اولا، برخی از پیش زمینه ها برای این سوال:
من VPN VPN در Pulse Connect Secure VPN در یک محیط چند مستاجر استفاده کرده ام و با تأیید هویت گواهی (با استفاده از کارت های هوشمند به طور خاص، اعتقاد بر این است که جزئیات مربوط به این سوال است). هر مشتری دارای مجوز گواهینامه خود است که صدور گواهینامه مشتری را به کاربران نهایی صادر می کند.
متاسفانه، در مورد VPN VPN امن Pulse Connect، فقط می توان کابل اعتماد کننده را برای کل دستگاه کلیدی پیکربندی کرد. این امکان وجود ندارد که آن را در سطح سرور تأیید یا در حوزه تعریف کنید.
این خوب است اگر شما نیازی به تقسیم اعتماد برای CA ندارید: در مورد مشتریانی که در خدمت شما هستند، اما واقعا از چندین مستاجره پشتیبانی نمی کند.
تهدید خاصی که من در تلاش برای محافظت در برابر آن هستم این است که اگر یک مشتری CA به خطر افتاده باشد، ممکن است مجوز VPN صادر کند با موضوعات مربوط به یک مشتری متفاوت. بنابراین تنها CA خود مشتری ممکن است اعتبار داشته باشد که گواهینامه های مشتری را برای سازمان خود امضا کند، نه برای گواهینامه های مجوز دسترسی به سازمان های دیگر.
بعد از برقراری ارتباط با بخش پشتیبانی Pulse Secure، آنها مرا به محل کار، که در آن من می توانم پیکربندی کنم حقیقت چندین تایید (هر یک از آنها به یک خط مشی ورود به سیستم و یک URL ورودی خاص متصل شده است که خوب است؛ زیرا این روش امروز ما مستاجرین را جداسازی می کنیم)
تأیید بدون اهمیت خواهد بود که گواهی مشتری ارایه شده. هنگامی که به صحنه نقشه گذاری نقش (مجوز) رسید، یک قاعده در بالای صفحه قرار می گیرد، که اساسا رشته ای را در زمینه «صادر کننده» CA می کند.
این قاعده چیزی است که در کنار خطوط این تصویر (این مورد آزمایش نشده است دقیقا همانطور که نوشته شده است، نام ویژگی صادر کننده ممکن است اشتباه باشد):
The قاعده در بالای صفحه قرار می گیرد و اولین قاعده ی هماهنگی خواهد بود. این نام رشته را در گواهینامه رشته ای مطابقت می دهد و اگر با نام صادر کننده مورد انتظار مطابقت نداشته باشد، هیچ نقش تعیین نمی کند و با چک کردن قوانین پردازش توقف زمانی که این قانون با جعبه مطابقت دارد، نقش مرحله نقشه برداری بدون هیچ نقش تعیین شده پایان می یابد و بنابراین تلاش ورود به دلیل عدم نقش تعیین شده از بین خواهد رفت.
استدلال / فرض من:
این است که اعتبار CA: Pulse Connect دستگاه امن برای داشتن نام های تکراری فقط اگر این CA: متعلق به یک سازمان باشد. این بدان معنی است که نام صادر کننده را می توان اعتماد کرد که به یک دامنه اعتماد خاص منحصر به فرد باشد.
همچنین داده شده است که اختصاص دادن صفر به یک کاربر که تصدیق گذارده است، تضمین می کند که آنها هیچ دسترسی به هر سیستم محافظت نمی کنند. 19659003] هر گونه تلاش ورود به سیستم که تا آنجا ادامه دارد که نقشه برداری نقش داشته باشد اعتبار گواهی را گذرانده و بنابراین معتبر است، که به این معنی است که فیلد صادر کننده می تواند اعتبار داده شود تا حاوی اطلاعات معتبر باشد. فرض میکنم که یک گواهی صادر شده توسط یک گواهینامه مجاز معتبر، اما در صورتی که نام صادر کننده چیزی غیر از انتظار باشد، تأیید اعتبار گواهی به begiin با شکست مواجه خواهد شد قبل از آنکه حتی به مرحله نقشه برداری نقش برسد.
بنابراین رشته سازگاری در زمینه صادر کننده در این شرایط باید یک راه امن برای اجرای آن باشد که تنها گواهینامه های صادر شده توسط یک CA مشخص شده دسترسی به آنها داده می شود.
خطرات شناخته شده:
در هنگام ورود، لیستی از CA معتبر به مشتری ارسال می شود اهداف فیلتر کردن نمایه خود از گواهینامه ورود معتبر در فرآیند شناخته شده به عنوان گواهی مذاکره. این می تواند به طور بالقوه یک لیست از مشتریان با استفاده از این دستگاه خاص را نشت کند و همچنین موجب یک مسئله کاربردهی برای کاربران که بخشی از سازمان های متعدد هستند. در مواجهه با عدم راه حل متناوب برای حل این، من متوجه می شوم که این خطر مدیریت است.
محدودیت محدوده:
من می خواهم به دامنه این سوال فقط به امنیت احراز هویت و مجوز، و نه از سوالات گسترده ای از طراحی شبکه در پشت دستگاه VPN
سوال من:
بنابراین، پس از توضیح تمام این پس زمینه، من فکر می کنم سوال من در موضوع خط بیشتر معنایی:
هنگامی که یک گواهی اعتبار داده شده است، آیا می توان آن را در رشته مطابقت در زمینه صادر کننده؟
(و یا آن را در حال رفتن به من در الاغ به نحوی که من در نظر گرفته نشده است.)
