web-dev-qa-db-ja.com

Windows 7Wifi証明書トラストアンカー

ドメインに接続していないときに会社のワイヤレスに接続しようとすると、RADIUSサーバーがルートCAによって発行された有効な証明書を提供しましたが、ルートCAが構成されていないというメッセージが表示されます有効なトラストアンカーとして(Windows 7マシン上)。

このメッセージを削除するには、ワイヤレスネットワーク接続のセキュリティの下でルートCAを手動でオフにする必要があります。ルートCAを信頼するようにシステムに手動で指示する意味は何ですか?それは、信頼できるルートCAを持つことのポイントではありませんか?これを回避する方法はありますか?接続が安全でないとユーザーが考えたり、証明書が古くなったりすると、問題になります。ワイヤレスを使用する可能性のあるすべてのマシンを手動で構成することはできません。

ここで見られる問題と同じです

active-directorywindows-7certificateradius
2
zach

あなたの質問について少し考えてみてください。

「ルートCA」は、ドメインの「ルートCA」です。そうです、ドメインに参加していないマシンではなく、ドメインのメンバーによって信頼されます。実際、マシンにCAを自動的に任意に信頼させることができれば、それはセキュリティ機能ではなく、かなり大きなセキュリティホールになります(そして、StuxnetとFlameが、普遍的に信頼されているCAからの偽造証明書を使用してインストールした方法です)。

GPO(自動登録)を介して証明書とCAの信頼を配布する必要があります。つまり、ワイヤレスを使用する必要のあるすべてのマシンを手動で構成する必要はなく、ドメインへの参加を許可するだけで作業が大幅に楽になります。マシン(これらの証明書と信頼がプッシュされている)を会社のワイヤレスネットワークに接続します。これにより、証明書と信頼を手動で発行する必要がなくなります。もちろん、信頼と証明書を持たないデバイスにワイヤレスの使用を許可することを決定できます...しかし、表示される症状は、そうするために支払う価格です。

法律を制定できない場合は、パスワードで保護され、企業ネットワークからセグメント化されたセカンダリワイヤレスSSIDを設定して、ユーザーが個人のデバイスでWebを閲覧できるようにすることもできます(これが私たちの仕事です)。オフィスの個人用ワイヤレスデバイスには「いいえ」と言ってください。

1
HopelessN00b

ワイヤレスセキュリティには3つの部分があることを忘れないでください。

1つ目は、ネットワークがデバイスがネットワーク上で許可されているかどうかを知りたいということです。これを行うには、デバイスを正確に識別できる必要があるため、デバイスごとに一意の証明書を発行します。ただし、すべてのデバイスに対して新しい証明書を作成できるようにするには、ネットワークが独自の証明書を取得するだけでなく、完全な認証局(CA)を実行している必要があります。

2番目の部分は、クライアントデバイスも、アクセスポイントが正当であり、トラフィックを宛先に送信するランダムパケットスニファを介してトラフィックをトンネリングしようとする同じSSIDを使用する不正ではないことを知りたいということです。これは、SSID上の各正当なAPに、クライアントデバイスが検証できる共通の証明書を使用させることによって実現されます。

最後に、証明書のキーは、ワイヤレストラフィックの暗号化キーとして使用されます。リンクのいずれかの側に偽造された証明書は、中央のデバイスがトラフィックを復号化してプレーンテキストで表示できることを意味します。

ここで焦点を当てたいのは2番目の部分です。証明書はチェーンの一部であり、クライアントがアクセスポイントの証明書を検証するには、チェーン内の各証明書を、最上位のCAに至るまで検証する必要があります。このチェックは、チェーンの最上位にあるCAが、ワイヤレスネットワークに接続する前にクライアントによってすでに認識され、信頼されている場合にのみ成功します。1 このシナリオやその他の証明書のシナリオを可能にするために、オペレーティングシステムと一部のブラウザーには、信頼できるCAの事前構成済みリストが付属しています。

ご指摘のとおり、ドメインに参加しているWindowsコンピューターは、ドメインコントローラーによって指定されたCAを信頼するように作成することもできます。ただし、BYODを使用している場合や、Windowsドメインがない場合など、他のデバイスは、ネットワーク上のCAが事前構成された信頼できるものにないため、ランダムハッカーからドメインコントローラーまたはネットワークCAを認識しません。 CAリスト。

これはワイヤレス管理者による間違いや見落としではありません。よく知られた信頼できるルートCAは比較的少なく、これは仕様によるものです。だれかが信頼できるルートCAになることができれば、本物のように見える偽造証明書を簡単に発行できるため、システム全体が機能しなくなります。

残念ながら、それはワイヤレスネットワークにギャップを残します。ワイヤレス管理者必須デバイスを適切に認証するためにCAが必要ですが、これはそうでない場合があります証明書システムの整合性を保護するための信頼されたルートCAです。 802.1xの元のビジョンなど、企業内のデバイスの場合、ネットワークCAを信頼するようにデバイスを事前構成するのは簡単です。 BYODシナリオの場合、ここで少し問題があります...そして、BYODをサポートする必要がなくなったネットワークはどれですか?

この問題に対処し、クライアントの信頼できるリストにCAを含めることをユーザーとゲストに対して透過的にするサービスがあります。2 これはオンボーディングと呼ばれ、頭に浮かぶ主要なプレーヤーは CloudPath XpressConnectAruba Clearpass 、および SecureW2 JoinNow です。 CiscoにもISEがあります 、そしてほとんどのワイヤレスベンダーはこの分野で何らかの遊びをするでしょう。

1 今日のほとんどのオペレーティングシステムでは、ユーザーはワイヤレスnewtorkに接続するときに無効なサーバー証明書を無視し、与えられたものは何でも受け入れることができます。ただし、これは良い習慣ではありません。上記のようにクライアントをMitM攻撃に対して脆弱なままにしておくことは別として、ユーザーの前に表示されているような恐ろしい警告メッセージを表示することは避けたほうがよいでしょう。

2 何の価値があるのか​​というと、この状況は私を最善の解決策として本当に満足させるものではありません。ランダムなwifiプロバイダーがコンピューターの信頼できる認証局リストを調整できるようにするという考えは好きではありません。たとえば、私がNSAの場合、CloudPathアプリ/スクリプトを攻撃することは私の優先順位リストのかなり上位にあります。さらに、特にモバイルで最新のデバイスとオペレーティングシステムをサポートすることは、常にサービスプロバイダーとのいたちごっこゲームです。私は、新しい種類の制限付き認証局を含む将来を想定しています。これは、おそらく既存の有名で信頼できる認証局に登録する必要があり、制限付きの「wifi」証明書しか発行できません。

1
Joel Coel