Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: darebacik 27. 11. 2023, 09:11:36
-
Cisto teoreticka otazka.
Existuje mala LAN (napr. 192.168.1.0/24)..
Bezi v nej nejaky normalny firewall/router (openwrt, pfsense ...).
Na DNS (unbound, bind ...) sa vytvori A zaznam, na nejaky vhost apache.
Napr. vhost bezi na 192.168.1.20 na ktrom bude, nejakypriklad.sk.
Zatial sme bez TLS a vsetko funguje.
Je mozne nasadit (samozrejme v ramci LAN) na lokalnu domenu TLS aby to zhltol prehliadac (samozrejme bez upravy prehliadaca)?
-
Bez upravy prohlizece (aka import root CA) lze pouze certifikaty s verejnymi CA.
-
Na DNS (unbound, bind ...) sa vytvori A zaznam, na nejaky vhost apache.
Napr. vhost bezi na 192.168.1.20 na ktrom bude, nejakypriklad.sk.
Pokud je to skutečne sk doména a vlastníte ji, tak si vystavte certifikát třeba z LE. Pokud nemá být webserver otevřený do internetu, tak přes DNS challenge.
(nebo) Pokud máte (náhodou) Windows doménu, tak si můžete vystavit certifikát z vlastní CA a certifikát na stanice distribuovat pomocí GPO.
-
Asi jsou dvě řešení.
1) pokud ta doména nejakypriklad.sk skutečně existuje a je vaše, můžete si nechat vystavit certifikát na jméno s ověřením přes DNS, záleží na tom, kde je autoritativní DNS server, s trochou štěstí (má-li API) lze i automatizovat
2) mít vlastní CA a její certifikát dát do systému jako důvěryhodný - ve Windows lze pomocí Group Policy, Firefox teď už ze sytému tyto certifikáty přejímá automaticky (dřív se mu to musel zase přes politiku nebo konfigurační soubory vnutit). Ale třeba v mobilu asi smůla.
Já jsem skončil u toho, že mám IPv6, ve veřejném DNS registrovanou IPv6 adresu toho serveru, na FW povolené porty 80 a 443 a certifikáty zajišťuje certbot. Server sám striktně vyžaduje HTTPS (redirect kromě .well-known) a z venku i přihlášení. Ve veřejném DNS nemůže ale být neveřejná IPv4 adresa (dřív to šlo), takže pokud chcete uvnitř přístup přes IPv4, musíte mít vnitřní DNS pro tuto doménu.
Pozn: exUPC, mám nativní IPv6, ale ne veřejnou IPv4.
Pozn2: pro klienty z venku, kteří nemají IPv6 funguje docela dobře WARP - https://1.1.1.1
-
Ten WARP se zdá být dost dobrý pro BFU, protože je úplně soldaten sicher und idioten fest. Nainstalujete a máte přepínač: zapnout/vypnout. Žádná konfigurace.
-
Sorry, zabudol som napisat, ze to bude pristupne len v LAN.
Pocitajte napr. s tym, ze v LAN neni pristupny internet.
A ci je mozne to spravit bez zasahu do PC v ktorom ma byt domena pristupna.
-
Pocitajte napr. s tym, ze v LAN neni pristupny internet.
Nez zacneme s (pravdepodobne) zbytecnou mentalni gymnastikou nad hypotetickym problemem, tak by se sluselo rici, zda je ta sit skutecne a nezvratne oddelena od internetu... Neco mi rika, ze ne.
Z mych znalosti:
- Nechate si vystavit certifikat od uznavanych verejnych CA, jejichz certifikat (nebo nadrizeny) maji klienti ve svem certificate store. Jak ho na server dopravite je vcelku jedno - klidne si ho nechte vystavit od napr. RapidSSL na dva roky a preneste ho server pres USB disk.
- Vystavite si certifikat z privatni CA a pak musite nejakym zpusobem klientum updatovat certificate store tak, aby CA duverovali. Jak to konkretne udelate, je znovu jen na vas.
Nevim, jak byste to chtel jinak udelat a zaroven zachovat smysl pouziti certifikatu...
Stale jste se neobtezoval upresnit, jestli se jedna o verejnou domenu (prakticteji spise jeji subdomenu), kterou vlastnite nebo jde o nejake zverstvo typu ".local".
