도메인에 있지 않은 상태에서 회사 무선에 연결하려고 하면 RADIUS 서버가 루트 CA에서 발급한 유효한 인증서를 제공했지만 루트 CA가 유효한 트러스트 앵커로 구성되지 않았다는 메시지를 받았습니다(Windows의 경우). 7 기계).
이 메시지를 제거하려면 무선 네트워크 연결 보안 하에서 루트 CA를 수동으로 확인해야 합니다. 루트 CA를 신뢰하도록 시스템에 수동으로 지시하는 이유는 무엇입니까? 이것이 신뢰할 수 있는 루트 CA를 갖는 요점이 아닙니까? 이 문제를 해결할 방법이 있나요? 사용자가 연결이 안전하지 않거나 인증서가 오래되었다고 생각하면 문제가 됩니다. 무선을 사용할 수 있는 모든 컴퓨터를 수동으로 구성할 수는 없습니다.
답변1
귀하의 질문에 대해 잠시 생각해보십시오.
"루트 CA"는 도메인의 "루트 CA"입니다. 그렇습니다. 귀하의 도메인에 가입하지 않은 컴퓨터가 아닌 귀하의 도메인 구성원이 신뢰하게 됩니다. 실제로 시스템이 자동으로 CA를 임의로 신뢰하도록 할 수 있다면 이는 보안 기능이라기보다 오히려 큰 보안 허점이 될 것입니다(그리고 Stuxnet과 Flame이 보편적으로 신뢰할 수 있는 CA의 위조 인증서를 사용하여 스스로 설치한 방식도 마찬가지입니다).
GPO(자동 등록)를 통해 인증서와 CA 신뢰를 배포해야 합니다. 즉, 무선을 사용해야 하는 모든 컴퓨터를 수동으로 구성할 필요가 없으며 도메인 가입만 허용하여 생활을 훨씬 쉽게 만들 수 있습니다. 인증서와 신뢰가 푸시된 컴퓨터를 회사 무선 네트워크에 연결하면 인증서와 신뢰를 수동으로 발급할 필요가 없습니다. 물론, 신뢰와 인증서가 없는 모든 장치에서 무선을 사용하도록 허용할 수 있습니다. 하지만 나타나는 증상은 그렇게 하기 위해 지불하는 대가입니다.
법을 정할 수 없는 경우, 비밀번호로 보호되고 회사 네트워크에서 분리되어 사용자가 개인 장치로 웹 서핑을 할 수 있도록 보조 무선 SSID를 설정할 수도 있습니다(저희가 하는 일도 이와 같습니다). 사무실에 있는 개인 무선 장치에는 "아니요"라고만 말하면 됩니다.
답변2
무선 보안에는 세 부분이 있다는 것을 기억하십시오.
첫 번째는 네트워크가 장치가 네트워크에서 허용되는지 여부를 알고 싶어한다는 것입니다. 이를 위해서는 장치를 정확하게 식별할 수 있어야 하며, 따라서 모든 장치에 대해 고유한 인증서를 발급합니다. 그러나 모든 장치에 대해 새 인증서를 생성할 수 있다는 것은 네트워크가 자체 인증서를 획득해야 할 뿐만 아니라 전체 인증 기관(CA)을 실행해야 함을 의미합니다.
두 번째 부분은 클라이언트 장치도 액세스 포인트가 적법하고 동일한 SSID를 사용하여 트래픽을 대상으로 전송하는 무작위 패킷 스니퍼를 통해 트래픽을 터널링하려는 도적이 아닌지 알고 싶어한다는 것입니다. 이는 SSID의 각 합법적인 AP가 클라이언트 장치가 확인할 수 있는 공통 인증서를 사용하도록 함으로써 달성됩니다.
마지막으로 인증서의 키는 무선 트래픽의 암호화 키로 사용됩니다. 링크 양쪽의 위조 인증서는 중간에 있는 장치가 트래픽을 일반 텍스트로 해독하고 볼 수 있음을 의미합니다.
