Seguridad de conexión de Firewall de Windows con certificado

7

He estado jugando con la configuración del firewall de Windows de algunas computadoras dentro de una LAN basada en VMWare (sin dominio). Para ayudar en mis pruebas y depuración, creé una pequeña aplicación de consola auto alojada que responderá a las solicitudes HTTP, un "contestador automático" si así lo desea, para que pueda verificar fácilmente la conectividad entre las computadoras en un puerto específico.

De inmediato, funcioné bien con "Claves compartidas previamente" para la primera autenticación (Reglas de seguridad de conexión / Autenticación / Avanzado / Personalizar), pero al intentar cambiar a "Certificado de equipo de esta autoridad de certificación", todo deja de funcionar.

He intentado lo siguiente:

  • Creando mi propia CA y configuré el firewall para usarlo en todas las computadoras.
  • Configuración del firewall para usar una CA de Verisign en todas las computadoras.
  • Se crearon reglas de entrada y salida adicionales para el firewall.
  • Llamando al "contestador automático" tanto desde la computadora host como desde otra máquina virtual.
  • Se intentó con y sin requerir autenticación para el tráfico saliente.
  • Intenté especificar el puerto, etcétera.

Mi sensación es que de alguna manera estoy fundamentalmente al revés en esto, así que tengo dos preguntas:

  • ¿No es posible la solución de certificado con computadoras que no están conectadas a un dominio (con inscripción, etcétera)?
  • Si es posible, ¿qué me falta?
pregunta Oskar Lindberg 23.10.2014 - 16:50
fuente

2 respuestas

1

He leído el artículo de Microsoft TechNet aquí: enlace ( Googled "Windows Firewall Certificate Authentication") y un poco más bajo dice que no cubre: Guía para configurar autoridades de certificación (CA) para crear certificados para la autenticación basada en certificados. Para obtener esta información, consulte los Servicios de certificados de Active Directory (ADCS) ( enlace ).

Eso nos lleva al artículo de AD TechNet sobre el tema: enlace

Parece que necesitará un dominio para implementar ADCS para autenticarse con certificados. (Las fuentes de TechNet que encontré eran todas para Windows Server 2008). Active Directory es un montón de diversión (¡algo de sarcasmo, no!), Y parece que tendrá que recorrer esa ruta para configurar las opciones de seguridad avanzadas en el Firewall de Windows (al menos para CA).

    
respondido por el Desthro 23.10.2014 - 17:35
fuente
1

Comprendo que estás probando y explorando una función, pero sospecho que lo que estás viendo puede no ser la solución que estás buscando. ¿Qué problema intentas resolver?

El firewall de MSFT permite la creación de redes seguras, y (desde la perspectiva de la consultoría de MSCS), ha evolucionado a lo largo de los años a partir de los siguientes conceptos:

  • Kerberos
  • IPSec VPN + Firewall de Windows
  • Usar IPSec como una forma de separar las computadoras "autorizadas" de las no autorizadas. (primitivo NAP )
  • DirectAccess

Se necesita una PKI para la mayoría, si no todas, de esas características. ADCS es una opción válida, y puede funcionar bien como CA de servidor único , o escalar a una solución de N niveles según sea necesario.

La autenticación con HTTP mediante certificados es ortogonal a todas esas soluciones y tiene un conjunto de problemas relacionados con el navegador si los humanos lo usarán (vea esto también ). Si está buscando autenticación de cliente moderna que también protege de ciertos ataques de cookies , debe consultar Fido .

Si está escribiendo una aplicación que se autentica utilizando un certificado, puede interesarle la web de ADCS inscripción WSDL . Tenga en cuenta que el servicio de inscripción de dispositivos de red no está pensado para ser utilizado en Internet, y existe una guía contra su uso en ciertas situaciones.     

respondido por el random65537 22.12.2014 - 17:32
fuente

Lea otras preguntas en las etiquetas