Microsoft ha annunciato il “pensionamento” dei protocolli PPTP (Point-to-Point Tunneling Protocol) e L2TP (Layer 2 Tunneling Protocol) nelle future versioni di Windows Server, invitando gli amministratori IT a passare a protocolli più sicuri.
Per oltre 20 anni, le aziende hanno utilizzato sia PPTP che L2TP per stabilire un accesso a distanza, tramite VPN, ai sistemi Windows Server e alle reti aziendali. Con il progredire delle tecniche di attacco informatico e l’aumento delle risorse impiegate, questi protocolli sono diventati meno sicuri. PPTP, ad esempio, è vulnerabile ad attacchi brute force perpetrati offline sugli hash di autenticazione catturati.
L2TP, inoltre, non offre misure crittografiche a meno che non sia utilizzato con un altro protocollo, come IPsec. Inoltre, se L2TP/IPsec non è configurato correttamente, possono emergere debolezze tali da rendere vulnerabile il collegamento VPN.
Le connessioni VPN devono utilizzare protocolli sicuri: addio a PPTP e L2TP
Sebbene Microsoft abbia deciso di accantonare ufficialmente i protocolli PPTP e L2TP da Windows Server, l’azienda di Redmond ha confermato che non disabiliterà immediatamente l’uso dei due protocolli. Piuttosto, la decisione del colosso di Redmond è spia del fatto che i due protocolli non godranno più di alcun tipo di supporto da parte dei tecnici.
La società guidata da Satya Nadella consiglia agli utenti di passare a protocolli più moderni e sicuri come SSTP (Secure Socket Tunneling Protocol) e IKEv2 (Internet Key Exchange versione 2), capaci di offrire prestazioni migliori e una maggiore sicurezza. In un altro articolo abbiamo spiegato quanto conta la scelta del protocollo per le prestazioni della VPN.
SSTP utilizza la crittografia SSL/TLS, offrendo un canale di comunicazione sicuro. Può facilmente superare la maggior parte dei firewall e dei server proxy, garantendo una connettività senza interruzioni. Con il supporto nativo in Windows, SSTP è facile da configurare e distribuire.
Tra i vantaggi di IKEv2 il supporto di algoritmi crittografici avanzati e metodi di autenticazione robusti. Particolarmente efficace per gli utenti mobili, IKEv2 mantiene attive le connessioni VPN durante i cambi di rete (multihoming). Infine, con una più rapida creazione dei tunnel e una minore latenza, IKEv2 offre prestazioni superiori rispetto ai protocolli legacy.
Microsoft ha recentemente pubblicato una guida alla configurazione di SSTP e IKEv2 in Windows.
Nelle future versioni del server RRAS di Windows (Server VPN), le connessioni in entrata tramite PPTP e L2TP non saranno più accettate. Tuttavia, gli utenti potranno ancora effettuare connessioni in uscita utilizzando gli stessi protocolli.
Inizia così un periodo di transizione che potrebbe durare anche qualche anno, per dare tempo agli amministratori di migrare verso i protocolli VPN raccomandati.