Ao tentar conectar-se à rede sem fio de nossa empresa enquanto não estiver no domínio, recebo uma mensagem informando que nosso servidor RADIUS forneceu um certificado válido emitido por nossa CA raiz, mas que a CA raiz não está configurada como uma âncora de confiança válida (em um Windows 7 máquina).
A CA raiz deve ser desmarcada manualmente na segurança da conexão de rede sem fio para remover esta mensagem. Qual é o sentido de dizer manualmente ao sistema para confiar na CA raiz? Não é esse o objetivo de ter uma CA raiz confiável? Existe alguma maneira de contornar isso? Torna-se um problema quando os usuários pensam que nossa conexão é insegura ou que os certificados estão desatualizados. Não consigo configurar manualmente todas as máquinas que podem usar a rede sem fio.
Responder1
Pense na sua pergunta por um segundo.
A "CA raiz" é a "CA raiz" do seu domínio. Então, sim, os membros do seu domínio confiarão nele, e não as máquinas que não estão associadas ao seu domínio. Na verdade, se você pudesse fazer com que as máquinas confiassem automaticamente e arbitrariamente em sua CA, isso seria uma grande falha de segurança, em vez de um recurso de segurança (e é exatamente como o Stuxnet e o Flame se instalaram - com certificados forjados de CAs universalmente confiáveis).
Você deve distribuir certificados e relações de confiança de CA por meio de GPO (registro automático), o que significa que você não precisa configurar manualmente todas as máquinas que precisam usar a rede sem fio e pode tornar sua vida muito mais fácil permitindo apenas ingressos no domínio máquinas (que possuem esses certificados e relações de confiança enviadas a elas) na rede sem fio da empresa, precisamente para que você não precise emitir certificados e relações de confiança manualmente. Claro, você pode decidir permitir que qualquer dispositivo que não tenha confiança e certificados use a rede sem fio... mas os sintomas que você está vendo são o preço que você paga por fazer isso.
Você também pode configurar um SSID sem fio secundário, protegido por senha e segmentado fora da rede corporativa para permitir que seus usuários naveguem na web com seus dispositivos pessoais (e é o que fazemos), se você não puder estabelecer a lei e apenas diga “não” aos dispositivos sem fio pessoais no escritório.
Responder2
Lembre-se de que a segurança sem fio possui três partes.
A primeira é que a rede deseja saber se o dispositivo é permitido na rede. Para fazer isso, ele precisa ser capaz de identificar os dispositivos com precisão e, portanto, emitirá um certificado exclusivo para cada dispositivo. No entanto, para poder criar novos certificados para cada dispositivo significa que a rede deve não apenas adquirir seu próprio certificado, mas também executar uma autoridade de certificação (CA) completa.
A segunda parte é que os dispositivos clientes também querem saber se os pontos de acesso são legítimos, e não invasores usando o mesmo SSID tentando encapsular o tráfego através de algum sniffer de pacotes aleatório, enviando o tráfego para seu destino. Isso é conseguido fazendo com que cada AP legítimo em um SSID use um certificado comum que um dispositivo cliente possa verificar.
Finalmente, as chaves nos certificados são usadas como chaves de criptografia para o tráfego sem fio. Um certificado forjado em ambos os lados do link implica que um dispositivo intermediário poderia descriptografar e visualizar o tráfego em texto simples.
É a segunda parte que queremos focar aqui. Os certificados fazem parte de uma cadeia e, para que o cliente valide um certificado de ponto de acesso, ele deve validar cada certificado da cadeia, até a CA no topo. Essa verificação só poderá ser bem-sucedida se a CA no topo da cadeia já for conhecida e confiável pelo cliente antes de conectar-se à rede sem fio. 1 Para tornar possível este e outros cenários de certificados, os sistemas operacionais e alguns navegadores vêm com uma lista pré-configurada de CAs confiáveis.
Como você indicou, os computadores Windows associados ao domínio também podem confiar em uma CA designada por seu controlador de domínio. No entanto, outros dispositivos, como BYOD ou na ausência de um domínio do Windows, não reconhecerão seu controlador de domínio ou CA de rede do hacker aleatório na rua, porque a CA em sua rede não está no domínio confiável pré-configurado. Lista de autoridades de certificação.
Isto não é um erro ou descuido dos administradores sem fio. Existem relativamente poucas CAs raiz conhecidas e confiáveis, e isso ocorre intencionalmente. Se qualquer pessoa pudesse se tornar uma autoridade de certificação raiz confiável, todo o sistema entraria em colapso, porque seria fácil emitir certificados forjados que parecessem reais.
Infelizmente, isso deixa uma lacuna para as redes sem fio. Administradores sem fiodeveter uma CA para autenticar dispositivos corretamente, mas issotalvez não sejauma CA raiz confiável para proteger a integridade do sistema de certificados. Para dispositivos dentro de uma empresa, como na visão original para 802.1x, é bastante fácil pré-configurar dispositivos para confiar na CA da rede. Para cenários BYOD, há um pequeno problema aqui... e qual rede não precisa mais oferecer suporte a BYOD?
Existem serviços que resolvem esse problema e tornam transparente a inclusão de sua CA na lista confiável de um cliente para seus usuários e convidados. 2 Isso se chama onboarding, e os principais participantes que vêm à mente sãoCloudPath XpressConnect,Clearpass de Aruba, eSecureW2 Cadastre-se agora.Cisco também tem ISE, e a maioria dos fornecedores sem fio terá algum tipo de atuação nessa área.
1 A maioria dos sistemas operacionais atuais permitirá que o usuário ignore um certificado de servidor inválido ao se conectar a uma rede sem fio e apenas aceite o que for fornecido. No entanto, esta não é uma boa prática. Além de deixar o cliente vulnerável a ataques MitM conforme discutido acima, ele pode colocar uma mensagem de aviso assustadora como se você estivesse vendo na frente do usuário que seria melhor evitar.
2 Pelo que vale, este estado de coisas não me satisfaz realmente como a melhor solução. Não gosto da ideia de permitir que provedores de Wi-Fi aleatórios ajustem a lista de autoridades de certificação confiáveis do meu computador. Se eu fosse a NSA, por exemplo, atacar aplicativos/scripts do CloudPath estaria no topo da minha lista de prioridades. Além disso, é sempre um jogo de gato e rato com os provedores de serviços para oferecer suporte aos dispositivos e sistemas operacionais mais recentes, especialmente em dispositivos móveis. Eu imagino um futuro que inclua um novo tipo de autoridade de certificação limitada, que talvez deva ser registrada junto às autoridades de certificação conhecidas/confiáveis existentes e só possa emitir certificados "wi-fi" limitados.