Permiso del certificado de Wi-fi y acceso al teléfono / datos

2

Hay varias preguntas que abordan preguntas similares, pero no del mismo modo (otros preguntan sobre los ataques MITM). También expresan respuestas / respuestas conflictivas y opuestas, por lo que formulo aquí 3 preguntas específicas sobre la aceptación del Certificado de Wi-Fi de una empresa cuando se conecta a su red, que se controla con las credenciales de la cuenta corporativa para acceder, en un dispositivo personal.

Básicamente, la autenticación se produce a través de las credenciales de la cuenta de la empresa (correo electrónico) al seleccionar la red segura. Una vez verificado, solicita aceptar, "Confiar" un Certificado como tal: .

Mirandoatravésdelosdetalles,agregoestoparaayudararespondermispreguntas:

  1. ¿Aceptar este certificado le da a la compañía el derecho de acceder a mi teléfono? I.e.) ¿Proporciona algún tipo de acceso de root o algo similar que les permita ver / acceder a los datos en mi teléfono? Esto significa acceder tanto a la información en el dispositivo real (fotos, correos electrónicos, etc.) como a los datos / información que se transmiten a través de la red. No me refiero a la supervisión, sino a la posibilidad de acceder a mi teléfono.
  2. Si solo pueden ver / acceder a los datos que se transmiten a través de la red (monitoreando básicamente), ¿son estos URL de destino base genéricos o serían direcciones específicas y contenido real?
  3. ¿Cómo se vería afectado todo esto por el uso de un servicio VPN independiente? (Alguien recomendó usarlo en otras preguntas)

Básicamente, quiero saber cuánto derecho / privacidad estaría renunciando al aceptar confiar en este certificado.

Todo lo que puedo decir es que puede ser solo para la autenticación, pero ¿es realmente solo eso, y a lo que estoy más atento al realizar la autenticación? Por lo que sé, podría estar aceptando que la compañía acceda a los datos en mi teléfono.

Gracias de antemano!

    
pregunta bretonics 02.07.2018 - 18:08
fuente

2 respuestas

0
  1. No, simplemente está instalando un certificado que sirve para reforzar la legitimidad del servidor RADIUS con el que se autentica (y encripta las conexiones de LAN).

  2. Si está hablando de descifrado SSL, del tipo que se hace en su red corporativa promedio, no. Al aceptar su certificado, no está aceptando un certificado authority ; simplemente está aceptando que el certificado se utilizará para cifrar las conexiones entre usted y el enrutador. A menos que esté utilizando un servicio VPN o un DNS cifrado, ellos podrán ver los nombres de host que está visitando, pero nada más.

  3. La seguridad de un servicio VPN no debería verse afectada por esto en absoluto. Nuevamente, no está aceptando ningún tipo de autoridad de certificado . Ese certificado no se puede usar para otra cosa que no sea cifrar la conexión entre usted y el enrutador. Los perfiles de OpenVPN y los demás vienen con sus propios certificados, anwyay, si recuerdo bien (dígame si me equivoco aquí).

respondido por el cheers 02.07.2018 - 18:20
fuente
0
  

¿La aceptación de este certificado le da a la compañía el derecho de acceder a mi teléfono? I.e.) ¿Proporciona algún tipo de acceso de root o algo similar que les permita ver / acceder a los datos en mi teléfono? Esto significa acceder tanto a la información en el dispositivo real (fotos, correos electrónicos, etc.) como a los datos / información que se transmiten a través de la red. No me refiero a la supervisión, sino a la posibilidad de acceder a mi teléfono.

No. En este punto, le ha dado sus credenciales a su dispositivo para conectarse a la red inalámbrica. Dependiendo del dispositivo real y de cómo esté configurado, el solicitante EAP ha pasado un nombre de usuario al servidor de autenticación, pero no la contraseña. La razón por la que se requiere un nombre de usuario en este momento es que se puede usar para enviar su solicitud de autenticación a un servidor RADIUS diferente.

Su contraseña (y el nombre de usuario real o interno si su dispositivo usa un nombre de usuario externo diferente) no se ha enviado al servidor de autenticación en este momento. En cambio, su suplicante de EAP ahora está intentando establecer un túnel TLS para pasar esta información de manera segura al servidor. Como su dispositivo no puede conectarse a ningún recurso de la red en este momento para validar si el servidor de autenticación es correcto o si el certificado es válido, le está solicitando que proporcione esta validación.

Marque mi respuesta aquí si desea una respuesta más detallada sobre este proceso.

  

Si solo pueden ver / acceder a los datos que se transmiten a través de la red (monitoreando básicamente), ¿es esto genérico como las URL de destino base o serían direcciones específicas y contenido real?

Podrán ver las direcciones IP de origen / destino, los puertos TCP / UDP y los datos sin cifrar. Aunque esto se debe a que usted utiliza su red, no porque haya aceptado el certificado para la autenticación. Este será el resultado sin importar cómo acceda a su red.

Si está utilizando HTTPS, no deberían poder ver ninguna parte de la URL en la solicitud, aunque pueden tener una solución en su lugar que puede hacer conjeturas (a veces muy inteligentes) sobre el tipo de solicitud que tiene. hecho. Por supuesto, si el sitio al que está accediendo a través de HTTPS está utilizando conjuntos de cifrado débiles / rotos más antiguos, es posible que esto no le proporcione la protección que espera. Siempre puede verificar si el sitio HTTPS usa SSL débil con un recurso como Qualys SSL Labs .

  

¿Cómo se vería afectado todo esto por el uso de un servicio VPN independiente? (Alguien recomendó usarlo en otras preguntas)

Nuevamente podrían ver los puertos de origen / destino y TCP / UDP. Otra información pasada a través del túnel VPN no podría ser utilizada por ellos. Tampoco tendrán mucho contexto para cualquier solución que estén utilizando para determinar lo que está haciendo en el túnel, aparte de la VPN.

Dependiendo de su configuración, todavía puede filtrar información. Por ejemplo, sus consultas de DNS pueden usar sus servidores locales en lugar de un recurso a través del túnel VPN para resolver nombres de dominio / dominios en direcciones IP. Esto les permitiría al menos saber a qué está accediendo.

    
respondido por el YLearn 02.08.2018 - 02:21
fuente