Permesso certificato Wi-fi e accesso a telefono / dati

2

Ci sono diverse domande che affrontano domande simili, ma non proprio le stesse (altri chiedono di MITM Attacks). Presentano anche risposte / risposte contrastanti e opposte, quindi chiedo qui 3 domande specifiche riguardanti l'accettazione del certificato Wi-fi di un'azienda quando ci si connette alla propria rete, che è controllata con le credenziali dell'account aziendale per accedere, su un dispositivo personale.

Fondamentalmente, l'autenticazione avviene tramite le credenziali dell'account aziendale (email) quando si seleziona la rete sicura. Una volta verificato, chiede di accettare, "Trust" un certificato in quanto tale: .

Guardandoattraversoidettagli,aggiungoquestoperaiutarearispondereallemiedomande:

  1. Accettare questo certificato dà alla compagnia il diritto di accedere al mio telefono? I.e) fornisce una sorta di accesso root o qualcosa di simile che consente loro di visualizzare / accedere ai dati sul mio telefono. Ciò significa accedere a entrambe le informazioni sul dispositivo reale (foto, e-mail, ecc.) E dati / informazioni trasmessi tramite la rete. Non intendo il monitoraggio, ma la possibilità di accedere al mio telefono.
  2. Se possono solo vedere / accedere ai dati trasmessi attraverso la rete (monitoraggio fondamentalmente), questo è generico come gli URL di destinazione di base o sarebbero indirizzi specifici e contenuti effettivi?
  3. In che modo tutto ciò viene influenzato dall'utilizzo di un servizio VPN indipendente? (Qualcuno ha raccomandato di usarlo in altre domande)

Fondamentalmente voglio sapere quanto diritto / privacy rinuncerei accettando di fidarmi di questo certificato.

Per quello che posso dire è che potrebbe essere solo per l'autenticazione, ma è davvero solo questo, e per cosa sto accettando ulteriormente autenticandomi? Per quel che ne so, potrei accettare la compagnia che accede ai dati sul mio telefono.

Grazie in anticipo!

    
posta bretonics 02.07.2018 - 18:08
fonte

2 risposte

0
  1. No, stai semplicemente installando un certificato che serve a rafforzare la legittimità del server RADIUS con cui stai autenticando (e crittografa le connessioni LAN).

  2. Se parli di decodifica SSL, del tipo fatto nella tua rete aziendale media, no. Accettando il loro certificato, non accetti l'autorizzazione del certificato - stai semplicemente accettando che il certificato verrà utilizzato per crittografare le connessioni tra te e il router. A meno che tu non stia utilizzando un servizio VPN o DNS crittografato, sarebbero in grado di vedere i nomi degli host che stai visitando, ma niente di più.

  3. La sicurezza di un servizio VPN non dovrebbe essere affatto influenzata da questo. Ancora una volta, non accetti alcun tipo di autorizzazione del certificato. Questo certificato non può essere utilizzato per altri scopi oltre alla crittografia della connessione tra te e il router. I profili OpenVPN e tali sono forniti con i propri certificati, in ogni caso, se ricordo correttamente (dimmi se ho torto qui).

risposta data 02.07.2018 - 18:20
fonte
0

Does accepting this certificate give the company the right to access my phone? I.e.) does it give some sort of root access or anything like it that allows them to view/access data on my phone. This means accessing both information on the actual device (photos, emails, etc) and data/information being transmitted via the network. I don’t mean monitoring, but being able to access my phone.

No. A questo punto, hai fornito le credenziali per il tuo dispositivo per connettersi alla rete wireless. A seconda del dispositivo effettivo e del modo in cui è configurato, il richiedente EAP ha passato un nome utente al server di autenticazione, ma non la password. Il motivo per cui è necessario un nome utente a questo punto è che possa essere utilizzato per il proxy della richiesta di autenticazione a un altro server RADIUS.

La tua password (e il nome utente reale o interno se il tuo dispositivo utilizza un nome utente esterno diverso) non sono stati inviati al server di autenticazione in questo momento. Invece il supplicant EAP sta tentando di stabilire un tunnel TLS per trasferire in modo sicuro queste informazioni al server. Poiché il tuo dispositivo non è in grado di connettersi a nessuna risorsa di rete in questo momento per convalidare se il server di autenticazione è corretto o se il certificato è valido, ti chiede di fornire questa convalida.

Controlla la mia risposta qui se vuoi una risposta più approfondita su questo processo.

If they can only see/access the data being transmitted through the network (monitoring basically), is this generic like base destination URLs or would it be specific addresses and actual content?

Saranno in grado di vedere gli indirizzi IP di origine / destinazione, le porte TCP / UDP e i dati non crittografati. Sebbene ciò avvenga come conseguenza dell'utilizzo della rete, non perché l'utente ha accettato il certificato per l'autenticazione. Questo sarà il risultato indipendentemente da come accedi alla loro rete.

Se si utilizza HTTPS, non dovrebbero essere in grado di vedere alcuna parte dell'URL nella richiesta, sebbene possano avere una soluzione in atto che può fare supposizioni (a volte molto intelligenti) sul tipo di richiesta che si ha fatto. Naturalmente, se il sito a cui accedi tramite HTTPS utilizza suite di crittografia più deboli / danneggiate, potrebbe non fornire la protezione che ti aspetti. Puoi sempre verificare se il sito HTTPS utilizza SSL debole con una risorsa come Qualys SSL Labs .

How would all this be affected by using an independent VPN service? (Someone recommended using it in other questions)

Sarebbero di nuovo in grado di vedere le porte source / destination e TCP / UDP. Altre informazioni passate attraverso il tunnel VPN non potrebbero essere utilizzabili da loro. Inoltre, non avranno molto contesto per qualsiasi soluzione che stanno utilizzando per determinare cosa stai facendo nel tunnel, diverso da VPN.

A seconda della tua configurazione, potresti ancora perdere informazioni. Ad esempio, le tue query DNS potrebbero utilizzare i loro server locali piuttosto che una risorsa attraverso il tunnel VPN per risolvere i nomi di host / domini in indirizzi IP. Ciò consentirebbe loro di sapere almeno a cosa si sta accedendo.

    
risposta data 02.08.2018 - 02:21
fonte