Se accetto un certificato per utilizzare il Wi-Fi della mia azienda, sono vulnerabile agli attacchi MITM?

11

Per ottenere il mio telefono personale sulla rete Wi-Fi sul mio posto di lavoro, devo accettare un certificato:

Se accetto questo certificato, sarò vulnerabile agli attacchi man-in-the-middle? Ad esempio, se il mio dipartimento IT aziendale decidesse di emettere il proprio certificato SSL per www.google.com, il mio dispositivo penserebbe che quel certificato fosse valido?

A cosa serve questo certificato?

    
posta bdesham 10.05.2016 - 15:24
fonte

5 risposte

5

What is this certificate being used for?

Un'implementazione standard di WPA o WPA2 negli ambienti aziendali consiste nell'utilizzare l'autenticazione basata su certificato per l'accesso alla rete wireless . Per i dispositivi di proprietà dell'azienda, rende la connessione a una rete wireless aziendale senza problemi - i certificati richiesti vengono installati automaticamente in un determinato momento (durante l'imaging / provisioning, tramite i Criteri di gruppo, ecc.), Completamente in modo trasparente all'utente finale. Quando un utente si connette a una rete wireless con il dispositivo di proprietà dell'azienda, ha già installato e considerato il certificato richiesto. (A seconda della configurazione, il certificato da solo potrebbe essere sufficiente o potrebbe richiedere un'autenticazione aggiuntiva in termini di credenziali di dominio o essere basato sul dispositivo stesso, ecc.)

If I accept this certificate, will I be vulnerable to man-in-the-middle attacks?

Probabilmente no.

I certificati in questione per WPA-enterprise sono generalmente generati da un'autorità di certificazione interna, piuttosto che da un'autorità di certificazione pubblica, il che significa che i dispositivi personali non si fidano della CA, perché non ne sono a conoscenza. L'OEM del tuo dispositivo (Apple) lo precarica con un elenco di CA pubbliche attendibili che forniscono certificati per i servizi rivolti al pubblico (i siti Web https sono l'esempio più diffuso), ma poiché la rete wireless del tuo datore di lavoro non è pubblica, non c'è motivo per loro di utilizzare tale certificato (e probabilmente, alcune ragioni per non farlo).

Per questo motivo, il tuo dispositivo ti avvisa che ti viene offerto un certificato da una fonte non affidabile / non verificata.

Se si guarda il certificato, si dice che lo scopo è "Autenticazione server". Ciò indica che il certificato viene utilizzato per autenticare un determinato server sulla rete della tua azienda (o il WAP a cui ti stai connettendo o il server RADIUS che esegue Autenticazione, Autorizzazione e Contabilità (AAA) per le connessioni wireless). L'accettazione di questo certificato renderà il tuo dispositivo affidabile solo per il server a cui è destinato il certificato. Se il tuo dipartimento IT ha deciso di emettere un certificato per Google o chiunque intercettasse il traffico SSL, il tuo dispositivo non si fida automaticamente del certificato in base all'accettazione di questo, poiché questo certificato viene utilizzato solo per autenticare un host specifico . Per fare ciò, dovresti accettare un certificato dall'autorità di certificazione interna.

Detto questo, esiste una possibilità molto remota che ti stai effettivamente connettendo a un WAP canaglia che pretende solo di essere uno dei tuoi datori di lavoro. Per determinare se l'AP a cui ti colleghi è legittimo o meno, probabilmente vorrai chiedere al tuo reparto IT. È possibile confrontare il certificato con quello che si conosce è valido (come quello installato sul dispositivo di proprietà dell'azienda) o importare il certificato pubblico dalla CA interna della propria azienda sul dispositivo personale, ma è generalmente più semplice chiedere. (E se sei preoccupato per il tuo datore di lavoro che intercetta il traffico SSL, non vorrai importare alcun certificato CA interno sul tuo dispositivo, ovviamente.)

    
risposta data 10.05.2016 - 16:47
fonte
9

In questo caso, no, il tuo dispositivo non sarà soggetto a MITM di traffico https.

È possibile per i datori di lavoro distribuire un certificato di origine su macchine per installare un proxy MITM. (BlueCoat è una società che offre commercialmente tale dispositivo.) Tuttavia, è necessario installare un certificato "root attendibile" nei computer client.

Nel tuo caso, il certificato illustrato nella tua schermata mostra che verrà utilizzato per "l'autenticazione del server". Questo non è un certificato radice affidabile e non può essere utilizzato per verificare altri certificati. Questo significa che un proxy MITM non sarà in grado di usarlo per darti un certificato firmato sostitutivo.

Ovviamente, il tuo traffico non crittografato è ancora soggetto a ispezione.

    
risposta data 10.05.2016 - 20:10
fonte
1

Suppongo che tu stia effettuando la connessione dal tuo dispositivo personale.

Molte aziende hanno i propri certificati sulla loro rete da qualche parte per consentire loro di controllare il traffico HTTPS attraverso la loro rete. In molti paesi è legale per le aziende leggere il traffico utilizzando le proprie apparecchiature e trovano ciò necessario per proteggersi dai virus, ecc Poiché non possono leggere l'HTTPS, ti danno il loro certificato e quindi crittografano nuovamente i dati tra loro e la tua destinazione. Un MITM in effetti, ma è solo la tua azienda, e presumibilmente puoi fidarti di loro.
Non è possibile per nessun altro eseguire un attacco MITM se si accetta solo il certificato dalla propria azienda.

    
risposta data 10.05.2016 - 18:27
fonte
0

Questo è l'equivalente della creazione di un certificato autofirmato. Immagina quanto segue, distribuisci una rete. All'interno di questa rete ci sono i sistemi che conosci e che si fidano. Si crea un certificato autofirmato con crittografia avanzata. Questo certificato non può essere convalidato da solo a meno che tu crei la tua Autorità di certificazione ( CA ) .

Che cosa stai vedendo: "Non verificato" significa semplicemente che questo certificato non è visibile a nessuna CA . La tua azienda ha alcune scelte: 1) Ottenere un certificato firmato 2) Creare la propria CA o 3) lasciarlo così com'è. Quindi è lasciato così com'è, e ora stai ricevendo l'errore. Sei vulnerabile a un attacco MiTM? La risposta è si. Ma anche con un certificato firmato sei vulnerabile a un attacco MiTM.

Gli hacker sono stati conosciuti per rubare certificati SSL legittimi, quindi sei vulnerabile a un attacco MiTM con o senza un certificato verificato, tuttavia è più facile eseguire un MiTM attaccare con un certificato non verificato poiché gli utenti sono in grado di premere "OK" quando viene richiesto " Questo certificato non è valido ." Ecco alcune lettura informativa su SSL per rispondere ulteriormente alla tua domanda.

    
risposta data 10.05.2016 - 15:48
fonte
-2

Sì, lo sarai: sembra che un MITM stia preparando un cert nel tuo dispositivo. Puoi mostrare i dettagli completi del certificato? Quali sono le capacità di utilizzo consentite? Se sarebbe un certificato interno valido per - diciamo - un'interfaccia web intranet per qualcosa - allora nessun nome esterno (come dot-com come vedo sul tuo screenshot) sarà mai essere nelle informazioni cert

    
risposta data 10.05.2016 - 15:46
fonte

Leggi altre domande sui tag