При попытке подключиться к беспроводной сети нашей компании, не находясь в домене, я получаю сообщение о том, что наш сервер RADIUS предоставил действительный сертификат, выданный нашим корневым ЦС, но корневой ЦС не настроен как допустимый якорь доверия (в Windows 7 машина).
Чтобы удалить это сообщение, корневой ЦС необходимо вручную отключить в целях безопасности для подключения к беспроводной сети. Какой смысл вручную указывать системе доверять корневому центру сертификации? Разве не в этом смысл наличия доверенного корневого центра сертификации? Есть ли способ обойти это? Это становится проблемой, когда пользователи думают, что наше соединение небезопасно или сертификаты устарели. Я не могу вручную настроить каждую машину, которая может использовать беспроводную связь.
Помните, что безопасность беспроводной сети состоит из трех частей.
Во-первых, сеть хочет знать, разрешено ли устройство в сети. Для этого он должен иметь возможность точно идентифицировать устройства и, следовательно, выдавать уникальный сертификат для каждого устройства. Однако возможность создавать новые сертификаты для каждого устройства означает, что сеть должна не только получить свой собственный сертификат, но также иметь полный центр сертификации (ЦС).
Вторая часть - клиентские устройства также хотят знать, что точки доступа являются законными, а не мошенниками, использующими один и тот же SSID, пытаясь туннелировать трафик через некоторый случайный сниффер пакетов, отправляя трафик по назначению. Это достигается за счет того, что каждая законная точка доступа с идентификатором SSID использует общий сертификат, который может проверить клиентское устройство.
Наконец, ключи в сертификатах используются в качестве ключей шифрования беспроводного трафика. Поддельный сертификат по обе стороны от ссылки подразумевает, что устройство посередине может расшифровать и просмотреть трафик в виде обычного текста.
Это вторая часть, на которой мы хотим сосредоточиться здесь. Сертификаты являются частью цепочки, и для того, чтобы клиент мог проверить сертификат точки доступа, он должен проверить каждый сертификат в цепочке, вплоть до центра сертификации наверху. Эта проверка может быть успешной только в том случае, если CA в верхней части цепочки уже известен и доверяет клиенту до подключения к беспроводной сети.1 Чтобы сделать этот и другие сценарии сертификатов возможными, операционные системы и некоторые браузеры поставляются с предварительно настроенным списком доверенных центров сертификации.
Как вы указали, компьютеры Windows, присоединенные к домену, также можно заставить доверять ЦС, назначенному их контроллером домена. Однако другие устройства, например, с BYOD или при отсутствии домена Windows, не узнают ваш контроллер домена или сетевой ЦС от случайного хакера с улицы, потому что ЦС в вашей сети не находится в предварительно настроенном доверенном Список ЦС.
Это не ошибка или недосмотр администраторов беспроводной сети. Хорошо известных и надежных корневых центров сертификации относительно мало, и это сделано специально. Если бы хоть кто-нибудь мог стать доверенным корневым центром сертификации, вся система вышла бы из строя, потому что было бы легко выпускать поддельные сертификаты, которые выглядели бы настоящими.
К сожалению, это оставляет пробел для беспроводных сетей. Администраторы беспроводной сети должен иметь CA для правильной аутентификации устройств, но это может и не быть доверенный корневой ЦС для защиты целостности системы сертификатов. Для устройств внутри предприятия, например, с первоначальной концепцией 802.1x, достаточно легко предварительно настроить устройства, чтобы они доверяли сетевому CA. Для сценариев BYOD здесь есть небольшая проблема ... и какая сеть больше не нуждается в поддержке BYOD?
Существуют службы, которые решают эту проблему и делают включение вашего центра сертификации в список доверенных клиентов прозрачным для ваших пользователей и гостей.2 Это называется адаптацией, и в первую очередь на ум приходят CloudPath XpressConnect, Aruba Clearpass, и SecureW2 JoinNow. У Cisco также есть ISE, и большинство поставщиков беспроводной связи будут играть в этой области.
1 Большинство операционных систем сегодня позволяют пользователю игнорировать недействительный сертификат сервера при подключении к беспроводному newtork и просто принимать все, что он дал. Однако это не лучшая практика. Помимо того, что клиент остается уязвимым для атак MitM, как обсуждалось выше, он может поставить пугающее предупреждающее сообщение, как будто вы видите перед пользователем, которого лучше избегать.
2 Как бы то ни было, такое положение вещей меня не очень устраивает как лучшее решение. Мне не нравится идея разрешать случайным поставщикам Wi-Fi изменять список доверенных центров сертификации моего компьютера. Если бы я был, например, АНБ, атака на приложения / скрипты CloudPath была бы довольно высока в моем списке приоритетов. Кроме того, это всегда игра в кошки-мышки с поставщиками услуг для поддержки новейших устройств и операционных систем, особенно мобильных. Я предвижу будущее, которое включает новый вид ограниченного центра сертификации, который, возможно, должен быть зарегистрирован в существующих известных / доверенных центрах сертификации и может выдавать только ограниченные сертификаты «Wi-Fi».
Задумайтесь на секунду над своим вопросом.
«Корневой ЦС» - это «корневой ЦС» для вашего домена. Так что да, ему будут доверять члены вашего домена, а не машины, которые не присоединены к вашему домену. Фактически, если бы вы могли заставить машины автоматически, произвольно доверять вашему ЦС, это было бы довольно большой дырой в безопасности, а не функцией безопасности (именно так Stuxnet и Flame установили себя - с поддельными сертификатами от универсально доверенных ЦС).
Вы должны распространять сертификаты и доверительные отношения CA через GPO (автоматическая регистрация), что означает, что вам не нужно вручную настраивать каждую машину, которая должна использовать беспроводную сеть, и вы можете значительно облегчить себе жизнь, разрешив только присоединение к домену машины (которым выданы эти сертификаты и доверительные отношения) в беспроводную сеть компании, именно поэтому вам не нужно вручную выдавать сертификаты и доверительные отношения. Конечно, вы можете разрешить любому устройству, не имеющему доверительных отношений и сертификатов, использовать беспроводную связь ... но симптомы, которые вы видите, - это цена, которую вы платите за это.
Вы также можете настроить дополнительный беспроводной SSID, защищенный паролем и отделенный от корпоративной сети, чтобы ваши пользователи могли просматривать веб-страницы со своих личных устройств (и это то, что мы делаем), если вы не можете установить закон. и просто скажите «нет» личным беспроводным устройствам в офисе.