Fórum Root.cz
Hlavní témata => Server => Téma založeno: goudy 27. 06. 2018, 10:17:21
-
Ahoj,
zkousel nekdo z Vas se zbavit hlaseni o neplatnosti certifika
tu na internich vecech - routerech, nasech atd? Tj. nejaky lets encrypt pro toto pouziti?
-
Používám pro to certifikáty Let's Encrypt, ověřování dělám přes DNS. Tj. do internetu je vystavený jen DNS server pro veřejnou doménu. Samotná zařízení vůbec z internetu dostupná být nemusí. Mám to tak pro NAS a router.
-
Ano, interní certifikační autorita, její kořenový certifikát přes AD rozdistribuován na stanice a certifikáty vystaveny a nainstalovány na potřebná zařízení.
-
Ano, interní certifikační autorita, její kořenový certifikát přes AD rozdistribuován na stanice a certifikáty vystaveny a nainstalovány na potřebná zařízení.
Tohle na routery apod. nefunguje, bohuzel.
-
Ano, interní certifikační autorita, její kořenový certifikát přes AD rozdistribuován na stanice a certifikáty vystaveny a nainstalovány na potřebná zařízení.
Tohle na routery apod. nefunguje, bohuzel.
Pokud umí importovat certifikát tak funguje, proč by nefungovalo ? Vyzkoušeno na Mikrotik, Cisco, Zyxel,.... Certifikáty na interní doménu (.local), DNS záznamy a na ně vystavené certifikáty. Funguje to.
-
Pokud umí importovat certifikát tak funguje, proč by nefungovalo ? Vyzkoušeno na Mikrotik, Cisco, Zyxel,.... Certifikáty na interní doménu (.local), DNS záznamy a na ně vystavené certifikáty. Funguje to.
Funguje to jedině v případě, že ten router má certifikát poskytovat. Pokud by mu měl i důvěřovat (třeba nějaký víceúčelový router), je to něco jiného.
Obecně distribuce vlastní CA přes AD funguje dobře na stanice s Windows, ale jinde už vám to nepomůže – Linuxové/unixové servery, mobilní telefony, IoT, tam vám AD nijak nepomůže. Chápu, že kde se interní CA nebo jen interní doména používá, je nejjednodušší v tom pokračovat, ale rozhodně bych to nikde nově nezaváděl. Přiděláte si tím akorát problémy, a bude jich čím dál víc. S důvěryhodnými certifikáty, s DNSSEC… Když začínáte s něčím novým, určitě bych použil veřejnou doménu, některé záznamy z ní se klidně mohou překládat jen ve vnitřní síti. Můžete bez problémů používat všeobecně používané certifikační autority, DNSSEC, klidně i HSTS preload.
-
Pokud umí importovat certifikát tak funguje, proč by nefungovalo ? Vyzkoušeno na Mikrotik, Cisco, Zyxel,.... Certifikáty na interní doménu (.local), DNS záznamy a na ně vystavené certifikáty. Funguje to.
Funguje to jedině v případě, že ten router má certifikát poskytovat. Pokud by mu měl i důvěřovat (třeba nějaký víceúčelový router), je to něco jiného.
Proč? V dnešní době IaC? Když je někdo odkázán na privátní TLD, není běžné mít PKI zcela (nebo částečně) založenou na interní kořenové (nebo mezilehlé) CA implementované třeba v Ansible roli? Automaticky generující a podepisující CSRs, automaticky distribuující certifikát této autority? Třeba i včetně generovaného CRL?
-
Omlouvám se, přehlídl jsem že to byla reakce na distribuci přes AD. IMHO, přesto IaC je více univerzální alternativou nebo doplněním.
-
Proč? V dnešní době IaC? Když je někdo odkázán na privátní TLD, není běžné mít PKI zcela (nebo částečně) založenou na interní kořenové (nebo mezilehlé) CA implementované třeba v Ansible roli? Automaticky generující a podepisující CSRs, automaticky distribuující certifikát této autority? Třeba i včetně generovaného CRL?