이것이 우리가 여기서 집중하고 싶은 두 번째 부분입니다. 인증서는 체인의 일부이며 클라이언트가 액세스 포인트 인증서의 유효성을 검사하려면 최상위 CA까지 체인의 각 인증서를 유효성 검사해야 합니다. 이 확인은 무선 네트워크에 연결하기 전에 클라이언트가 체인 상단에 있는 CA를 이미 알고 신뢰하는 경우에만 성공할 수 있습니다. 1 이 인증서와 기타 인증서 시나리오를 가능하게 하기 위해 운영 체제와 일부 브라우저에는 신뢰할 수 있는 CA의 사전 구성된 목록이 함께 제공됩니다.
지적한 대로 도메인에 가입된 Windows 컴퓨터는 해당 도메인 컨트롤러에서 지정한 CA를 신뢰하도록 만들 수도 있습니다. 그러나 BYOD가 있거나 Windows 도메인이 없는 다른 장치는 네트워크의 CA가 사전 구성된 신뢰할 수 있는 상태가 아니기 때문에 거리에 있는 임의의 해커로부터 도메인 컨트롤러나 네트워크 CA를 알 수 없습니다. CA 목록.
이는 무선 관리자의 실수나 감독이 아닙니다. 잘 알려져 있고 신뢰할 수 있는 루트 CA는 상대적으로 적으며 이는 의도적으로 설계된 것입니다. 누구든지 신뢰할 수 있는 루트 CA가 될 수 있다면 실제처럼 보이는 위조 인증서를 발급하기가 쉽기 때문에 전체 시스템이 무너질 것입니다.
불행히도 이는 무선 네트워크에 공백을 남깁니다. 무선 관리자~ 해야 하다장치를 올바르게 인증하려면 CA가 있어야 하지만 이는아닐 수도 있다인증서 시스템의 무결성을 보호하기 위해 신뢰할 수 있는 루트 CA. 802.1x에 대한 원래 비전과 같은 기업 내 장치의 경우 네트워크 CA를 신뢰하도록 장치를 사전 구성하는 것은 충분히 쉽습니다. BYOD 시나리오의 경우 여기에 약간의 문제가 있습니다. 더 이상 BYOD를 지원할 필요가 없는 네트워크는 무엇입니까?
이 문제를 해결하고 클라이언트의 신뢰할 수 있는 목록에 CA를 사용자와 게스트에게 투명하게 포함시키는 서비스가 있습니다. 2 온보딩(onboarding)이라고 하는데, 떠오르는 주요 플레이어는 다음과 같습니다.CloudPath XpressConnect,아루바 클리어패스, 그리고SecureW2 JoinNow.Cisco에는 ISE도 있습니다., 대부분의 무선 공급업체는 이 분야에서 일종의 역할을 할 것입니다.
1 오늘날 대부분의 운영 체제에서는 사용자가 무선 뉴토크에 연결할 때 유효하지 않은 서버 인증서를 무시하고 제공된 내용을 모두 수락할 수 있습니다. 그러나 이는 좋은 습관이 아닙니다. 위에서 설명한 것처럼 클라이언트를 MitM 공격에 취약하게 만드는 것 외에도 사용자 앞에서 피하는 것이 더 낫다는 무서운 경고 메시지를 표시할 수 있습니다.
2 그만한 가치가 있는 만큼, 이 상황은 최선의 해결책으로서 나에게 실제로 만족스럽지 않습니다. 나는 임의의 Wi-Fi 공급자가 내 컴퓨터의 신뢰할 수 있는 인증 기관 목록을 조정하도록 허용하는 아이디어가 마음에 들지 않습니다. 예를 들어, 내가 NSA라면 CloudPath 앱/스크립트를 공격하는 것이 내 우선순위 목록에서 상당히 높을 것입니다. 또한, 특히 모바일에서 최신 장치와 운영 체제를 지원하는 것은 서비스 제공업체와 항상 쫓고 쫓기는 게임입니다. 나는 새로운 종류의 제한된 인증 기관을 포함하는 미래를 상상합니다. 이는 아마도 기존의 잘 알려져 있고 신뢰할 수 있는 인증 기관에 등록되어야 하며 제한된 "wifi" 인증서만 발급할 수 있습니다.