ドメイン外から会社のワイヤレスに接続しようとすると、RADIUS サーバーがルート CA によって発行された有効な証明書を提供したが、ルート CA が有効な信頼アンカーとして構成されていない (Windows 7 マシン上) というメッセージが表示されます。
このメッセージを削除するには、ワイヤレス ネットワーク接続のセキュリティでルート CA を手動でチェックする必要があります。システムにルート CA を信頼するように手動で指示する意味は何でしょうか。それは、信頼されたルート CA を持つことの目的ではないでしょうか。これを回避する方法はありますか。ユーザーが接続が安全でない、または証明書が期限切れであると考えると、問題になります。ワイヤレスを使用する可能性のあるすべてのマシンを手動で構成することはできません。
答え1
質問について少し考えてみましょう。
「ルート CA」は、ドメインの「ルート CA」です。したがって、ドメインのメンバーからは信頼されますが、ドメインに参加していないマシンからは信頼されません。実際、マシンが CA を自動的に任意に信頼するようになれば、それはセキュリティ機能というよりもむしろ大きなセキュリティ ホールになります (そして、Stuxnet と Flame はまさにこの方法でインストールされました。つまり、広く信頼されている CA からの偽造証明書です)。
証明書と CA 信頼は GPO (自動登録) を通じて配布する必要があります。つまり、ワイヤレスを使用する必要があるすべてのマシンを手動で構成する必要はありません。また、ドメインに参加しているマシン (証明書と信頼がプッシュされているマシン) のみを会社のワイヤレス ネットワークに接続できるようにすることで、作業が大幅に楽になります。つまり、証明書と信頼を手動で発行する必要がなくなります。もちろん、信頼と証明書を持たないデバイスにワイヤレスの使用を許可することもできますが、表示されている症状は、そうすることで発生する代償です。
法律を制定してオフィスでの個人用ワイヤレス デバイスの使用を禁止できない場合は、パスワードで保護され、企業ネットワークから分離されたセカンダリ ワイヤレス SSID を設定し、ユーザーが個人用デバイスで Web を閲覧できるようにすることもできます (これが私たちのやり方です)。
答え2
ワイヤレス セキュリティには 3 つの部分があることを覚えておいてください。
1 つ目は、ネットワークがデバイスがネットワーク上で許可されているかどうかを知ることです。これを行うには、デバイスを正確に識別できる必要があり、そのためデバイスごとに一意の証明書を発行します。ただし、デバイスごとに新しい証明書を作成できるようにするには、ネットワークが独自の証明書を取得するだけでなく、完全な証明機関 (CA) を実行する必要があります。
2 つ目の部分は、クライアント デバイスもアクセス ポイントが正規のものであり、同じ SSID を使用してトラフィックを宛先に送信するランダムなパケット スニファを介してトラフィックをトンネルしようとしている不正なアクセス ポイントではないことを確認する必要があることです。これは、SSID 上の各正規の AP に、クライアント デバイスが検証できる共通の証明書を使用させることで実現されます。
最後に、証明書内のキーは、ワイヤレス トラフィックの暗号化キーとして使用されます。リンクのどちらかの側で偽造された証明書があると、中間のデバイスがトラフィックを復号化し、プレーン テキストで表示できることになります。
ここで焦点を当てたいのは、2 番目の部分です。証明書はチェーンの一部であり、クライアントがアクセス ポイント証明書を検証するには、最上位の CA までチェーン内の各証明書を検証する必要があります。このチェックは、ワイヤレス ネットワークに接続する前に、クライアントがチェーンの最上位の CA を既に認識し、信頼している場合にのみ成功します。1この証明書シナリオやその他の証明書シナリオを可能にするために、オペレーティング システムと一部のブラウザーには、信頼された CA の事前構成済みリストが付属しています。
ご指摘のとおり、ドメインに参加している Windows コンピューターは、ドメイン コントローラーによって指定された CA を信頼するように設定することもできます。ただし、BYOD や Windows ドメインがない場合など、他のデバイスでは、ネットワーク上の CA が事前に構成された信頼された CA リストに含まれていないため、ドメイン コントローラーまたはネットワーク CA を通りすがりのランダムなハッカーから区別することはできません。
これは、ワイヤレス管理者のミスや見落としではありません。よく知られた信頼できるルート CA は比較的少なく、これは意図的なものです。誰でも信頼できるルート CA になれるとしたら、本物のように見える偽造証明書を発行することが容易になるため、システム全体が機能しなくなります。
残念ながら、ワイヤレスネットワークには隙間が残ります。ワイヤレス管理者しなければならないデバイスを適切に認証するためにCAが必要ですが、これはじゃないかもしれない証明書システムの整合性を保護するために、信頼されたルート CA が必要です。802.1x の当初の構想のように、企業内のデバイスの場合、ネットワーク CA を信頼するようにデバイスを事前構成するのは簡単です。BYOD シナリオの場合、ここで少し問題が発生します... もはや BYOD をサポートする必要がないネットワークがあるでしょうか?
この問題に対処し、CAをクライアントの信頼リストに追加することをユーザーやゲストに透過的にするサービスがあります。2これはオンボーディングと呼ばれ、思い浮かぶ主なプレーヤーは次のとおりです。クラウドパスエクスプレスコネクト、アルバ クリアパス、 そしてSecureW2 今すぐ参加。シスコにもISEがあるそして、ほとんどのワイヤレスベンダーはこの分野で何らかの役割を果たしています。
1今日のほとんどのオペレーティング システムでは、ワイヤレス ネットワークに接続する際に、無効なサーバー証明書を無視して、提示されたものをそのまま受け入れることができます。ただし、これは良い方法ではありません。上で説明したように、クライアントが MitM 攻撃に対して脆弱になるだけでなく、ユーザーの前に、このような恐ろしい警告メッセージが表示される可能性があるため、避けた方がよいでしょう。
2私にとって、この状況は最善の解決策としてはあまり満足できるものではありません。ランダムな Wi-Fi プロバイダーが私のコンピューターの信頼できる証明機関リストを調整できるようにするという考えは好きではありません。たとえば、私が NSA だったら、CloudPath アプリ/スクリプトを攻撃することが私の優先事項リストのかなり上位になるでしょう。さらに、特にモバイルでは、最新のデバイスとオペレーティング システムをサポートするために、サービス プロバイダーと常にいたちごっこをしています。私は、新しい種類の限定的な証明機関を含む将来を思い描いています。この証明機関は、既存のよく知られた/信頼できる証明機関に登録され、限定された「Wi-Fi」証明書のみを発行できる可能性があります。