Protože dostat do některých zařízení vlastní kořenový certifikát není úplně snadné a už vůbec to nejde přes AD. Vy k tomu přidáváte Ansible, jenže ne všechno jde rozumně automatizovat a ne vždy se to vyplatí. Když mám jediné zařízení takového typu, které má jenom webové klikací rozhraní, nebo jenom nějaký telnet, nebudu řešit automatizované nahrávání certifikátu certifikační autority, abych to pak slavnostně spustil ideálně jednou za životnost toho zařízení. A těch zařízení, která se do sítě připojují ad-hoc, může být velké množství – obrazy virtuálních počítačů, Docker obrazy, mobilní telefony, notebooky… Navíc já teda jako uživatel rozhodně nejsem nadšený, když mi někdo vnucuje, že musím mít v systému jeho certifikační autoritu. „Je to bezpečný, my to používáme jenom ve firmě a podepisujeme tím jenom naše interní domény…“ No jo, ale kdo jim zabrání podepsat tím třeba google.com, třeba omylem?
To mělo smysl, když DV certifikáty byly drahé. Chápu, že to dál provozují tam, kde už to mají zavedené. Ale zavádět to někde dnes? Proč? Velké náklady na zavedení a pak náklady na provoz… To ty automatizační nástroje radši použiju na zajištění obnovy certifikátů od Let's Encrypt.
-
Osobně používám vlastní CA. Jedu doménu
corp.devaine.cz
dceřinky pak :
dcera.corp.devaine.cz
Distribuce CA cert napříč vším není problém.
Zařízení, které by nepodporovalo import vlastního cert nemáme a kdyby ho někdo měl, tak stejně nechápu, co tomu pomůže třeba použití letsencrypt apod.
Máme pár věcí, kde zařízení umí vystavit jen žádost, ale tu podepíšu naší CA a jede se dál. Nevidím v tom problém.
Naopak bych asi nechtěl interní servery, managementy apod. zdůvěryhodňovávat přes letsencrypt apod.
Interní síť mám pod kontrolou, důvěryhodnost je vysoká, není tedy ani problém vystavovat cert s životností 5 a více let.
Zdar Max
-
Zařízení, které by nepodporovalo import vlastního cert nemáme
Nejde o import vlastního certifikátu, ale o přidání vlastní certifikační autority.
Naopak bych asi nechtěl interní servery, managementy apod. zdůvěryhodňovávat přes letsencrypt apod.
Proč ne?
Interní síť mám pod kontrolou, důvěryhodnost je vysoká, není tedy ani problém vystavovat cert s životností 5 a více let.
Vy té síti asi věříte. Otázka je, zda té vaší autoritě budou stejně věřit všichni uživatelé.
-
Zařízení, které by nepodporovalo import vlastního cert nemáme
Nejde o import vlastního certifikátu, ale o přidání vlastní certifikační autority.
I tak asi nemáme a už si dávám pořádný pozor, co se nakupuje, resp. žádný srajdy už nechci ani vidět.
Navíc pokud nějaké takové zařízení někdo má, tak stejný problém bude mít i s veřejnou CA, která mnohdy nebývá součástí podobných bazmeků.
Naopak bych asi nechtěl interní servery, managementy apod. zdůvěryhodňovávat přes letsencrypt apod.
Proč ne?
Moc práce, je jednodušší jednou za 7 let vygenerovat cert a pak už to neřešit. Ono stejně, 5 - 7 let je životnost služby/systému/zařízení. Takže reálně je to tak, že při instalaci vygeneruji cert a do konce životnosti na to nemusím sáhnout.
Jednou za pár let pak vždy nasadím novou CA s lepšími klíči odpovídající normám v době nasazení, rozdistribuuji uživatelům a pak na tuto CA přecházím formou nasazování nových služeb apod. No problemo.
Interní síť mám pod kontrolou, důvěryhodnost je vysoká, není tedy ani problém vystavovat cert s životností 5 a více let.
Vy té síti asi věříte. Otázka je, zda té vaší autoritě budou stejně věřit všichni uživatelé.
