Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Darkhunter 03. 01. 2017, 12:11:44
-
Ahoj,
chtěl bych se zeptat, jak to vidíte se zabezpečením ve vnitřní síti, pokud router funguje zároveň jako webserver.
Momentálně jedeme na SSL/TLS, ale dost nám certifikáty ztěžujou podmínky, tak přemýšlím, že bych SSL úplně vysadil a místo toho se spoléhal na šifrování WPA2.
Co vím, tak wifi nemělo nikdy dobré zabezpečení a dalo se odpsolouchávat, ale WPA2 je prý už dost v pohodě.
Tak bych rád znal váš názor.
-
No nic...Tak nakonec je to encryption jen připojení. Já myslel, že to je encryption spojení.
Proč sakra neexistuje wifi, která dělá encryption spojení????
-
Tak něco jako wifi s vpn neexistuje?
-
Preco neexistuje kabel, ktory robi encryption spojenia?
-
@Darkhunter: By mne zajimalo, kdo by byl potencialni utocnik, ze ti wpa/AES nestaci. Jestli mas na siti lidi, kterym nemuzes duverovat, nedavej jim wpa klic.
-
Tak ona ta síť bude zároveň hotspot, tak radši řeším bezpečnost především. Samozřejmě by se tam dal dát další wifi dongle, ale to se mi zdá, že je to zbytečně složity pak.
-
Tak moc jste to nevysvetlil, ale kdyz nekomu jde o bezpecnost, tak oddeleni siti je ta prvni vec, co udela.
-
Než vymýšlet, jak oslabit bezpečnost (místo TLS používat nešifrované spojení), radši bych se zabýval tím, jak tu bezpečnost zajistit i bez toho „ztěžování podmínek“. Už jenom proto, že i prohlížeče se budou nešifrovaném u spojení čím dál víc bránit – už dnes některé služby nejde použít na nešifrovaném spojení, zrovna před pár dny tu proběhly zprávičky, že Firefox i Chrome budou varovat uživatele při přihlašování přes nezabezpečené spojení. A bude líp, tj. ten odpor prohlížečů k nešifrovanému spojení se bude zvětšovat. Takže přechodem od HTTPS k HTTP si také jen budete ztěžovat podmínky.
V čem přesně jsou pro vás certifikáty ztěžování podmínek? Let's Encrypt certifikáty můžete získávat automatizovaně a zdarma, jediný problém by mohl nastat při použití lokální domény, ale to je podle mne obezlička, která se používá jen kvůli neveřejným IPv4 adresám a doufám, že zanikne spolu s IPv4. Takže bych použil veřejné DNS názvy, LE certifikáty a jejich automatickou obnovu – podle mne je to nejperspektivnější řešení, se kterým si podmínky budete ztěžovat minimálně.
-
No já nevím, jak tu doménu ověřit, když bude jen interně? Ten server nemá veřejnou Ip a slouží jen pro to, aby se do něj přihlašovali lidé ze sítě, kterou vytvoří.
Tudíž bych musel přidat veřejná DNS na nějaký můj server a každé tři měsíce obnovovat s tím, že se to rozkopíruje na všechny tyto servery bez vnější sítě.
To se mi zdá dost blbé, protože co když zrovna ten server nebude mít týden internet? Pak certifikát propadne a nebude se nikdo moci připojit.
-
Mozna by neskodilo, kdybyste vysvetlil, ceho se vlastne snazite dosahnout. Nestydte se pripojit obrazek, staci fixou na kus papiru a oskanovat.
-
To ani nemusím kreslit.
O nic nejde. Prostě router a k němu jsou připojení uživatelé. Někteří uživatelé jsou připojení jen z důvodu, aby používali wifi a jiní z důvodu, že se z appky z mobilu připojí na backend na routeru(raspberry).
Já prostě nechci, aby si uživatelé mohli navzájem sniffovat jejich traffic.
Router nemá doménu. Router má jen IP.
-
Ano, ověřovat názvy přes DNS a certifikáty s privátním klíčem pak distribuovat na příslušný server. LE doporučuje obměnu každý měsíc, abyste měl rezervu i pro případ, že se něco nepovede. LE samozřejmě tlačí k automatizaci obnovování certifikátů, pak vám bude jedno, jestli se certifikáty obměňují jednou za rok nebo jednou za měsíc.
co když zrovna ten server nebude mít týden internet?
