Windows Firewall Connection Security con certificato

Naviga le tue risposte
7

Ho giocato con la configurazione del firewall di Windows di alcuni computer all'interno di una LAN basata su VMWare (nessun dominio). Per facilitare il mio test e il debug, ho creato una piccola applicazione console self-host che risponderà alle richieste HTTP, una "segreteria telefonica", se lo desideri, in modo da poter facilmente controllare la connettività tra computer su una porta specifica.

Ho subito capito tutto usando "Chiavi già condivise" per la prima autenticazione (Regole di sicurezza della connessione / Autenticazione / Avanzate / Personalizza), ma quando si tenta di passare a "Certificato del computer da questa autorità di certificazione", tutto smette di funzionare.

Ho provato quanto segue:

  • Creazione della mia CA e configurazione del firewall per l'utilizzo su tutti i computer.
  • Configurazione del firewall per utilizzare una CA di Verisign su tutti i computer.
  • Crea ulteriori regole "in entrata e in uscita" per il firewall.
  • Chiamare la "segreteria telefonica" sia dal computer host che da un'altra macchina virtuale.
  • Provato con e senza richiedere l'autenticazione per il traffico in uscita.
  • Provato a specificare la porta eccetera.

La mia sensazione è che in qualche modo sono fondamentalmente arretrato, quindi ho due domande:

  • La soluzione del certificato non è possibile con i computer non connessi a un dominio (con iscrizione eccetera)?
  • Se dovrebbe essere possibile, cosa mi manca?
posta Oskar Lindberg 23.10.2014 - 16:50
fonte

2 risposte

1

Ho letto attentamente l'articolo di Microsoft TechNet qui: link ( google "autenticazione del certificato del firewall di Windows") e un po 'più in basso dice che non copre: Guida per la creazione di autorità di certificazione (CA) per creare certificati per l'autenticazione basata su certificato. Per queste informazioni, vedere Servizi certificati Active Directory (ADCS) ( link ).

Questo ci porta all'articolo di AD TechNet sull'argomento: link

Sembra che sia necessario un dominio per implementare ADCS per l'autenticazione con i certificati. (Le fonti TechNet che ho trovato erano tutte per Windows Server 2008.) Active Directory è un intero carico di divertimento, (qualche sarcasmo, alcune no!), E sembra che dovrai percorrere quella strada per configurare le opzioni di sicurezza avanzate nel Windows Firewall (almeno per CA).

    
risposta data 23.10.2014 - 17:35
fonte
1

Capisco che stai testando ed esplorando una funzionalità, ma sospetto che ciò che stai guardando potrebbe non essere la soluzione che cerchi. Che problema stai cercando di risolvere?

Il firewall MSFT consente il networking sicuro e (dal punto di vista della consulenza MSCS), si è evoluto nel corso degli anni dai seguenti concetti:

  • Kerberos
  • IPSec VPN + Windows Firewall
  • Uso di IPSec come metodo per separare i computer "autorizzati" da non autorizzati. (primitivo NAP )
  • DirectAccess

Un PKI è necessario per la maggior parte se non tutte quelle funzionalità. ADCS è una scelta valida e può funzionare bene come CA per server singolo o ridimensionato in una soluzione di livello N se necessario.

L'autenticazione con HTTP utilizzando i certificati è ortogonale a tutte quelle soluzioni e ha una serie di problemi con il browser se gli umani lo useranno (vedi anche questo ). Se stai cercando l'autenticazione client moderna che protegge anche da alcuni attacchi di cookie , dovresti dare un'occhiata a Fido .

Se stai scrivendo un'app che si autentica utilizzando un certificato, potresti essere interessato al web ADCS iscrizione WSDL . Tieni presente che il servizio di registrazione del dispositivo di rete non è concepito per essere rivolto a Internet e che ci sono delle indicazioni per l'utilizzo in determinate situazioni.

    
risposta data 22.12.2014 - 17:32
fonte

Leggi altre domande sui tag

Esiste un equivalente HSTS per DNSSec? Quali sono i requisiti o gli standard di conformità per un'azienda non statunitense che ospita dati personali negli Stati Uniti?