Âncora de Confiança do Windows 7 Wifi Certificate

2

Ao tentar se conectar à nossa empresa sem fio enquanto não estiver no domínio, recebo uma mensagem informando que nosso servidor RADIUS forneceu um certificado válido emitido pela nossa CA raiz, mas que a CA raiz não está configurada como uma âncora de confiança válida ( em uma máquina windows 7).

A CA raiz tem que ser verificada manualmente em segurança para a conexão de rede sem fio para remover essa mensagem. Qual é o objetivo de informar manualmente ao sistema para confiar na CA raiz? Não é esse o ponto de ter uma CA raiz confiável? Existe alguma maneira de contornar isso? Isso se torna um problema quando os usuários acham que nossa conexão é insegura ou os certificados estão desatualizados. Não consigo configurar manualmente todas as máquinas que podem usar o wireless.

É o mesmo que a questão vista aqui .

    
por zach 23.08.2012 / 15:14

2 respostas

1

Pense na sua pergunta por um segundo.

A "CA raiz" é a "CA raiz" do seu domínio. Então, sim, será confiável para os membros do seu domínio e não para as máquinas que não estão associadas ao seu domínio. Na verdade, se você pudesse fazer com que as máquinas automaticamente confiassem arbitrariamente em sua CA, isso seria uma falha de segurança bastante grande, em vez de um recurso de segurança (e é precisamente como o Stuxnet e o Flame se instalaram - com certificados falsificados de CAs universalmente confiáveis). / p>

Você deve distribuir certificados e CAs através do GPO (inscrição automática), o que significa que você não precisa configurar manualmente todas as máquinas que precisam usar a rede sem fio, e você pode tornar sua vida mais fácil, permitindo apenas máquinas associadas a domínios (que têm esses certificados e relações de confiança enviadas para elas) na rede sem fio da empresa, precisamente para que você não precise emitir certificados e relações de confiança manualmente. Claro, você pode decidir permitir que qualquer dispositivo que não tenha as relações de confiança e os certificados usem a rede sem fio ... mas os sintomas que você está vendo são o preço que você paga por isso.

Você também pode configurar um SSID sem fio secundário, protegido com uma senha e segmentado a partir da rede corporativa para permitir que seus usuários naveguem na Web com seus dispositivos pessoais (e é o que fazemos), se você não puder abaixo a lei e apenas dizer "não" aos dispositivos sem fio pessoais no escritório.

    
por 24.08.2012 / 02:58
1

Lembre-se de que existem três partes na segurança sem fio.

O primeiro é a rede quer saber se o dispositivo é permitido na rede. Para fazer isso, ele precisa ser capaz de identificar dispositivos com precisão e, portanto, emitirá um certificado exclusivo para cada dispositivo. No entanto, para poder criar novos certificados para cada dispositivo, a rede deve não apenas adquirir seu próprio certificado, mas também executar uma autoridade de certificação (CA) completa.

A segunda parte é dispositivos cliente também querem saber que os pontos de acesso são legítimos, e não falsos usando o mesmo SSID tentando tunelar o tráfego através de algum sniffer de pacotes aleatórios enviando o tráfego para o seu destino. Isso é conseguido fazendo com que cada AP legítimo em um SSID use um certificado comum que um dispositivo cliente pode verificar.

Por fim, as chaves nos certificados são usadas como chaves de criptografia para o tráfego sem fio. Um certificado forjado em ambos os lados do link implica que um dispositivo no meio pode descriptografar e exibir o tráfego em texto sem formatação.

É a segunda parte que queremos focar aqui. Os certificados fazem parte de uma cadeia e, para que o cliente valide um certificado de ponto de acesso, ele deve validar cada certificado na cadeia, até a CA na parte superior. Essa verificação só terá êxito se a autoridade de certificação no topo da cadeia já for conhecida e confiável pelo cliente antes de se conectar à rede sem fio. 1 Para tornar isso e outros cenários de certificado possíveis, sistemas operacionais e alguns Os navegadores vêm com uma lista pré-configurada de CAs confiáveis.

Como você indicou, os computadores Windows conectados ao domínio também podem confiar na CA designada pelo controlador de domínio. No entanto, outros dispositivos, como BYOD ou na ausência de um domínio do Windows, não conhecerão seu controlador de domínio ou CA de rede do hacker aleatório na rua, porque a autoridade de certificação em sua rede não está no grupo confiável pré-configurado Lista de CA.

Isto não é um erro ou omissão dos administradores sem fio. Existem relativamente poucas CAs raiz conhecidas e confiáveis, e isso ocorre por design. Se qualquer um pudesse se tornar uma autoridade de certificação raiz confiável, todo o sistema se desintegraria, pois seria fácil emitir certificados forjados que parecessem reais.

Infelizmente, isso deixa uma lacuna nas redes sem fio. Os administradores sem fio devem ter uma autoridade de certificação para autenticar corretamente os dispositivos, mas isso pode não ser uma autoridade de certificação raiz confiável para proteger a integridade do sistema de certificados. Para dispositivos dentro de uma empresa, como na visão original do 802.1x, é fácil pré-configurar dispositivos para confiar na CA da rede. Para cenários de BYOD, há um pequeno problema aqui ... e qual rede não precisa mais suportar o BYOD?

Existem serviços que tratam desse problema e tornam a inclusão de sua CA na lista confiável de um cliente transparente para seus usuários e convidados. 2 Ele é chamado de onboarding e os principais players que vêm à mente são CloudPath XpressConnect , Aruba Clearpass e SecureW2 JoinNow . A Cisco também possui o ISE , e a maioria dos fornecedores sem fio terá algum tipo de jogar nesta área.

1 A maioria dos sistemas operacionais atuais permitirá que o usuário ignore um certificado de servidor inválido ao se conectar a uma nova rede sem fio, e aceite apenas o que é dado. No entanto, isso não é uma boa prática. Além de deixar o cliente vulnerável a ataques MitM, como discutido acima, ele pode colocar uma mensagem de aviso assustadora como você está vendo na frente do usuário que seria melhor evitar.

2 Por que vale a pena, este estado de coisas não me satisfaz realmente como a melhor solução. Eu não gosto da idéia de permitir que provedores de wifi aleatórios ajustem a lista de autoridades de certificação confiáveis do meu computador. Se eu fosse a NSA, por exemplo, atacar os aplicativos / scripts do CloudPath seria bastante alto na minha lista de prioridades. Além disso, é sempre um jogo de gato e rato com os fornecedores de serviços para suportar os dispositivos e sistemas operativos mais recentes, especialmente em dispositivos móveis. Eu imagino um futuro que inclua um novo tipo de autoridade de certificação limitada, que talvez deva ser registrada com autoridades de certificação existentes / confiáveis e existentes e que possa emitir apenas certificados "wifi" limitados.

    
por 28.06.2015 / 05:20