Proč by nevěřili, když to všem distribuuji? Připomínám, že se tu bavíme o interní komunikaci v rámci firmy, ne k zákazníkům. Směrem k zákazníkům jedu veřejné CA.
Zdar Max
-
Navíc pokud nějaké takové zařízení někdo má, tak stejný problém bude mít i s veřejnou CA, která mnohdy nebývá součástí podobných bazmeků.
Řekl bych, že by byla dost smůla natrefit na zařízení, které má nějaký seznam důvěryhodných autorit a nemá mezi nimi Digital Signature Trust Co.
Proč by nevěřili, když to všem distribuuji?
To, že někomu vnutíte, že tomu certifikátu musí důvěřovat, ještě neznamená, že mu sám opravdu chce důvěřovat.
Připomínám, že se tu bavíme o interní komunikaci v rámci firmy, ne k zákazníkům.
Pokud je to nějaká uzavřená síť, ideálně odpojená od internetu, pak to tak může fungovat. Já mám na mysli sítě, které mají i části, kam se mohou připojovat soukromá zařízení (mobily, tablety, notebooky) třeba zaměstnanců nebo návštěv, připojují se tam zaměstnanci ze svých soukromých zařízení přes VPN atd. A zároveň jsou tam interní služby, které jsou v těchto sítích dostupné (wiki, e-mail, adresář).
A nebo prostě moje domácí síť. Kvůli certifikátům pro router, NAS a webkameru nebudu provozovat vlastní CA a řešit distribucí certifikátů na mobily návštěv.
-
Proč by nevěřili, když to všem distribuuji?
To, že někomu vnutíte, že tomu certifikátu musí důvěřovat, ještě neznamená, že mu sám opravdu chce důvěřovat.
To je hodně divný komentář. To samé můžete tvrdit o CA, které jsou distribuovány v rámci OS, prohlížečů atd. Není v tom rozdíl. Navíc sám běžný uživatel ani o tom, že nějaký CA je, neví, natož zda tomu má důvěřovat nebo ne.
Připomínám, že se tu bavíme o interní komunikaci v rámci firmy, ne k zákazníkům.
Pokud je to nějaká uzavřená síť, ideálně odpojená od internetu, pak to tak může fungovat. Já mám na mysli sítě, které mají i části, kam se mohou připojovat soukromá zařízení (mobily, tablety, notebooky) třeba zaměstnanců nebo návštěv, připojují se tam zaměstnanci ze svých soukromých zařízení přes VPN atd. A zároveň jsou tam interní služby, které jsou v těchto sítích dostupné (wiki, e-mail, adresář).
A nebo prostě moje domácí síť. Kvůli certifikátům pro router, NAS a webkameru nebudu provozovat vlastní CA a řešit distribucí certifikátů na mobily návštěv.
[/quote]
Proč by měla být odpojená od netu? Prostě existuje interní komunikace a komunikace z venku. Pokud jde o BYOD, tak opět není problém distribuovat cert směrem k uživateli takového zařízení.
Pokud máte nějakou home síť a aplikujete zkušenosti z provozu z ní na korporátní síť, tak chápu, že můžete mít značně zkreslené představy.
Zdar Max
-
To samé můžete tvrdit o CA, které jsou distribuovány v rámci OS, prohlížečů atd. Není v tom rozdíl.
Je v tom rozdíl, protože ty CA distribuované v rámci OS nebo prohlížečů můžu jako vlastník daného počítače spravovat, tj. můžu je označit za nedůvěryhodné. Pokud mi správce vnutí CA přes AD, obvykle znemožní i správu těch certifikátů.
Navíc sám běžný uživatel ani o tom, že nějaký CA je, neví, natož zda tomu má důvěřovat nebo ne.
Ale někteří uživatelé to vědí. Navíc pak provozovatel té CA spoléhá na uživatelovu neznalost a na to, že mu CA stejně vnutí – takž emotivace tu CA nějak zabezpečit a nezneužívat jí je hodně nízká. Jediné, co takovému provozovateli interní CA brání vydat certifikát pro *.google.com je to, že se mu do toho nechce.
