Qual è l'impatto sulla sicurezza dell'installazione di un profilo di configurazione macOS contenente certificati?

7

Voglio installare un profilo di configurazione per connettersi automaticamente alla mia rete universitaria ma insieme alle due configurazioni di rete wifi ci sono anche due certificati , la loro descrizione è "AC du fournisseur d'identité" ( in inglese: CA del provider di identità), quelli sono certificati "TERENA SSL CA 3" e "DigiCert Assured ID Root CA", entrambi emessi da "DigiCert Assured ID Root CA".

Qual è l'impatto esatto di questo sulla sicurezza del mio sistema?

Firma solo il profilo o installa nuovi emettitori di certificati attendibili per i siti Web che posso consultare, ad esempio? (che aumenterebbe il rischio di un uomo nell'attacco centrale)

Grazie

    
posta Trevör Anne Denise 24.01.2017 - 19:26
fonte

3 risposte

3

Il file eduroam-OS_X-UdS.mobileconfig contiene cinque certificati. Tre di questi possono essere recuperati inserendo openssl pkcs7 -inform DER -print_certs -in ~/Downloads/eduroam-OS_X-UdS.mobileconfig .

Almeno due dei tre appartengono alla catena di fiducia per convalidare la firma del codice del file mobileconfig.

Puoi verificare ciò facendo clic su verificato

Glialtridue("TERENA SSL CA 3" e "DigiCert Assured ID Root CA") sono la catena di fiducia per convalidare l'identità del server RADIUS della tua università. Aprendo eduroam-OS_X-UdS.mobileconfig con un editor decente puoi vederli ed estrarli. Salvando ognuno di essi come un file * .cer puoi confrontarli e convalidarli aprendoli con Keychain Access.app: scegli uno dei due certificati e fai clic con il tasto destro del mouse > valuta cert > Generico.

SeilcertificatoTERENAnonvienevalutatocorrettamente,noncatturacorrettamenteilcertificatoradicediDigicert.PremisemplicementeilpulsanteTornaindietroeripetiilpassaggio.

"DigiCert Assured ID Root CA" è un duplicato di un certificato già esistente nel portachiavi System Roots e "TERENA SSL CA 3" è un'autorità di certificazione intermedia. Entrambi sono necessari per garantire l'identità del server Radius. Se possibile, dovresti scegliere di "Convalidare il certificato del server (RADIUS)". Non so (e non sono stato in grado di trovare) il nome DNS del server RADIUS della tua università.

Nessuno dei certificati riduce la sicurezza del sistema. Se tutto è configurato correttamente (specialmente sul lato server), un MITM non dovrebbe essere possibile: Considerazioni sulla sicurezza .

Se qualcosa è configurato in modo improprio e sei vittima di un MITM il tuo l'identificativo ENT e le mot de passe ENT saranno "persi".

    
risposta data 29.01.2017 - 00:27
fonte
0

Se il tuo luogo ha un proxy con "ssl-inspection" (alias mitm), allora se navighi su link questo proxy sarebbe l'emittente 'del certificato del server che vedi, e sarebbe il client se chiedi a bank.com. Dovresti riuscire a vederlo facilmente quando fai clic sul pulsante per il certificato nel browser, cerca il campo Emittente, ma convalida l'impronta digitale (confronta con quello installato). Se utilizzi Firefox, riceverai un avviso perché ha il proprio archivio per i certificati radice CA. Ironport è un marchio di appliance proxy che può farlo, a volte vedrai questo nome nelle radici della CA. In Windows Internet Explorer, questi possono essere inseriti dai criteri.

    
risposta data 02.02.2017 - 07:24
fonte
-2

Penso che la tua domanda sia MOLTO BUONA e anche un ambito molto ampio di ciò che può essere effettuato. Quindi prima quali componenti possono essere in un profilo:

E secondo APPLE: Un profilo di configurazione contiene un numero di impostazioni che è possibile specificare, tra cui:

Limitazioni sulle funzionalità del dispositivo Impostazioni Wi-Fi Impostazioni VPN Impostazioni del server di posta elettronica Impostazioni di scambio Impostazioni del servizio directory LDAP Impostazioni del servizio calendario CalDAV Clip web Credenziali e chiavi

Dico che la tua domanda ha un ampio campo di applicazione perché quelli e molto altro possono essere modificati e sono sicuro che molti elementi saranno configurati

QUI È TUTTO QUELLO DI APPLE DA DICONO: link

La mia opinione è che devi prima decifrare il profilo e vedere cosa è stato impostato ....

    
risposta data 28.01.2017 - 03:53
fonte

Leggi altre domande sui tag