Sto cercando di completare un'infrastruttura relativamente sicura usando solo strumenti OSS. Sul lato Linux, ho l'IPA RedHat molto capace che fornisce Kerberos e gestisce le registrazioni di host e servizi. Sul lato client, ci sono un mix di dispositivi, ma per scopi di discussione, limitiamolo a Linux, Mac OS e iOS.
I due servizi che mi preoccupano di più sono le VPN e le e-mail, dal momento che ritengo che queste creino la maggior esposizione possibile dai guerrieri della strada. E come descriverò di seguito, c'è un vettore agghiacciante per le password da impacchettare per gli incauti.
La VPN sembra la più semplice, non è irragionevole per l'utente generare un OTP all'accesso alla VPN e RADIUS è già disponibile come servizio FreeIPA da qualche tempo. Le VPN hanno comunemente il supporto RADIUS, quindi dovrebbe essere ragionevole.
Al di fuori di questo, GSSAPI + OTP risolve ogni problema a cui riesco a pensare. Gli utenti possono generare un TGT una volta al giorno al mattino utilizzando 2FA e ogni servizio lo utilizza idealmente per i ticket di servizio. In tal modo, il segreto condiviso OTP può utilizzare una finestra intervallo standard e tutto è hunky dory. (In un mondo che ha tutto, una IPSEC SA utilizza dinamicamente la rotazione dei ticket Kerberos per l'autenticazione invece di RADIUS e non devi chiedere una VPN, è solo lì quando ne hai bisogno ...)
Purtroppo GSSAPI ha scarso supporto nei client che le persone usano, come iOS Mail. Per la parte, due delle quattro opzioni di autenticazione di iOS Mail includono una qualche forma di MD5 e la terza di quattro è una password in chiaro. Sarebbe un po 'patetico in Apple Mail se non fosse così comune in ogni client.
I certificati client TLS sono un'altra opzione ragionevole, ma altrettanto scarsamente supportati. Peggio ancora, non sono davvero sicuri di fare affidamento su se stessi, dal momento che chiunque sia in possesso di un dispositivo certificato potrebbe essere in grado di utilizzare il certificato. Un OTP può essere d'aiuto se combinato con TLS CC, ma non è pratico utilizzare un OTP con un intervallo ragionevolmente breve per un servizio come IMAP poiché viene controllato per tutto il giorno e non penso sia ragionevole chiedere un OTP più di una volta.
Gmail risolve questo problema con password specifiche per applicazione e FreeIPA ci ha pensato su questa richiesta di studenti per tesi . Ma, ahimè, non c'è stato alcun movimento reale per anni, compreso il periodo precedente a qui .
Quindi, a meno che mi manchi qualcosa, IMAP e SMTP iniziano a ricorrere all'autenticazione con password semplice, che è estremamente pericolosa. Gli AP WiFi pubblici spesso consentono a una macchina di connettersi al SSID senza autenticazione, ma poi tutto il traffico sulla porta viene instradato ai vettori MIM che probabilmente raccolgono password (ciao Starbucks). Senza 2FA e la stessa password tra VPN ed e-mail, l'intera rete è ora compromessa con un clic involontario per accettare un certificato SSL sconosciuto in app oscure come Calendar.
Ciò che penso capiti per evitare questi problemi è che le grandi aziende installano sandbox per app su dispositivi con interfacce virtuali che funzionano su VPN su richiesta. In questo modo, semplicemente, nessun utente può inavvertitamente commettere un semplice errore che compromette la loro autenticazione e le operazioni non devono essere "cattivi" limitando le app che le persone possono o non possono eseguire sul loro BYOD. (O almeno se non è così che funzionano queste cose, dovrebbero). Semplicemente non ho quel tipo di soldi per questo progetto.
So che questo è un problema complesso. La mia domanda è come risolverne il più possibile. Spero di aver spiegato dove si trovano i problemi, sono grato per il feedback su come potrei guardare al problema sbagliato o soluzioni che mi mancano che potrebbero aiutare.