨今の複雑化するネットワーク環境に適したものである」と述べている。
Microsoft は、各プロトコルの利点について、以下のように説明している。
SSTP の利点
- 強力な暗号化:SSL/TLS 暗号化を使用した、安全な通信チャネルを提供する。
- ファイアウォールを通過:多くのファイアウォールやプロキシ・サーバを容易に通過し、シームレスな接続性を確保する。
- 使いやすさ:Windows にネイティブ対応しているため、設定や展開が容易である。
IKEv2 の利点
- 高いセキュリティ:IKEv2 は、強力な暗号化アルゴリズムと堅牢な認証方法をサポートしている。
- モバイル性とマルチホーミング:IKEv2 は、特にモバイル・ユーザーにとって有効であり、ネットワークが変更されても VPN 接続を維持する。
- パフォーマンスの向上:IKEv2 は、トンネルの迅速な確立と待ち時間の短縮により、従来のプロトコルよりも優れたパフォーマンスを発揮する。
Microsoft は、PPTP/L2TP 機能は非推奨となるが、削除されるわけではないとしている。しかし、PPTP/L2TP は積極的な開発は終了へと向かい、将来的には Windows から削除される可能性があるという。この非推奨期間は、数ヶ月から数年となる見込みであり、推奨される VPN プロトコルへの移行のための時間を、管理者は確保できるようになる。
この廃止の一環として、今後の Windows RRAS Server (VPN Server) バージョンでは、PPTP/L2TP プロトコルを用いる受信接続は受け付けられなくなる。ただし、依然としてユーザーは、PPTP/L2TP による発信接続を行うことが可能だとされる。
2024年6月に Microsoft が公開したサポート情報には、SSTP/IKEv2 への移行を支援するための、プロトコル設定手順が記載されている。
Windows のような、長い歴史を持つオペレーション・システムでは、レガシーなプロトコルの停止という問題が、定期的に発生します。中の人は、大変なんだろうなぁと思いますが、頑張ってほしいですね。よろしければ、Protocol で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.