Proč by měla být odpojená od netu? Prostě existuje interní komunikace a komunikace z venku.
Aby bylo zajištěno, že ta interní CA nebude zneužita k vydání certifikátů pro něco venku.
Pokud jde o BYOD, tak opět není problém distribuovat cert směrem k uživateli takového zařízení.
A to je přesně to, co v žádném případě nechci – instalovat si do svého mobilu nebo na svůj počítač jako důvěryhodnou nějakou certifikační autoritu, o jejímž fungování ví akorát správce dané sítě a jeho zástupce.
Pokud máte nějakou home síť a aplikujete zkušenosti z provozu z ní na korporátní síť, tak chápu, že můžete mít značně zkreslené představy.
Že se jedná o korporátní síť je jen vaše fabulace. A vaše představa o korporátní síti, ve které je správce neomezeným vládcem, může vše a uživatelé včetně ředitele korporace mohou akorát srazit podpatky a poslouchat, sice odpovídá některým korporátním sítím, ale ne všem.
-
...
Nesouhlasím s vaší argumentací. Fabulujete čistě na teoretické úrovni, která ani nedává smysl.
Pokud mi tvrdíte, že je bezpečnostní riziko pro uživatele to, když admin sítě, který spravuje všechny PC, má k nim admin přístup atd. (a nejen k nim, má přístup síti a všemu okolo), vystaví vlastní CA a tu distribuuje, tak jste fakt mimo. Nevím, zda si ze mně děláte srandu, nebo to opravdu myslíte vážně. Osobně doufám v to první.
Zdar Max
-
Prostě Jirsák... ;D
-
Nesouhlasím s vaší argumentací. Fabulujete čistě na teoretické úrovni, která ani nedává smysl.
Pokud mi tvrdíte, že je bezpečnostní riziko pro uživatele to, když admin sítě, který spravuje všechny PC, má k nim admin přístup atd. (a nejen k nim, má přístup síti a všemu okolo), vystaví vlastní CA a tu distribuuje, tak jste fakt mimo. Nevím, zda si ze mně děláte srandu, nebo to opravdu myslíte vážně. Osobně doufám v to první.
Zdar Max
Fabulujete vy. V dotazu nebylo řečeno, že se jedná o síť, kde má admin plnou kontrolu nad všemi PC. Vaše představy o počítačových sítích jsou dost omezené, když si dokážete představit jen takovouhle síť. A to jsem výslovně psal o soukromých mobilních telefonech, takže vás to mohlo napadnout, že existují i sítě, kam se připojují i zařízení uživatelů, nad kterými správce sítě samozřejmě žádnou kontrolu nemá.
-
Nesouhlasím s vaší argumentací. Fabulujete čistě na teoretické úrovni, která ani nedává smysl.
Pokud mi tvrdíte, že je bezpečnostní riziko pro uživatele to, když admin sítě, který spravuje všechny PC, má k nim admin přístup atd. (a nejen k nim, má přístup síti a všemu okolo), vystaví vlastní CA a tu distribuuje, tak jste fakt mimo. Nevím, zda si ze mně děláte srandu, nebo to opravdu myslíte vážně. Osobně doufám v to první.
Zdar Max
Fabulujete vy. V dotazu nebylo řečeno, že se jedná o síť, kde má admin plnou kontrolu nad všemi PC. Vaše představy o počítačových sítích jsou dost omezené, když si dokážete představit jen takovouhle síť. A to jsem výslovně psal o soukromých mobilních telefonech, takže vás to mohlo napadnout, že existují i sítě, kam se připojují i zařízení uživatelů, nad kterými správce sítě samozřejmě žádnou kontrolu nemá.