Nerozumím tomu, co znamená „server nebude mít týden internet“. Server nepotřebuje mít vůbec přístup do internetu, do internetu bude vystaven jen DNS server, přes který se budou certifikáty ověřovat, a musí do něj mít přístup aplikace, která bude tu obnovu certifikátů zajišťovat (ta zároveň musí být schopná na DNS serveru vystavit příslušné záznamy pro ověření doménového jména). Vaše servery si pak budou obnovené certifikáty (případně privátní klíče) stahovat z té aplikace, která bude obnovu vyřizovat – to klidně může probíhat čistě ve vnitřní síti.
-
To ani nemusím kreslit.
O nic nejde. Prostě router a k němu jsou připojení uživatelé. Někteří uživatelé jsou připojení jen z důvodu, aby používali wifi a jiní z důvodu, že se z appky z mobilu připojí na backend na routeru(raspberry).
Já prostě nechci, aby si uživatelé mohli navzájem sniffovat jejich traffic.
Router nemá doménu. Router má jen IP.
Takže vám jde jen o vystavení jednoho certifikátu pro webový server běžící na tom routeru? Tak tomu routeru přidělte (veřejné) DNS jméno (už jenom tím odstraníte spoustu zbytečných komplikací) a na to jméno si nechte vystavit od LE certifikát. Ten router má předpokládám přístup do internetu, takže tam stačí rozjet některý ze skriptů pro automatickou obnovu LE certifikátů.
-
Má, ale třeba za tři měsíce pro obnovu mít nebude.
-
To ani nemusím kreslit.
O nic nejde. Prostě router a k němu jsou připojení uživatelé. Někteří uživatelé jsou připojení jen z důvodu, aby používali wifi a jiní z důvodu, že se z appky z mobilu připojí na backend na routeru(raspberry).
Já prostě nechci, aby si uživatelé mohli navzájem sniffovat jejich traffic.
Router nemá doménu. Router má jen IP.
Pokud "pouzivanim wifi" myslite to, ze pres wifi polezou na Internet, tak to si nemuzete z elektrosrotu vytahnout stary ADSL modem a udelat z nej AP? Krome toho, jestli traffic ze serveru leze pres https, tak toho nikdo moc nenasnifuje.
-
Router je zároveň server, router ven a ap.
Já se prostě bojím výpadků, proto to nechci řešit přes LE.
To už si radši koupím certifikát na 3 roky a pak ho hromadně vyměním.
Pokud to APčko bude zároveň DNS server, tak můžu si udělat třeba doménu example.test.com a používat jí na každém tomhle APčku a bude mi stačit jeden certifikát ne?
-
Nerozumím tomu, co chcete na jednom AP dělat hromadně, co znamená „každé tohle AP“, když píšete o jednom AP. Opravdu by pomohlo, kdybyste přestal tajit, co vlastně řešíte. Pokud je těch AP víc a dokonce je možná nemáte ve vlastní správě, je dát na ně jeden společný certifikát a jeden privátní klíč to nejhorší možné řešení (a nevím, proč pak chcete řešit nějakou bezpečnost). LE vám právě umožňuje mít snadno certifikátů kolik potřebujete.
Já se prostě bojím výpadků, proto to nechci řešit přes LE.
Jakých výpadků se bojíte?
-
Pracujeme na lepším řešení pro EET s tím, že zaměstnanci se mohou připojit z mobilů a komunikovat tak s backendem.
Proto těch raspberry bude hodně a zároveň se budou krom zaměstnanců připojovat jejich zákazníci.
Potřebuji, aby to bylo 100% failsafe, proto se nechci spoléhat na LE a ani nemůžu. Ty raspberry prostě nemají doménu.
-
Pokud se na to mají připojovat zákazníci, domény potřebujete, protože zákazníci se na žádné IP adresy a ještě s nedůvěryhodnými certifikáty připojovat nebudou. Doménu klidně můžete mít svou a vaši klienti si tam budou vytvářet poddomény, např. hospoda-na-mytince.lepsi-reseni-pro-eet.cz.
-
No a co je za problem udelat vlastni CA, do kazdyho raspberry pri vyrobe/dodani prdnout unikatni certifikat vydanej tou CA s CN=<MAC adresa> a platnosti 10 let, a tu CA pak distribuovat spolu s tou aplikaci?
