MS-SSTPの証明書のセキュリティ的な位置づけは、悪意のある攻撃者からの防御ではなく、中間者攻撃等からのエンドユーザ保護で会っているか?

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
potipoti
Posts: 2
Joined: Tue Apr 05, 2022 3:52 am

MS-SSTPの証明書のセキュリティ的な位置づけは、悪意のある攻撃者からの防御ではなく、中間者攻撃等からのエンドユーザ保護で会っているか?

Post by potipoti » Tue Apr 05, 2022 3:57 am

現在、サーバの設定でMS-SSTPサーバを有効にするのみを使用しており、Open-VPNサーバは使用していません。

が、この状態はどの程度セキュアなのか?というのが気になっております。

MS-SSTPでの証明書検証は、クライアントで行われるもので、攻撃シナリオとしては回避可能という認識をしております

MSのSSTPのドキュメントより。
5.3.1 Unauthorized Client Connecting to an SSTP Server
https://docs.microsoft.com/en-us/opensp ... 17d805bd24

「The HTTPS connection goes through because the server does not authenticate the client at the SSL/TLS layer. Make sure the SSTP server terminates the connection at the PPP layer after determining that the client has no proper user credentials. 」

MS-SSTPの証明書としては、中間者攻撃等からエンドユーザを守るのが目的であり、
SSTPサーバを攻撃者から守るのが目的ではないと理解しているのですが(SSTPサーバは、ID、パスワード認証の場合、ID、パスワードしか守られていない)、認識あっておりますでしょうか?

cedar
Site Admin
Posts: 1837
Joined: Sat Mar 09, 2013 5:37 am

Re: MS-SSTPの証明書のセキュリティ的な位置づけは、悪意のある攻撃者からの防御ではなく、中間者攻撃等からのエンドユーザ保護で会っているか?

Post by cedar » Tue Apr 05, 2022 10:55 am

はい。
クライアント側で行われるサーバー証明書の検証は、偽のサーバーに接続していないことを保証するためのもので、クライアント自身の真正性は保証しません。

クライアントの真正性の検証は、ID(ユーザー名)とパスワードの検証によって行われます。

potipoti
Posts: 2
Joined: Tue Apr 05, 2022 3:52 am

Re: MS-SSTPの証明書のセキュリティ的な位置づけは、悪意のある攻撃者からの防御ではなく、中間者攻撃等からのエンドユーザ保護で会っているか?

Post by potipoti » Wed Apr 06, 2022 1:17 am

回答ありがとうございます。
セキュリティー方針考えるのに使わせていただきます

Post Reply