日本語フォーラム

last person joined: 6 days ago 

Arubaのソリューション、ネットワークマーケットに関する日本語ディスカッションフォーラム

HSTSとキャプティブポータル

This thread has been viewed 14 times
  • 1.  HSTSとキャプティブポータル

    Posted Aug 30, 2021 07:32 PM
    Clearpass  Guest は HTTPS によって、ウェブログイン画面を表示します。セキュリティを確保するために、
    商用の電子証明書が必要です。しかし、商用の電子証明書を投入しても、証明書エラーが表示される場合もあります。
    その原因は HSTS によるセキュリティの仕組みがあります。
    HSTSと証明書エラーの見極め
    HSTSによる通信遮断は例外処理が認めれません。ブラウザー上、以下のように HSTS による通信遮断が表示されます。以下、Safari で大手SNSサイトをアクセスする際に表示されたエラー
    Safari での大手 SNS をアクセスする際に、表示されるエラー


    その一方、証明書の信頼関係によるエラーは例外処理が対応可能で、強制的にウェブログイン画面をアクセスできます。以下はHSTSによってリダイレクトが発生しましたが、サポートしていないTLSによって通信しているため、接続が強制終了されます。

    同じ設定で HSTS をサポートしていないサイトをアクセスする際に、キャプティブポータルが表示される。



    HSTS について
    HSTS は HTTP_Strict_Transport_Securityの略で、中間者攻撃を回避するセキュリティの仕組みです。
    HSTS は HTTP リクエストに対して、以下の動作を強制します。
    (1) ポート 80 向けの HTTP リクエストは強制的にポート 443 の HTTPS にリダイレクト
    (2) 証明書の信頼関係が成立しない場合は、通信が強制終了
    HSTSの動作
    HSTSはHTTP_Strict_Transport_Securityというヘッダーによってサーバーからクライアントに伝達します。その際に、
    max-ageという属性が送信されます。max-age は有効期限を表しており、0 から 31536000 秒に設定できます。
    31536000 秒は1年という期間に相当します。
     
    最初の通信、および有効期限後の通信は保護されていないため、攻撃対象になれる。対策として一部のブラウザーでは
    既知サイトのリストが出荷時に搭載されます。
     
    ゲストネットワークの仕組み
    ゲストネットワークのウェブログイン画面はキャプティブポータルの仕組み、RADIUS 属性によるリダイレクトなど
    により表示されます。この仕組みは HSTS 仕組みを考えると中間攻撃者に相当し、通信は強制終了されます。
     
    HSTS エラー回避するには
    以下の設定で HSTS エラーが回避できます。
    1. Apple、Android、Windows の疑似ブラウザーを活用し、キャプティブアシスタントを無効にしません。以下、MAC OS の疑似ブラウザーでキャプテイフポータルが表示されます。疑似ブラウザーではキャプティブポータルの検知、および HSTS の迂回仕組みが実装されます。
    2. Twitter、Facebook など大手の IT 企業では各種のブラウザーの既知サイトのリストに含まれます。Google は ローカルサイトのリダイレクトを実施して、完全に HSTS の仕組みが実施されていないようだけれど、避けた方が無難かと思います。
    3. ホーム画面やお客さんがアクセスするサイトは HTTP サイトに設定します。
    参考:
    各ブラウザーのHSTSサポート
    https://caniuse.com/?search=hsts

    既知サイトのリストは Chromium project によって管理されます。以下のサイトでクラウドソーシングが実施されます。
    https://hstspreload.org/

    同課題のディスカッション
    https://community.arubanetworks.com/community-home/digestviewer/viewthread?MessageKey=e85fcd5d-3cf3-4af3-9bf9-cd5e12398301&CommunityKey=2aebb618-b76c-4ff1-a097-4f434ee9ee7d&tab=digestviewer#bme85fcd5d-3cf3-4af3-9bf9-cd5e12398301

    version β0.92


    ------------------------------
    Orghi Dean
    ------------------------------