Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
ZveřejnilAdéla Slavíková
1
Praha 2013 11. ročník největší odborné IT konference v ČR! Ondřej Ševeček MCM:Directory | MVP:Security | CEH ondrej@sevecek.com | sevecek.com Certifikační autority a certifikační politiky
2
O čem bude řeč? Musím mít offline root CA? –a jak dlouhu může platit? Mohu mít více CA? Jakou si mám vybrat edici OS? Jaké existují a jak fungují certifikační politiky? Jaká jsou rizika spojená s předáním správy?
3
"Bezpečnost" certifikačních autorit Pojem bezpečnost sám o sobě je nesmysl –absolutní bezpečnost neexistuje Bezpečnost je potřeba hodnotit mírou rizika a nákladů na řešení krizových situací
4
Proč mají veřejné CA offline root? Každý OS věří root CA Je velmi drahé "být důvěryhodný" –veřejné prostředí nemá centrální správu Kořenovou CA nelze zneplatnit –problém slepice vs. vejce Bylo by velmi drahé "zneplatnit" kořenovou CA –poškození reputace –konec businessu?
5
Co je špatného na offline CA? Špatně se to spravuje Musí pravidelně publikovat CRL –čím méně často, tím to je méně "bezpečné" –čím více často, tím "dražší" bude publikace
6
Trust management v podnikovém prostředí Active Directory a Group Policy 6x kliknout na zařízení důvěry –do 2 hodin vykonáno 6x kliknout na zneplatnění certifikátu –do 2 hodin vykonáno
7
Zajímá mě tedy platnost kořenové certifikační autority? Ne Až budu chtít, tak si ji zneplatním nebo obnovím (renew)
8
Rizika napadení řadiče domény Libovolný řadič domény (DC) Libovolné domény z celého forestu Napadení = reinstalace celého forestu
9
Služby poskytované online AD integrovanou CA Certifikáty vnitřních TLS serverů –LDAPS, RDP, HTTPS, SMTPS, 802.1x, VPN Certifikáty uživatelů k přihlašování –Kerberos smart kard logon (PKINIT) –TLS client certificate authentication
10
Rizika napadení online AD integrované CA Reinstalace CA a nahrazení všech certifikátů na všech službách –servery –uživatelé Reinstalace celého forestu v případě NTAuth certifikační autority
11
Rizikovost DC vs. CA Podniková vnitřní CA obvykle nemůže mít větší rizikovost než libovolné DC Potřebuji tedy offline root CA? –jen pokud vydávám do nespravovaného prostředí
12
Certifikační politiky a příjemci certifikátů Počítače a služby –buď automaticky podle jména počítače –nebo si o ně žádá jejich správce •možná by to měl někdo potvrdit Uživatelé –buď automaticky podle loginu v AD –žádají si sami •možná by to měl někdo potvrdit
13
Separace rolí "potvrzovačů" Certificate Manager Certificate Enrollment Agent –enroll on behalf of
14
Je tedy na něco mít root CA? Qualified Subordination –name constraints –EKU constraints
15
Qualified Subordination CERTREQ -policy -cert RootCaCN in.req policy.inf out.req
16
Name Constraints [NameConstraintsExtension] Include = NameConstraintsPermitted Exclude = NameConstraintsExcluded Critical = True [NameConstraintsPermitted] DirectoryName = "DC=gopas, DC=virtual" email = "" DNS =.gopas.cz UPN = @gopas.cz URI = ftp://.gopas.virtual IPAddress = 10.10.0.0/255.255.255.0 [NameConstraintsExcluded]
17
Application policy constraints [ApplicationPolicyStatementExtension] Policies = AppEmailPolicy, AppClAuthPolicy Critical = False [AppEmailPolicy] OID = 1.3.6.1.5.5.7.3.4 ; Secure Email [AppClAuthPolicy] OID = 1.3.6.1.5.5.7.3.2 ; Client Authentication [ApplicationPolicyConstraintsExtension] RequireExplicitPolicy = 1 InhibitPolicyMapping = 1
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.