-
Ten priklad nedava zmysel. Ak v LAN neni pristupny internet, ako sa da dostat potom na tu domenu nejakypriklad.sk ?
Ak sa na nu da dostat, a ta domena nebezi lokalne v tej sieti, tak v LAN je pristup k internetu.
Ak ta domena bezi v LAN sieti, a ta siet je fakt uplne ostrovna, naco certifikaty?
-
Ten priklad nedava zmysel. Ak v LAN neni pristupny internet, ako sa da dostat potom na tu domenu nejakypriklad.sk ?
Třeba má lokální DNS.
Ak ta domena bezi v LAN sieti, a ta siet je fakt uplne ostrovna, naco certifikaty?
Vidím celou řadu možných důvodů, např.:
a. Nechceme věřit všem zařízením v síti.
b. Nějaké zařízení v síti může mít několik Wi-Fi, kam se připojuje => může se kdykoli připojit jinam, bude-li poblíž vyhovující AP.
c. Nějaké zařízení v síti se může připojovat i do jiných sítí => někdo může otrávit cache v prohlížeči nebo naopak těžit cache/cookies/localstore….
-
Ak ta domena bezi v LAN sieti, a ta siet je fakt uplne ostrovna, naco certifikaty?
Asi jedině, aby neotravovaly prohlížeče ?
pak lokální CA a importovat ji na všechny pc
Jinak mi dotaz nedává smysl
-
Ma to byt v LAN a (teoreticky) bez pripojenia na internet, to znamena, ze domena nemoze byt verejna. Domenu si vymyslim a DNS server bude lokalny.
Z mych znalosti:
- Nechate si vystavit certifikat od uznavanych verejnych CA, jejichz certifikat (nebo nadrizeny) maji klienti ve svem certificate store. Jak ho na server dopravite je vcelku jedno - klidne si ho nechte vystavit od napr. RapidSSL na dva roky a preneste ho server pres USB disk.
- Vystavite si certifikat z privatni CA a pak musite nejakym zpusobem klientum updatovat certificate store tak, aby CA duverovali. Jak to konkretne udelate, je znovu jen na vas.
Nevim, jak byste to chtel jinak udelat a zaroven zachovat smysl pouziti certifikatu...
Stale jste se neobtezoval upresnit, jestli se jedna o verejnou domenu (prakticteji spise jeji subdomenu), kterou vlastnite nebo jde o nejake zverstvo typu ".local".
Moznost jedna sa mi pozdava. Ale predpokladam, ze to takto fungovat asi nebude.
Cize letsencrypt (LE) by vystavil cert na domenu verejnu napr. niecoverejne.com
Mozem potom ten cert pouzit v LAN (bez internetu) na nieconeverejne.com ?
Predpokladam, ze ten cert je viazany na meno tej domeny.
-
Ano, když už certifikát máš, není problém použít ho v oddělené neveřejné síti nepropojené s Internetem.
Ale pro získání bude nejspíš potřeba použít alternativní způsob ověření vlastnictví domény přes DNS (jedině že by se s toutéž doménou provozoval zároveň i web server na Internetu).
A LE vydává certifikáty jen na 3 měsíce, takže se to bude muset pořád dokola točit a vyměňovat za nové.
-
OK, skusim a dam vediet
-
Vymyšlená doména je potenciální problém:
a. Doména na existující TLD => někdo ji může koupit a nechat si vystavit certifikát.
b. Doména na neexistující TLD => asi OK, dokud ji někdo nezaloží
c. Doména na TLD, kde si nikdo nebude mít nikdy možnost nic zaregistrovat (tuším .local) => nevidím problém
-
Cize letsencrypt (LE) by vystavil cert na domenu verejnu napr. niecoverejne.com
Mozem potom ten cert pouzit v LAN (bez internetu) na niecoverejne.com ?
Predpokladam, ze ten cert je viazany na meno tej domeny.
