Cuando intento conectarme a la red inalámbrica de nuestra empresa mientras no estoy en el dominio, recibo un mensaje que dice que nuestro servidor RADIUS proporcionó un certificado válido emitido por nuestra CA raíz, pero que la CA raíz no está configurada como un ancla de confianza válida (en Windows). 7 máquina).
La CA raíz debe marcarse manualmente bajo seguridad para la conexión de red inalámbrica para eliminar este mensaje. ¿Cuál es el punto de decirle manualmente al sistema que confíe en la CA raíz? ¿No es ese el objetivo de tener una CA raíz confiable? ¿Hay alguna manera de evitar esto? Se convierte en un problema cuando los usuarios piensan que nuestra conexión es insegura o que los certificados no están actualizados. No puedo configurar manualmente todas las máquinas que puedan usar la conexión inalámbrica.
Respuesta1
Piensa en tu pregunta por un segundo.
La "CA raíz" es la "CA raíz" de su dominio. Entonces, sí, los miembros de su dominio confiarán en él y no las máquinas que no están unidas a su dominio. De hecho, si pudiera hacer que las máquinas confiaran automáticamente y arbitrariamente en su CA, eso sería un agujero de seguridad bastante grande en lugar de una característica de seguridad (y es precisamente como se instalaron Stuxnet y Flame, con certificados falsificados de CA universalmente confiables).
Debería distribuir certificados y confianzas de CA a través de GPO (inscripción automática), lo que significa que no tiene que configurar manualmente cada máquina que necesita usar la conexión inalámbrica, y puede hacer su vida mucho más fácil al permitir solo las unidas a un dominio. máquinas (que tienen esos certificados y fideicomisos enviados a ellos) en la red inalámbrica de la empresa, precisamente para que no tenga que emitir certificados y fideicomisos manualmente. Por supuesto, puede decidir permitir que cualquier dispositivo que no tenga confianza y certificados use la conexión inalámbrica... pero los síntomas que está viendo es el precio que paga por hacerlo.
También puede configurar un SSID inalámbrico secundario, protegido con una contraseña y segmentado de la red corporativa para permitir a sus usuarios navegar por la web con sus dispositivos personales (y es lo que hacemos), si no puede establecer la ley. y simplemente diga "no" a los dispositivos inalámbricos personales en la oficina.
Respuesta2
Recuerde que la seguridad inalámbrica consta de tres partes.
La primera es que la red quiere saber si el dispositivo está permitido en la red. Para ello, debe poder identificar con precisión los dispositivos y, por lo tanto, emitirá un certificado único para cada dispositivo. Sin embargo, para poder crear nuevos certificados para cada dispositivo significa que la red no solo debe adquirir su propio certificado, sino que también debe ejecutar una autoridad de certificación (CA) completa.
La segunda parte es que los dispositivos cliente también quieren saber que los puntos de acceso son legítimos y no malintencionados que utilizan el mismo SSID intentando canalizar el tráfico a través de algún rastreador de paquetes aleatorio que envía el tráfico a su destino. Esto se logra haciendo que cada AP legítimo en un SSID utilice un certificado común que un dispositivo cliente pueda verificar.
Finalmente, las claves de los certificados se utilizan como claves de cifrado para el tráfico inalámbrico. Un certificado falsificado a ambos lados del enlace implica que un dispositivo en el medio podría descifrar y ver el tráfico en texto sin formato.
Es la segunda parte en la que queremos centrarnos aquí. Los certificados son parte de una cadena y, para que el cliente valide un certificado de punto de acceso, debe validar cada certificado de la cadena, hasta la CA en la parte superior. Esta verificación solo puede tener éxito si el cliente ya conoce y confía en la CA en la parte superior de la cadena antes de conectarse a la red inalámbrica. 1 Para hacer posible este y otros escenarios de certificación, los sistemas operativos y algunos navegadores vienen con una lista preconfigurada de CA confiables.
Como indicó, también se puede hacer que las computadoras Windows unidas a un dominio confíen en una CA designada por su controlador de dominio. Sin embargo, otros dispositivos, como los que tienen BYOD o en ausencia de un dominio de Windows, no distinguirán su controlador de dominio o CA de red del hacker aleatorio que se encuentra en la calle, porque la CA en su red no está en la configuración de confianza preconfigurada. Lista de CA.
Esto no es un error ni un descuido de los administradores inalámbricos. Hay relativamente pocas CA raíz conocidas y confiables, y esto es así por diseño. Si cualquiera pudiera convertirse en una CA raíz confiable, todo el sistema colapsaría, porque sería fácil emitir certificados falsificados que parecieran reales.
Desafortunadamente, eso deja un vacío para las redes inalámbricas. Administradores inalámbricosdebetener una CA para autenticar correctamente los dispositivos, pero estopuede no seruna CA raíz confiable para proteger la integridad del sistema de certificados. Para dispositivos dentro de una empresa, como con la visión original de 802.1x, es bastante fácil preconfigurar los dispositivos para que confíen en la CA de la red. Para escenarios BYOD, hay un pequeño problema aquí... ¿y qué red ya no necesita soportar BYOD?
Existen servicios que abordan este problema y hacen que la inclusión de su CA en la lista de confianza de un cliente sea transparente para sus usuarios e invitados. 2 Se llama incorporación y los principales actores que me vienen a la mente sonCloudPath XpressConnect,Paso libre de Aruba, ySecureW2 Únete ahora.Cisco también tiene ISE, y la mayoría de los proveedores de servicios inalámbricos tendrán algún tipo de participación en esta área.
1 La mayoría de los sistemas operativos actuales permitirán al usuario ignorar un certificado de servidor no válido al conectarse a un Newtork inalámbrico y simplemente aceptar lo que se le proporcione. Sin embargo, esta no es una buena práctica. Además de dejar al cliente vulnerable a los ataques MitM como se mencionó anteriormente, puede mostrar un mensaje de advertencia aterrador como el que estás viendo frente al usuario y que sería mejor evitar.
2 Por si sirve de algo, esta situación no me parece la mejor solución. No me gusta la idea de permitir que proveedores de wifi aleatorios ajusten la lista de autoridades certificadoras confiables de mi computadora. Si yo fuera la NSA, por ejemplo, atacar aplicaciones/scripts de CloudPath ocuparía un lugar bastante alto en mi lista de prioridades. Además, siempre es un juego del gato y el ratón con los proveedores de servicios para dar soporte a los últimos dispositivos y sistemas operativos, especialmente en dispositivos móviles. Imagino un futuro que incluya un nuevo tipo de autoridad de certificación limitada, que quizás deba registrarse con autoridades de certificación existentes conocidas/confiables y que solo pueda emitir certificados "wifi" limitados.