Windows 7 Привязка к доверию сертификата Wi-Fi

Задумайтесь на секунду над своим вопросом.

«Корневой CA» - это «корневой CA» для вашего домена. Так что да, ему будут доверять члены вашего домена, а не машины, которые не присоединены к вашему домену. Фактически, если бы вы могли заставить машины автоматически, произвольно доверять вашему ЦС, это было бы довольно большой дырой в безопасности, а не функцией безопасности (именно так Stuxnet и Flame установили сами себя - с поддельными сертификатами от универсально доверенных ЦС).

Вы должны распространять сертификаты и доверительные отношения CA через GPO (автоматическая регистрация), что означает, что вам не нужно вручную настраивать каждую машину, которая должна использовать беспроводную связь, и вы можете значительно упростить себе жизнь, разрешив подключаться к беспроводной сети компании только компьютерам, присоединенным к домену (которые имеют эти сертификаты и доверительные отношения), именно поэтому вам не придется вручную выдавать сертификаты и доверительные отношения. Конечно, вы можете разрешить любому устройству, не имеющему доверительных отношений и сертификатов, использовать беспроводную связь ... но симптомы, которые вы видите, - это цена, которую вы платите за это.

Вы также можете настроить вторичный беспроводной SSID, защищенный паролем и отделенный от корпоративной сети, чтобы ваши пользователи могли просматривать веб-страницы со своих личных устройств (и это то, что мы делаем), если вы не можете установить закон и просто сказать «нет» "на личные беспроводные устройства в офисе.

Помните, что безопасность беспроводной сети состоит из трех частей.

Во-первых, сеть хочет знать, разрешено ли устройству работать в сети. Для этого он должен иметь возможность точно идентифицировать устройства и, следовательно, выдавать уникальный сертификат для каждого устройства. Однако возможность создавать новые сертификаты для каждого устройства означает, что сеть должна не только получить свой собственный сертификат, но также запустить полный центр сертификации (CA).

Вторая часть - клиентские устройства также хотят знать, что доступ точки являются законными, а не мошенниками, использующими один и тот же SSID, пытаясь туннелировать трафик через некоторый случайный сниффер пакетов, отправляя трафик по назначению. Это достигается тем, что каждая легитимная точка доступа с идентификатором SSID использует общий сертификат, который может проверить клиентское устройство.

Наконец, ключи в сертификатах используются в качестве ключей шифрования для беспроводного трафика. Поддельный сертификат по обе стороны от ссылки подразумевает, что устройство посередине может расшифровать и просмотреть трафик в виде обычного текста.

Это вторая часть, на которой мы хотим сосредоточиться здесь. Сертификаты являются частью цепочки, и для того, чтобы клиент мог проверить сертификат точки доступа, он должен проверить каждый сертификат в цепочке, вплоть до центра сертификации наверху. Эта проверка может быть успешной только в том случае, если CA в верхней части цепочки уже известен и доверяет клиенту до подключения к беспроводной сети. ¹ Чтобы сделать этот и другие сценарии сертификата возможными, операционные системы и некоторые браузеры поставляются с предварительно настроенным списком доверенных центров сертификации.

Как вы указали, компьютеры Windows, присоединенные к домену, также могут быть доверены центрам сертификации, назначенным их контроллером домена. Однако другие устройства, например, с BYOD или при отсутствии домена Windows,не узнает ваш контроллер домена или сетевой ЦС от случайного хакера с улицы, потому что ЦС в вашей сети нет в предварительно настроенном списке доверенных ЦС.

Это не ошибка или недосмотр администраторов беспроводной сети. Хорошо известных и надежных корневых центров сертификации относительно мало, и это сделано намеренно. Если бы хоть кто-нибудь мог стать доверенным корневым центром сертификации, вся система вышла бы из строя, потому что было бы легко выпускать поддельные сертификаты, которые выглядели бы настоящими.

К сожалению, это оставляет пробел для беспроводных сетей. Администраторы беспроводных сетей должны иметь CA для правильной аутентификации устройств, но этот может не быть доверенным корневым CA для защиты целостности системы сертификатов. Для устройств внутри предприятия, например, с первоначальной концепцией 802.1x, достаточно легко предварительно настроить устройства, чтобы они доверяли сетевому CA. Для сценариев BYOD здесь есть небольшая проблема ... и какая сеть больше не нуждается в поддержке BYOD?

Существуют службы, которые решают эту проблему и делают включение вашего центра сертификации в список доверенных клиентов прозрачным для ваших пользователей и гости. ² Это называется onboarding, и на ум приходят основные игроки CloudPath XpressConnect , Aruba Clearpass и SecureW2 JoinNow . Cisco также имеет ISE , и большинство поставщиков беспроводных услуг будут играть в этой области.

^{1 Большинство современных операционных систем позволяют пользователю игнорировать недействительный сертификат сервера при подключении к беспроводной newtork, и просто примите все, что он вам дал. Однако это не лучшая практика. Помимо того, что клиент остается уязвимым для атак MitM, как обсуждалось выше, он может поставить пугающее предупреждающее сообщение, как будто вы видите перед пользователем, которого лучше избегать.}

^{2 Для чего это стоит, такое положение дел меня не устраивает как лучшее решение. Мне не нравится идея разрешать случайным поставщикам Wi-Fi изменять список доверенных центров сертификации моего компьютера. Если бы я был, например, АНБ, атака на приложения / скрипты CloudPath была бы в моем списке приоритетных задач. Кроме того, это всегда игра в кошки-мышки с поставщиками услуг для поддержки новейших устройств и операционных систем, особенно мобильных. Я предвижу будущее, которое будет включать новый вид ограниченного центра сертификации, который, возможно, должен быть зарегистрирован в существующих известных / доверенных центрах сертификации и может выдавать только ограниченные сертификаты «Wi-Fi».}