Predpokladáš správne, cert pre "niecoverejne.com" nemôžeš použiť na "nieconeverejne.com". Na druhú stranu vlastníctvo domény nemusí nutne znamenať, že k tomu existuje nejaký DNS A záznam ukazujúci na konkrétny stroj, takže môžeš pre internú sieť použiť svoju "verejnú" doménu (pre ktorú na Internete nebude DNS záznam na konkrétny stroj), prípadne jej subdoménu (tj web máš na niecoverejne.com a internú sieť na totonieje.niecoverejne.com). Certifikát vystavíš/overíš pomocou TXT záznamu v DNS (čím zverejníš "do sveta" info že to lokálne používaš), a ako bolo spomínané vyššie, budeš to musieť robiť ručne relatívne často (iba že by si tú sieť nemal takú izolovanú a nejaký automatizačný skript mal minimálne prístup k DNS API a vedel si ten TXT záznam upraviť pri obnove certifikátu).
c. Doména na TLD, kde si nikdo nebude mít nikdy možnost nic zaregistrovat (tuším .local) => nevidím problém
.local je rezervovaná pre mDNS. Správna doména pre interné použitie je .home.arpa (RFC8375 (https://datatracker.ietf.org/doc/html/rfc8375.html)) alebo jej ľubovoľná subdoména.
-
Nerad by som vytvaral okolo toho problemy.
Napisal som, ze domena ma byt v LAN. Tu LAN napr. nikdy nepripojim k internetu. DNS je lokalny. Cize aj keby som v LAN vytvoril root.cz (bol by to falosny web, ale bol by len v LAN) a pouzil by som cert z inej verejnej domeny (pretoze doveryhodny cert pre neverejnu domenu LE nevystavi), tak ci by to fungovalo. Chcem vediet ci to web prehliadac zhltne.
Vnutri LAN a s lokalnym DNS mozem vytvarat domeny ake chcem, aj tie co uz existuju na internete.
-
Prohlížeči je to jedno.
Ale nezískáš od žádné CA důvěryhodný certifikát pro doménu, kterou nevlastníš - takže root.cz tam nebude (pokud ti ho mailem nepošle třeba Petr Krčmář). ;D
-
Ten priklad nedava zmysel. ...
Ak ta domena bezi v LAN sieti, a ta siet je fakt uplne ostrovna, naco certifikaty?
To je tak, kdyz si nekdo neprecte dotaz ze? A kupodivu pokud chces komunikaci sifrovat, potrebujes nejaky certifikat. Ja vim, je to zcela nepochopitelny. Ze se nekdo treba pres wifi chce pripojit i treba sifrovane ...
...
Certifikat se typicky vydava na nejaky DNS nazev, muze jich obsahovat vic, nebo muze byt "hvezdickovy" (*.domena.cz) tzn, bude OK pro libovolny nazev v ramci te domeny. Certifikat lze vystavit i na IP, ale nedoporucuje se to.
Pokud se budem bavit o Le, cert si muzes nechat vystavit kdekoli mimo sit, pokud mas pristup k prislusne domene. Nepotrebujes byt jeji majitel. Za normalnich okolnosti potrebujes mit pristup k dns nebo webserveru. Pak si ho dovnitr muzes prinest klidne na flashce. Nepotrebujes mit sit na intenetu. Jinde (za penize) ti muze staci email na dane domene.
Pokud nechces verejny cert, tak muzes mit privatni, ale pak ho nejake musis dostat do stanic, ktere mu maji verit (pripadne ti budou vice nebo mene protestovat, proti zcela duveryhodnemu typicky selfsign certifikatu).
At tak ci onak, pocitej s tim, ze cen cert budes muset vymenovat. A to cim dal castejs.
... root.cz (bol by to falosny web, ale bol by len v LAN) a pouzil by som cert z inej verejnej domeny (pretoze doveryhodny cert pre neverejnu domenu LE nevystavi), tak ci by to fungovalo. ...
Presne tohle by nefungovalo vubec, a zadnej svepravnej browser by ti nedal ani moznost souhlasit s vyjimkou. Domena je napsana a podepsana v tom certifikatu.
Vyrob si selfsign certifikat, a v prohlizeci az si bude stezovat potvrd, ze chces ulozit trvalou vyjimku. Pro tebe cesta nejmensiho odporu.
-
Pokud je to izolovana sit, nedava mi osobne smysl chtit verejny certifikat.
Jediny _rozumny_ reseni, ktery ale nesplnuje puvodni zadani, je mit vlastni CA, kterou naimportujes do prohlizece, nebo do systemu. Je to par kliknuti, ktery nikoho nezabije.