A jestli je to Raspberry zaroven "router" s DNS serverem, tak neni problem udelat, aby na A zaznam pro <MAC addresa>.local odpovidal svou vnitrni IP. Pripadne se da pouzit neco jako avahi.
-
AD Filip Jirsák:
Oni dostanou aplikaci s již zabudovanou adresou, kam se mají připojovat.
AD Dzavy:
Přesně takhle to mám v plánu udělat, ale hledal jsem něco jednoduššího.
-
Chtěl bych vyjádřit své obavy, jak vaše řešení dopadne (z hlediska bezpečnosti i z hlediska funkčnosti). Opravdu si nechcete zaplatit někoho, kdo tomu rozumí? Nic ve zlém, ale podle těchto dotazů to prostě hrubě nedáváte.
-
No já teda nevím. Pracuju s linuxem dost dlouho a když koukám, jak lidi okolo rozjíždí svoje projekty s tím, že na serverech mají root heslo 1234 a nikdy s linuxem nedělali, tak si říkám, že to máme zabezpečené dobře.
Navíc proč bychom to měli mít zabezpečené špatně? Však jsem chtěl akorát radu a lidi mi poradili přesně to, co jsem se chystal dělat.
A ne...Nehodlám si nikoho zaplatit. Nemám ani korunu, takže fakt ne...
-
Pokud bude klientem vždy vámi předkonfigurovaná aplikace, můžete klidně použít self-signed certifikáty, kterým nastavíte platnost třeba 100 let, a v klientovi ani platnost certifikátu nemusíte validovat. Osobně si tedy nedovedu představit use-case, kdy si zákazníci někoho spadajícího pod EET budou instalovat nějakou aplikaci, ještě pro každého poskytovatele služby jinou (jinak nakonfigurovanou), ale to je vaše věc.
Každopádně pokud chcete zabezpečit síťovou komunikaci proti odposlechu, musíte vždy ověřit protistranu. K tomu v TLS slouží certifikáty. A i kdybyste vymýšlel šifrované WiFi, stejně tam musíte mít nějaký certifikát nebo něco podobného, jak ověříte protistranu. Protože jinak se vám může stát, že budete komunikovat sice hezky šifrovaně, ale s útočníkem.
když koukám, jak lidi okolo rozjíždí svoje projekty s tím, že na serverech mají root heslo 1234 a nikdy s linuxem nedělali, tak si říkám, že to máme zabezpečené dobře.
Zabezpečit síťovou aplikaci, ke které se může připojit kdokoli a která je nainstalovaná ve vám neznámém zařízení, to je úplně jiný level, než zabezpečit samotný server.
-
No já teda nevím. Pracuju s linuxem dost dlouho a když koukám, jak lidi okolo rozjíždí svoje projekty s tím, že na serverech mají root heslo 1234 a nikdy s linuxem nedělali, tak si říkám, že to máme zabezpečené dobře.
Navíc proč bychom to měli mít zabezpečené špatně? Však jsem chtěl akorát radu a lidi mi poradili přesně to, co jsem se chystal dělat.
A ne...Nehodlám si nikoho zaplatit. Nemám ani korunu, takže fakt ne...
Zrejme kolega narazi na to, ze toto zdaleka neni prvni dotaz ohledne vaseho EET projektu, vyvolavajici prinejmensim mirne rozpaky. Preju hodne stesti, bude potreba.
-
vlastní CA.
-
vlastní CA.
Mám silný pocit, že takáto stručná rada (napriek tomu, že sa na túto situáciu najviac hodí a sám by som to riešil tiež takto), nebude v tomto prípade prípade postačujúca.
A ne...Nehodlám si nikoho zaplatit. Nemám ani korunu, takže fakt ne...
Sorry, ale z tvojich otázok vyplýva, že nevieš o týchto veciach vôbec nič. Sám to evidentne nezvládaš, zaplatiť nikoho nemieniš, a tuším si myslíš, že ti tu niekto do fóra len tak dá detailný popis všetkých potrebných náležitostí (čo by v praxi znamenalo, že niekto za teba urobí všetku robotu zadarmo a ty budeš potom už len inkasovať sám - tak good luck with it).
Chudáci tvoji zákazníci (ak teda náhodou nakoniec nejaké "riešenie" zbúchaš)...
Ale pre istotu by si si nejaké koruny mal začať šetriť už teraz - na právnika, pretože toho budeš potrebovať, keď ťa budú žalovať o náhradu škôd.