Beim Versuch, eine Verbindung zu unserem Firmen-WLAN herzustellen, während ich mich nicht in der Domäne befinde, erhalte ich die Nachricht, dass unser RADIUS-Server ein gültiges, von unserer Stammzertifizierungsstelle ausgestelltes Zertifikat bereitgestellt hat, die Stammzertifizierungsstelle jedoch nicht als gültiger Vertrauensanker konfiguriert ist (auf einem Windows 7-Computer).
Um diese Meldung zu entfernen, muss die Stammzertifizierungsstelle unter Sicherheit für die drahtlose Netzwerkverbindung manuell abgehakt werden. Welchen Sinn hat es, dem System manuell mitzuteilen, dass es der Stammzertifizierungsstelle vertrauen soll? Ist das nicht der Sinn einer vertrauenswürdigen Stammzertifizierungsstelle? Gibt es einen Weg, dies zu umgehen? Es wird zu einem Problem, wenn Benutzer denken, unsere Verbindung sei unsicher oder die Zertifikate seien veraltet. Ich kann nicht jeden Computer, der das drahtlose Netzwerk nutzen könnte, manuell konfigurieren.
Antwort1
Denken Sie einen Moment über Ihre Frage nach.
Die „Root-CA“ ist die „Root-CA“ für Ihre Domäne. Sie wird also von Mitgliedern Ihrer Domäne als vertrauenswürdig eingestuft, nicht aber von Maschinen, die nicht zu Ihrer Domäne gehören. Wenn Sie Maschinen dazu bringen könnten, Ihrer CA automatisch und willkürlich zu vertrauen, wäre das eher eine große Sicherheitslücke als ein Sicherheitsmerkmal (und genau so haben sich Stuxnet und Flame installiert – mit gefälschten Zertifikaten von allgemein vertrauenswürdigen CAs).
Sie sollten Zertifikate und CA-Vertrauensstellungen über GPO (automatische Registrierung) verteilen, was bedeutet, dass Sie nicht jeden Computer, der das WLAN nutzen muss, manuell konfigurieren müssen. Außerdem können Sie sich das Leben erheblich erleichtern, indem Sie nur Domänencomputern (die diese Zertifikate und Vertrauensstellungen erhalten haben) den Zugriff auf das WLAN des Unternehmens gestatten, damit Sie Zertifikate und Vertrauensstellungen nicht manuell ausstellen müssen. Natürlich können Sie jedem Gerät, das nicht über die Vertrauensstellungen und Zertifikate verfügt, die Nutzung des WLANs gestatten … aber die Symptome, die Sie sehen, sind der Preis, den Sie dafür zahlen.
Sie können auch eine sekundäre drahtlose SSID einrichten, die mit einem Kennwort geschützt und vom Unternehmensnetzwerk abgetrennt ist, um Ihren Benutzern das Surfen im Internet mit ihren privaten Geräten zu ermöglichen (und das tun wir auch), wenn Sie es sich nicht leisten können, strikte Regeln einzuhalten und einfach „Nein“ zu privaten drahtlosen Geräten im Büro zu sagen.
Antwort2
Bedenken Sie, dass die Wireless-Sicherheit aus drei Teilen besteht.
Zunächst möchte das Netzwerk wissen, ob das Gerät im Netzwerk zugelassen ist. Dazu muss es in der Lage sein, Geräte genau zu identifizieren und wird daher für jedes Gerät ein eindeutiges Zertifikat ausstellen. Um jedoch für jedes Gerät neue Zertifikate erstellen zu können, muss das Netzwerk nicht nur sein eigenes Zertifikat erwerben, sondern auch eine vollständige Zertifizierungsstelle (CA) betreiben.
Der zweite Teil besteht darin, dass Client-Geräte auch wissen möchten, dass es sich um legitime Zugriffspunkte handelt und nicht um Schurken, die dieselbe SSID verwenden und versuchen, den Datenverkehr durch einen zufälligen Paket-Sniffer zu tunneln, der den Datenverkehr an sein Ziel weiterleitet. Dies wird erreicht, indem jeder legitime AP auf einer SSID ein gemeinsames Zertifikat verwendet, das ein Client-Gerät überprüfen kann.
Schließlich werden die Schlüssel in den Zertifikaten als Verschlüsselungsschlüssel für den drahtlosen Datenverkehr verwendet. Ein gefälschtes Zertifikat auf einer der beiden Seiten der Verbindung bedeutet, dass ein Gerät in der Mitte den Datenverkehr entschlüsseln und im Klartext anzeigen könnte.