Zaprvé, autor dotazu jasně napsal, že se jedná o interní síť a z dotazu je myslím patrné, jak to myslel (resp. to vypadá, že o možnosti vlastní CA a distribuci CA ani nevěděl). Samozřejmě slovíčkařit můžeme vždycky, k čemuž se zjevně uchylujete (když dojdou argumenty). Nejvtipnější je, že uvedl jako příklad switche a naska, kde switche nemají s uživatelem nic společného a NASka většinou také ne (většinou slouží jen jako SMB storage, málokdo dává přístup uživatelům přes web). Tož to k tomu vašemu slovíčkaření.
Nicméně i toto je irelevantní, protože já napsal, jak to mám já ve firemní síti, kterou spravuji. Vy jste reagoval na to, jak to mám já nastaveno a jak to provozuji.
Pokud narážíte na víceúrovňový level support, tak vlastní CA většinou řeší ty poslední levely, který právě přístup mají skoro ke všemu.
No nic, to je jedno, vy upřednostňujete volnost, aby si každý ve vaší síti dělal, co chtěl. Ok, vaše věc.
Já upřednostňuji plnou kontrolu nad vším, co ve firmě běží a co se do ní v rámci interní sítě připojuje (navíc bez AD s GPO by onomu uživateli stejně nic nefungovalo, resp. s PC v AD se uživatel přihlásí pod sebou a vše mu jede, vše má namapované, povytvářené zástupce, funguje SSO atd.). BYOD povoluji, ale jen v rámci VPN a splněných policy (=musí si uživatel nainstalovat náš konfigurační balíček, který mu přednastaví VPN, nahraje CA a další věci.).
Zdar Max
-
Zaprvé, autor dotazu jasně napsal, že se jedná o interní síť
Interní síť ovšem automaticky neznamená síť, kde má správce sítě plně pod kontrolou veškerá zařízení v síti.
z dotazu je myslím patrné, jak to myslel
Ano, je to patrné. Explicitně psal o Let's Encrypt, tedy o všeobecně uznávané certifikační autoritě.
resp. to vypadá, že o možnosti vlastní CA a distribuci CA ani nevěděl
To je jen vaše fabulace.
NASka většinou také ne (většinou slouží jen jako SMB storage, málokdo dává přístup uživatelům přes web)
Aha, a proto má třeba Synology spoustu webových aplikací běžících na jejich NAS (třeba prohlížeč fotek) a má k otmu dokonce mobilní aplikace.
protože já napsal, jak to mám já ve firemní síti, kterou spravuji.
Bohužel zapomínáte na to, že vaše síť není jediná, a existují sítě, kde to funguje jinak.
Vy jste reagoval na to, jak to mám já nastaveno a jak to provozuji.
Ohledně vaší sítě jsem reagoval na jediné tvrzení, a to že vy osobně své certifikační autoritě věříte. Pouze jsem k tomu podotkl, že uživatelé ve vaší síti mohou důvěryhodnost vaší autority vnímat jinak.
Pokud narážíte na víceúrovňový level support, tak vlastní CA většinou řeší ty poslední levely, který právě přístup mají skoro ke všemu.
Ne, narážím na to, že uznávané certifikační autority musejí projít auditem a jsou pod neustálou veřejnou kontrolou, zatímco interní CA taky může vypadat tak, že někdo slavně zvítězil nad OpenSSL a s vydatnou pomocí Google splácal nějaké shell skripty. Nemusí to být váš případ, ale já nemám jak to poznat, když mi budete certifikát své CA vnucovat do systému.
No nic, to je jedno, vy upřednostňujete volnost, aby si každý ve vaší síti dělal, co chtěl.
Ano. Ať si každý dělá, co uzná za vhodné, pokud tím neomezuje ostatní.
Já upřednostňuji plnou kontrolu nad vším, co ve firmě běží a co se do ní v rámci interní sítě připojuje (navíc bez AD s GPO by onomu uživateli stejně nic nefungovalo, resp. s PC v AD se uživatel přihlásí pod sebou a vše mu jede, vše má namapované, povytvářené zástupce, funguje SSO atd.). BYOD povoluji, ale jen v rámci VPN a splněných policy (=musí si uživatel nainstalovat náš konfigurační balíček, který mu přednastaví VPN, nahraje CA a další věci.).
Ok, vaše věc.
