當嘗試在不在網域中的情況下無線連接到我們公司時,我收到一條訊息,指出我們的RADIUS 伺服器提供了由我們的根CA 頒發的有效證書,但根CA 未配置為有效的信任錨(在Windows 上) 7 機)。
為了刪除此訊息,必須在無線網路連接的安全下手動檢查根 CA。手動告訴系統信任根 CA 有什麼意義?這不就是擁有一個受信任的根 CA 的意義所在嗎?有沒有辦法解決?當使用者認為我們的連線不安全或憑證已過期時,這就會成為一個問題。我無法手動設定每台可能使用無線的機器。
答案1
思考一下你的問題。
「根 CA」是您的網域的「根 CA」。因此,是的,它會受到網域成員的信任,而不是未加入網域的電腦的信任。事實上,如果你能讓機器自動、任意地信任你的CA,那將是一個相當大的安全漏洞,而不是安全功能(這正是Stuxnet 和Flame 的安裝方式- 使用來自普遍信任的CA 的偽造證書)。
您應該透過 GPO(自動註冊)分發憑證和 CA 信任,這意味著您不必手動配置每台需要使用無線的計算機,並且您可以透過僅允許加入網域來使您的生活變得更加輕鬆機器(將這些憑證和信任推送給它們)到公司無線網路上,這樣您就不必手動頒發憑證和信任。當然,您可以決定允許任何沒有信任和證書的設備使用無線...但您看到的症狀就是您為此付出的代價。
如果您無法制定法律,您還可以設定輔助無線 SSID,使用密碼保護並與公司網路隔離,以允許您的使用者使用其個人設備上網(這就是我們所做的)對辦公室的個人無線設備說「不」。
答案2
請記住,無線安全由三個部分組成。
首先是網路想要知道網路上是否允許該設備。為此,它需要能夠準確識別設備,因此將為每個設備頒發唯一的憑證。然而,為了能夠為每個裝置建立新憑證意味著網路不僅必須取得自己的證書,而且還必須運行完整的憑證授權單位 (CA)。
第二部分是客戶端裝置也想知道存取點是合法的,而不是使用相同 SSID 試圖透過一些隨機資料包嗅探器將流量傳送到目的地的詐騙者。這是透過讓 SSID 上的每個合法 AP 使用客戶端裝置可以驗證的通用憑證來實現的。
最後,證書中的密鑰用作無線流量的加密密鑰。鏈路兩側的偽造憑證意味著中間的裝置可以解密並查看純文字流量。
這是我們要重點關注的第二部分。證書是鏈的一部分,為了讓客戶端驗證接入點證書,它必須驗證鏈中的每個證書,一直到頂部的 CA。只有當用戶端在連接到無線網路之前已知並信任位於鏈頂部的 CA 時,此檢查才能成功。1為了使這種憑證方案和其他憑證方案成為可能,作業系統和某些瀏覽器附帶了預先配置的受信任 CA 清單。
正如您所指出的,加入網域的 Windows 電腦也可以信任由其網域控制站指定的 CA。但是,其他裝置(例如使用 BYOD 或沒有 Windows 網域的裝置)不會從街上的隨機駭客知道您的網域控制站或網路 CA,因為您網路上的 CA 不在預先設定的受信任網域中。列表。
這不是無線管理員的錯誤或疏忽。眾所周知且受信任的根 CA 相對較少,這是設計使然。如果任何人都可以成為受信任的根 CA,整個系統就會崩潰,因為很容易頒發看似真實的偽造憑證。
不幸的是,這給無線網路留下了空白。無線管理者必須有一個 CA 以便正確驗證設備,但這未必受信任的根CA,以保護憑證系統的完整性。對於企業內的設備(例如最初的 802.1x 願景),可以輕鬆地預先配置設備以信任網路 CA。對於BYOD場景,這裡有一個問題......什麼網路不需要再支援BYOD?
有一些服務可以解決此問題,並使您的 CA 包含在客戶的受信任清單中,這對您的使用者和來賓來說是透明的。2這就是所謂的入職培訓,我想到的主要參與者是CloudPath XpressConnect,阿魯巴 Clearpass, 和SecureW2 立即加入。思科也有 ISE,大多數無線供應商都會在這個領域有所作為。
1如今,大多數作業系統都允許使用者在連接到無線網路時忽略無效的伺服器證書,而只接受所提供的任何證書。然而,這不是一個好的做法。除了讓客戶端容易受到上面討論的 MitM 攻擊之外,它還可以在用戶面前顯示一條可怕的警告訊息,最好避免這種情況。
2無論如何,這種狀況並不能真正令我滿意,認為這是最佳解決方案。我不喜歡允許隨機 wifi 提供者調整我的電腦的受信任憑證授權單位清單的想法。例如,如果我是 NSA,攻擊 CloudPath 應用程式/腳本將在我的優先列表中佔據相當高的位置。此外,服務供應商支援最新的裝置和作業系統始終是一場貓捉老鼠的遊戲,尤其是在行動裝置和作業系統方面。我設想的未來包括一種新型的有限證書頒發機構,它可能必須向現有的知名/可信證書頒發機構註冊,並且只能頒發有限的“wifi”證書。