Wir möchten uns hier auf den zweiten Teil konzentrieren. Zertifikate sind Teil einer Kette, und damit der Client ein Access Point-Zertifikat validieren kann, muss er jedes Zertifikat in der Kette validieren, bis hin zur CA am Anfang. Diese Prüfung kann nur erfolgreich sein, wenn die CA am Anfang der Kette dem Client bereits bekannt ist und ihm vertraut, bevor er sich mit dem drahtlosen Netzwerk verbindet. 1 Um dieses und andere Zertifikatsszenarien zu ermöglichen, verfügen Betriebssysteme und einige Browser über eine vorkonfigurierte Liste vertrauenswürdiger CAs.
Wie Sie bereits erwähnt haben, können Windows-Computer, die einer Domäne beigetreten sind, auch dazu gebracht werden, einer von ihrem Domänencontroller festgelegten Zertifizierungsstelle zu vertrauen. Andere Geräte, z. B. mit BYOD oder ohne Windows-Domäne, können Ihren Domänencontroller oder Ihre Netzwerk-Zertifizierungsstelle jedoch nicht von dem zufälligen Hacker von nebenan unterscheiden, da die Zertifizierungsstelle in Ihrem Netzwerk nicht in der vorkonfigurierten Liste vertrauenswürdiger Zertifizierungsstellen enthalten ist.
Dies ist kein Fehler oder Versehen der Wireless-Administratoren. Es gibt relativ wenige bekannte und vertrauenswürdige Stammzertifizierungsstellen, und das ist Absicht. Wenn jeder eine vertrauenswürdige Stammzertifizierungsstelle werden könnte, würde das ganze System zusammenbrechen, weil es leicht wäre, gefälschte Zertifikate auszustellen, die echt aussehen.
Leider bleibt dadurch eine Lücke für drahtlose Netzwerke. Wireless-Administratorenmusseine Zertifizierungsstelle haben, um Geräte ordnungsgemäß zu authentifizieren, aber diesmöglicherweise nichteine vertrauenswürdige Stammzertifizierungsstelle, um die Integrität des Zertifikatsystems zu schützen. Für Geräte innerhalb eines Unternehmens, wie beispielsweise bei der ursprünglichen Vision für 802.1x, ist es einfach genug, Geräte so vorzukonfigurieren, dass sie der Netzwerkzertifizierungsstelle vertrauen. Für BYOD-Szenarien gibt es hier ein kleines Problem ... und welches Netzwerk muss BYOD nicht mehr unterstützen?
Es gibt Dienste, die dieses Problem angehen und die Aufnahme Ihrer Zertifizierungsstelle in die vertrauenswürdige Liste eines Clients für Ihre Benutzer und Gäste transparent machen. 2 Dies wird als Onboarding bezeichnet, und die wichtigsten Akteure, die einem dabei in den Sinn kommen, sindCloudPath XpressConnect,Aruba Clearpass, UndSecureW2 Jetzt beitreten.Cisco hat auch ISE, und die meisten Anbieter von Mobilfunkgeräten werden auf diesem Gebiet irgendeinen Anteil haben.
1 Die meisten heutigen Betriebssysteme erlauben es dem Benutzer, ein ungültiges Serverzertifikat bei der Verbindung mit einem drahtlosen Netzwerk zu ignorieren und einfach das Zertifikat zu akzeptieren, das ihm gegeben wird. Dies ist jedoch keine gute Vorgehensweise. Abgesehen davon, dass der Client wie oben beschrieben anfällig für MitM-Angriffe wird, kann es dem Benutzer eine beängstigende Warnmeldung wie die, die Sie sehen, anzeigen, die er besser vermeiden sollte.
2 Dieser Zustand ist für mich nicht wirklich die beste Lösung. Mir gefällt die Idee nicht, beliebigen WLAN-Anbietern zu erlauben, die Liste der vertrauenswürdigen Zertifizierungsstellen meines Computers anzupassen. Wäre ich beispielsweise die NSA, stünde ein Angriff auf CloudPath-Apps/-Skripte ganz oben auf meiner Prioritätenliste. Außerdem ist es immer ein Katz-und-Maus-Spiel mit den Dienstanbietern, die neuesten Geräte und Betriebssysteme zu unterstützen, insbesondere im mobilen Bereich. Ich stelle mir eine Zukunft vor, die eine neue Art von eingeschränkter Zertifizierungsstelle umfasst, die möglicherweise bei bestehenden bekannten/vertrauenswürdigen Zertifizierungsstellen registriert sein muss und nur eingeschränkte „WLAN“-Zertifikate ausstellen kann.