Všimněte si ale, že tazatel chce důvěryhodné certifikáty pro dvě zařízení. Moje doporučení je nechat si je vystavit od Let's Encrypt. Vy nabízíte možnost uzavřené interní sítě, ve které je provozována vlastní certifikační autorita a AD s GPO která tlačí na Windows stanice certifikáty té certifikační autority. Do mobilu si pak uživatel taky musí nahrát kořenový certifikát. A tohle celé by měl někdo dělat kvůli dvěma serverovým certifikátům…
Navíc si živě představuju, jak ta vaše certifikační autorita splňuje všechny požadavky současných prohlížečů na důvěryhodné autority – vydává certifikáty se jmény v extenzích a ne v CN, podepisuje SHA-2, publikuje do Certificate transparency…
-
...
!!! (https://www.youtube.com/watch?v=j4UpBVN-qE8&feature=youtu.be&t=10s) ::)
-
...
Myslím, že ohledně Synology jsem si vyjádřil jasně, slovo "většinou slouží" neznamená "vždy a všichni".
Já vím, že neexistuje jen síť typu toho, co spravuji. Existují i pěkně zasviněný sítě, kde vládne bordel a chaos a každý si tam dělá, co chce. Opravdu ideální políčko pro šíření různých havětí mezi desktopy, což lze částečně řešit analýzou celé sítě pomocí nástrojů jako např. Snort. Plánuji též nasadit, ale aktuálně je priorita velmi nízká, jelikož externí audity ukázaly, že síť máme skutečně plně pod kontrolou a nic se u nás nevyskytuje. Větší prioritu má nasazení 802.11x.
Stav veřejných autorit myslím známe všichni a snad všichni rozumní lidé už ví, že je to jeden průser za druhým a ty vaše ověřené autority si vydávají co chtějí. Proto vznikl certificate transparency.
Spíš teď od sha2 budu utíkat ke křivkám, kde už bych byl dávno, kdyby byla podpora rozšířenější.
Jediné, s čím s vámi souhlasím, je možný problém s certificate transparency, který teď zatím neřeším.
Zdar Max
-
Existují i pěkně zasviněný sítě, kde vládne bordel a chaos a každý si tam dělá, co chce. Opravdu ideální políčko pro šíření různých havětí mezi desktopy
Vnucování vlastní certifikační autority určitě zabrání šíření havěti mezi desktopy…
Stav veřejných autorit myslím známe všichni a snad všichni rozumní lidé už ví, že je to jeden průser za druhým a ty vaše ověřené autority si vydávají co chtějí. Proto vznikl certificate transparency.
Ano, právě že stav veřejných autorit všichni známe. Je nad nimi taková kontrola, a přesto je to jeden průser za druhým, jak píšete. Jak asi vypadají interní autority, nad kterými žádná kontrola není.
-
Existují i pěkně zasviněný sítě, kde vládne bordel a chaos a každý si tam dělá, co chce. Opravdu ideální políčko pro šíření různých havětí mezi desktopy
Vnucování vlastní certifikační autority určitě zabrání šíření havěti mezi desktopy…
Já jen reagoval na tu vaší připomínku ohledně toho, že neexistuje jen síť jako spravuji já (volné vs. striktní a plně pod kontrolou).
Stav veřejných autorit myslím známe všichni a snad všichni rozumní lidé už ví, že je to jeden průser za druhým a ty vaše ověřené autority si vydávají co chtějí. Proto vznikl certificate transparency.
Ano, právě že stav veřejných autorit všichni známe. Je nad nimi taková kontrola, a přesto je to jeden průser za druhým, jak píšete. Jak asi vypadají interní autority, nad kterými žádná kontrola není.
Vypadají tak, jak k nim admin přistupuje a jak moc je má zabezpečeny. Stejně jako u veřejných ca.
Rozdíl je jen v tom, že interní CA není nijak přístupná z venčí, nejsou třeba API a pro revokaci stačí jen hloupý statický web. A celá je navíc v uzavřené zabezpečené síti.
Zdar Max