Praha 2013 11. ročník největší odborné IT konference v ČR! Ondřej Ševeček MCM:Directory | MVP:Security | CEH | sevecek.com Certifikační.

Prezentace na téma: "Praha 2013 11. ročník největší odborné IT konference v ČR! Ondřej Ševeček MCM:Directory | MVP:Security | CEH | sevecek.com Certifikační."— Transkript prezentace:

1 Praha 2013 11. ročník největší odborné IT konference v ČR! Ondřej Ševeček MCM:Directory | MVP:Security | CEH ondrej@sevecek.com | sevecek.com Certifikační autority a certifikační politiky

2 O čem bude řeč?  Musím mít offline root CA? –a jak dlouhu může platit?  Mohu mít více CA?  Jakou si mám vybrat edici OS?  Jaké existují a jak fungují certifikační politiky?  Jaká jsou rizika spojená s předáním správy?

3 "Bezpečnost" certifikačních autorit  Pojem bezpečnost sám o sobě je nesmysl –absolutní bezpečnost neexistuje  Bezpečnost je potřeba hodnotit mírou rizika a nákladů na řešení krizových situací

4 Proč mají veřejné CA offline root?  Každý OS věří root CA  Je velmi drahé "být důvěryhodný" –veřejné prostředí nemá centrální správu  Kořenovou CA nelze zneplatnit –problém slepice vs. vejce  Bylo by velmi drahé "zneplatnit" kořenovou CA –poškození reputace –konec businessu?

5 Co je špatného na offline CA?  Špatně se to spravuje  Musí pravidelně publikovat CRL –čím méně často, tím to je méně "bezpečné" –čím více často, tím "dražší" bude publikace

6 Trust management v podnikovém prostředí  Active Directory a Group Policy  6x kliknout na zařízení důvěry –do 2 hodin vykonáno  6x kliknout na zneplatnění certifikátu –do 2 hodin vykonáno

7 Zajímá mě tedy platnost kořenové certifikační autority?  Ne  Až budu chtít, tak si ji zneplatním nebo obnovím (renew)

8 Rizika napadení řadiče domény  Libovolný řadič domény (DC)  Libovolné domény z celého forestu  Napadení = reinstalace celého forestu

9 Služby poskytované online AD integrovanou CA  Certifikáty vnitřních TLS serverů –LDAPS, RDP, HTTPS, SMTPS, 802.1x, VPN  Certifikáty uživatelů k přihlašování –Kerberos smart kard logon (PKINIT) –TLS client certificate authentication

10 Rizika napadení online AD integrované CA  Reinstalace CA a nahrazení všech certifikátů na všech službách –servery –uživatelé  Reinstalace celého forestu v případě NTAuth certifikační autority

11 Rizikovost DC vs. CA  Podniková vnitřní CA obvykle nemůže mít větší rizikovost než libovolné DC  Potřebuji tedy offline root CA? –jen pokud vydávám do nespravovaného prostředí

12 Certifikační politiky a příjemci certifikátů  Počítače a služby –buď automaticky podle jména počítače –nebo si o ně žádá jejich správce •možná by to měl někdo potvrdit  Uživatelé –buď automaticky podle loginu v AD –žádají si sami •možná by to měl někdo potvrdit

13 Separace rolí "potvrzovačů"  Certificate Manager  Certificate Enrollment Agent –enroll on behalf of

14 Je tedy na něco mít root CA?  Qualified Subordination –name constraints –EKU constraints

15 Qualified Subordination  CERTREQ -policy -cert RootCaCN in.req policy.inf out.req

16 Name Constraints [NameConstraintsExtension] Include = NameConstraintsPermitted Exclude = NameConstraintsExcluded Critical = True [NameConstraintsPermitted] DirectoryName = "DC=gopas, DC=virtual" email = "" DNS =.gopas.cz UPN = @gopas.cz URI = ftp://.gopas.virtual IPAddress = 10.10.0.0/255.255.255.0 [NameConstraintsExcluded]

17 Application policy constraints [ApplicationPolicyStatementExtension] Policies = AppEmailPolicy, AppClAuthPolicy Critical = False [AppEmailPolicy] OID = 1.3.6.1.5.5.7.3.4 ; Secure Email [AppClAuthPolicy] OID = 1.3.6.1.5.5.7.3.2 ; Client Authentication [ApplicationPolicyConstraintsExtension] RequireExplicitPolicy = 1 InhibitPolicyMapping = 1