При попытке подключиться к беспроводной сети нашей компании, не находясь в домене, я получаю сообщение о том, что наш сервер RADIUS предоставил действительный сертификат, выданный нашим корневым центром сертификации, но корневой центр сертификации не настроен как действительный якорь доверия (на компьютере с Windows 7).
Корневой центр сертификации должен быть вручную проверен в разделе безопасности беспроводного сетевого соединения, чтобы удалить это сообщение. Какой смысл вручную сообщать системе доверять корневому центру сертификации? Разве не в этом смысл наличия доверенного корневого центра сертификации? Есть ли способ обойти это? Это становится проблемой, когда пользователи думают, что наше соединение небезопасно или сертификаты устарели. Я не могу вручную настроить каждую машину, которая может использовать беспроводную сеть.
решение1
Задумайтесь над своим вопросом на секунду.
«Корневой CA» — это «корневой CA» для вашего домена. Так что да, ему будут доверять члены вашего домена, а не машины, которые не присоединены к вашему домену. Фактически, если бы вы могли заставить машины автоматически, произвольно доверять вашему CA, это было бы довольно большой дырой в безопасности, а не функцией безопасности (и именно так Stuxnet и Flame установили себя — с поддельными сертификатами от универсально доверенных CA).
Вам следует распространять сертификаты и доверительные отношения CA через GPO (автоматическая регистрация), что означает, что вам не нужно вручную настраивать каждую машину, которой нужно использовать беспроводную сеть, и вы можете значительно облегчить себе жизнь, разрешив доступ к беспроводной сети компании только машинам, присоединенным к домену (им выданы эти сертификаты и доверительные отношения), именно поэтому вам не нужно вручную выдавать сертификаты и доверительные отношения. Конечно, вы можете разрешить любому устройству, у которого нет доверительных отношений и сертификатов, использовать беспроводную сеть... но симптомы, которые вы видите, — это цена, которую вы платите за это.
Вы также можете настроить дополнительный беспроводной SSID, защищенный паролем и отделенный от корпоративной сети, чтобы позволить вашим пользователям выходить в Интернет со своих личных устройств (что мы и делаем), если вы не можете установить закон и просто сказать «нет» личным беспроводным устройствам в офисе.
решение2
Помните, что безопасность беспроводной сети состоит из трех частей.
Во-первых, сеть хочет знать, разрешено ли устройству находиться в сети. Для этого ей необходимо иметь возможность точно идентифицировать устройства, и поэтому она выдаст уникальный сертификат для каждого устройства. Однако, чтобы иметь возможность создавать новые сертификаты для каждого устройства, сеть должна не только получить свой собственный сертификат, но и запустить полноценный центр сертификации (CA).
Вторая часть заключается в том, что клиентские устройства также хотят знать, что точки доступа являются легитимными, а не мошенниками, использующими тот же SSID, которые пытаются туннелировать трафик через какой-то случайный сниффер пакетов, отправляя трафик по назначению. Это достигается тем, что каждая легитимная точка доступа на SSID использует общий сертификат, который может проверить клиентское устройство.
Наконец, ключи в сертификатах используются как ключи шифрования для беспроводного трафика. Поддельный сертификат с любой стороны соединения подразумевает, что устройство посередине может расшифровать и просмотреть трафик в виде обычного текста.
Это вторая часть, на которой мы хотим сосредоточиться здесь. Сертификаты являются частью цепочки, и для того, чтобы клиент мог проверить сертификат точки доступа, он должен проверить каждый сертификат в цепочке, вплоть до CA наверху. Эта проверка может быть успешной только в том случае, если CA наверху цепочки уже известен и пользуется доверием клиента до подключения к беспроводной сети. 1 Чтобы сделать этот и другие сценарии сертификатов возможными, операционные системы и некоторые браузеры поставляются с предварительно настроенным списком доверенных CA.
Как вы указали, компьютеры Windows, присоединенные к домену, также можно заставить доверять CA, назначенному их контроллером домена. Однако другие устройства, например, с BYOD или при отсутствии домена Windows, не узнают ваш контроллер домена или сетевой CA от случайного хакера на улице, поскольку CA в вашей сети не входит в предварительно настроенный список доверенных CA.
Это не ошибка или недосмотр администраторов беспроводной сети. Известных и доверенных корневых центров сертификации относительно немного, и это сделано намеренно. Если бы кто угодно мог стать доверенным корневым центром сертификации, вся система бы рухнула, поскольку было бы легко выдавать поддельные сертификаты, которые выглядели бы как настоящие.
К сожалению, это оставляет пробел для беспроводных сетей. Администраторы беспроводных сетейдолжениметь CA для правильной аутентификации устройств, но этоможет и не бытьдоверенный корневой CA для защиты целостности системы сертификатов. Для устройств в пределах предприятия, например, с исходным видением 802.1x, достаточно просто предварительно настроить устройства на доверие сетевому CA. Для сценариев BYOD здесь есть небольшая проблема... и какая сеть больше не должна поддерживать BYOD?
Существуют сервисы, которые решают эту проблему и делают включение вашего центра сертификации в список доверенных клиентов прозрачным для ваших пользователей и гостей. 2 Это называется онбордингом, и основные игроки, которые приходят на ум, этоCloudPath XpressConnect,Аруба Клирпасс, иSecureW2 Присоединяйтесь сейчас.У Cisco также есть ISE, и большинство поставщиков беспроводного оборудования будут иметь определенную позицию в этой области.
1 Большинство современных операционных систем позволяют пользователю игнорировать недействительный сертификат сервера при подключении к беспроводному newtork и просто принимать все, что ему дадут. Однако это не очень хорошая практика. Помимо того, что клиент остается уязвимым для атак MitM, как обсуждалось выше, он может вывести пользователю пугающее предупреждающее сообщение, подобное тому, что вы видите, которое лучше избегать.
2 Как бы там ни было, такое положение дел не удовлетворяет меня как лучшее решение. Мне не нравится идея разрешить случайным провайдерам Wi-Fi корректировать список доверенных центров сертификации моего компьютера. Если бы я был АНБ, например, атака на приложения/скрипты CloudPath была бы довольно высоко в моем списке приоритетов. Кроме того, это всегда игра в кошки-мышки с поставщиками услуг для поддержки новейших устройств и операционных систем, особенно мобильных. Я представляю себе будущее, которое включает новый тип ограниченного центра сертификации, который, возможно, должен быть зарегистрирован в существующих известных/доверенных центрах сертификации и может выдавать только ограниченные сертификаты «Wi-Fi».