El termino VPN , va unida desde su origen a la de seguridad. Sin embargo este axioma no se cumple en todas su facetas. La conexión de redes virtuales privadas, definen eso, una conexión “segura” a través de un medio inseguro como puede ser Internet. Pero ¿cuál es verdaderamente la seguridad que ofrecen?
En los sistemas tradicionales que han soportado los escenarios Microsoft para clientes VPN, el encapsulamiento se realizaba a través del protocolo de capa 2 Point to Point Protocol (PPP). La realización del túnel se realizaba mediante los protocolos Point to Point tunneling Protocol (PPTP, propietario de Microsoft) o Layer 2 Tunneling Protocol (L2TP, estándar IETF). Ni PPTP ni L2TP describen mecanismos de cifrado o autenticación, dejando esta tarea al protocolo PPP.
De cara a la autenticación, PPP depende de los protocolos de autenticación implementables. Para escenarios Microsoft, los mecanismos admitidos son: PAP, SPAP, CHAP, MS-CHAP / MS-CHAPv2 y EAP-TLS. Excepto para el último, que implica una solución con infraestructura PKI, existen ataques conocidos que permiten recuperar una autenticación de usuario y contraseña, mediante la implementación de diferentes ataques.