-
Pokud je to izolovana sit, nedava mi osobne smysl chtit verejny certifikat.
Jediny _rozumny_ reseni, ktery ale nesplnuje puvodni zadani, je mit vlastni CA, kterou naimportujes do prohlizece, nebo do systemu. Je to par kliknuti, ktery nikoho nezabije.
no dyť to píšu :-)
-
Mozna jsem mene chapavy, ale jedine dva duvody pro sit oddelenou od internetu vidim:
- (oduvodnene) bezpecnostni pozadavky,
- namam na to pripojeni penize.
Druhou moznosti se zabyvat nebudu a s prvni mi nekoreluje zadani (neexistujici segmentace site, server v uzivatelske LAN).
-
Asi týden zpátky jsem doma "vyráběl" tohle a funguje super!
https://smallstep.com/blog/build-a-tiny-ca-with-raspberry-pi-yubikey/
-
Asi týden zpátky jsem doma "vyráběl" tohle a funguje super!
https://smallstep.com/blog/build-a-tiny-ca-with-raspberry-pi-yubikey/
...jako chválím pečlivý a zapálený přístup, ale není to trochu přes koleno, na takové to domácí žvýkání?
Nechtěl jsem prudit složitým postupem, ale než výše uvedené, nevychází nakonec jako jednodušší sada shellových skriptů EasyRSA (https://github.com/OpenVPN/easy-rsa/blob/master/README.quickstart.md), příbalová to součást OpenVPN ?
Případně, nemá někdo "EasyRSA v housce", jako že klikačku s webovým rozhraním?
-
Případně, nemá někdo "EasyRSA v housce", jako že klikačku s webovým rozhraním?
Housko web vyloženě ne, ale manuální jabko-win štrůdl apka plnící roli CA a používaná přesně na takové izolované síti: https://hohnstaedt.de/xca/
-
- (oduvodnene) bezpecnostni pozadavky,
Druhou moznosti se zabyvat nebudu a s prvni mi nekoreluje zadani (neexistujici segmentace site, server v uzivatelske LAN).
Ale tohle je základní nepochopení bezpečnosti. Na nádražní hajzlíky na vesnici nedám pancéřové dveře, ani zabezpečovačku, ale stejně je budu v době, když je nádraží zavřené zamykat. Proč? Protože chráněná aktíva jsou malá (někdo vykoná potřebu neoprávněně je haléřová položka, maximálně tam může vandal způsobit škodu rozbitím hajzlíku v hodnotě tisícovky v OBI), přesto kdybych to nechal otevřené, tak tam nejspíš bude naděláno od fetek a opilců.
To samé co se týče lokální sítě. Vystrčit cokoli ven do Intrnetu je holý nerozum (pokud to člověk opravdu nepotřebuje, a současně ví co dělá). Když vystrčím server ven, mám tu najednou proti sobě pár miliard potenciálních útočníků, mraky scriptů, každá chyba/0-day/cokoli může být malér.
Na stranu druhou, domácí síť mám obvykle pár trusted lidí, kterým, pravda, se samozřejmě nedá úplně věřit, že někam nekliknou kam nemaj. Ale na tohle obvykle stačí mít rozumně práva na NASce, a riziko je celkem malé (v porovnání s tím vystrčením ven - někdo si musí zabreberkovat PC, současně ta breberka se musí umět na tu NASku dostat a současně na ní musí být nezáplatovaná vulnerabilita).
BTW ono ani ta segmentace není všespásná, zvlášť když ty (potenciálně zabreberkované) užovky stejně na ten server musí mít prostup, a dávat domů IPS je poněkud nereálné.
BTW já tohle řešil vždycky CA, co je součástí OpenSSL (nebo alespoň bejvala, CA.sh nebo CA.pl na vygenerování samotné CA, zbytek klasika openssl keygen, openssl x509, openssl ca)
-
BTW já tohle řešil vždycky CA, co je součástí OpenSSL (nebo alespoň bejvala, CA.sh nebo CA.pl na vygenerování samotné CA, zbytek klasika openssl keygen, openssl x509, openssl ca)
No vždyť to EasyRSA je kolem binárů openssl jenom taková skriptovaná skořápka.