web-dev-qa-db-fra.com

Sécurité de la connexion de pare-feu Windows avec certificat

Je me suis traité avec la configuration du pare-feu Windows de certains ordinateurs dans un réseau local (sans domaine) basé sur VMware. Pour aider à mes tests et à mon débogage, j'ai créé une petite application de console auto-hébergée qui répondra aux demandes HTTP, un "répondeur" si vous le ferez, de sorte que je puisse facilement vérifier la connectivité entre les ordinateurs sur un port spécifique.

J'ai tout de suite tout d'accord avec "Touches présparé" pour la première authentification (Règles de sécurité de la connexion/Authentification/Advanced/Personnaliser), mais lorsque vous essayez de passer à "Certificat d'ordinateur de cette autorité de certification", tout cesse de fonctionner.

J'ai essayé ce qui suit:

  • Créer ma propre ca et configuré le pare-feu pour l'utiliser sur tous les ordinateurs.
  • Configuration du pare-feu pour utiliser un CA Verisign sur tous les ordinateurs.
  • Créé des règles supplémentaires "Autoriser toutes les règles sortantes pour le pare-feu.
  • Appeler le "répondeur" de l'ordinateur hôte et d'une autre machine virtuelle.
  • Essayé avec et sans nécessiter d'authentification pour le trafic sortant.
  • Essayé spécifiant le port etcetera.

Mon sentiment est que je suis en quelque sorte fondamentalement en arrière dans cela, j'ai donc deux questions:

  • La solution de certificat n'est-elle pas possible avec des ordinateurs non connectés à un domaine (avec inscription etcetera)?
  • Si cela devrait être possible, qu'est-ce que je manque?
certificateswindowsfirewallscertificate-authority
7
Oskar Lindberg

Je comprends que vous testez et explorez une fonctionnalité, mais je soupçonne ce que vous envisagez de ne pas être la solution que vous après. Quel problème essayez-vous de résoudre?

Le pare-feu MSFT permet une mise en réseau sécurisée et (du point de vue du conseil MSCS), a évolué au fil des ans des concepts suivants:

  • Kerberos
  • IPsec VPN + pare-feu Windows
  • Utilisation d'IPsec comme moyen de séparer les ordinateurs "autorisés" de non autorisés. (primitif SIESTE )
  • Accès direct

Un PKI est nécessaire pour la plupart des caractéristiques. ADCS est un choix valide et peut bien fonctionner en tant que cale Server CA , ou à l'échelle de la solution de numérique au besoin.

L'authentification avec HTTP à l'aide des certificats est orthogonale à toutes ces solutions et dispose d'un ensemble de problèmes côté du navigateur si les humains l'utiliseront (voir ceci également ). Si vous recherchez authentification client moderne qui protège également de certaines attaques de cookies , vous devriez regarder Fido .

Si vous écrivez une application qui authentifie à l'aide d'un certificat, vous pouvez vous intéresser à ADCS Web Inscrivez-vous WSDL . Notez que le service d'inscription du périphérique réseau n'est pas destiné à être confronté à Internet et il y a des conseils contre l'utilisation dans certaines situations.

1
goodguys_activate