Jak udělat aby server na portu 80 běžel v netu na SSL 443?

karel

Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?
« Odpověď #15 kdy: 08. 10. 2015, 06:28:14 »
Teke bych to řešil jednoduše přes nginx
a co se absollutnich odkazu tyka, tak lze na proxy na upravovat odpoved cili zamenit http:// za https:// mam pocit ze to ale pak chce balicek nginx-extras
jak na to: http://nginx.org/en/docs/http/ngx_http_sub_module.html

a kdyz uz tu nekdo vytahl bezpecnost, co vi vite treba tam autentizaci maji, ale proste to beha na http protoze to v interni siti staci, take duvodem muze byt slabsi hw jinak by stacilo prekonfigurovat server kde beha ta aplikace,
nadruhou stranu nazor na pouziti vpn je spravny mozna se zamyslet zda nejit touto cestou


Sheldonizátor

Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?
« Odpověď #16 kdy: 08. 10. 2015, 06:56:48 »
Díky za odpovědi  8). Nepůjde nutně jen, i když nejspíše je. Co se předělávky týče, ano, někdo kdo četl mé minulé příspěvky ví že na něčem takovém teď dělám ;D.

Šifrování bohatě postačí, jde o to aby data nešla v plaintextu, a pokud by si někdo v budoucnu vymyslel že se některým klientům umožní vypnout/zapnout nějaký stroj, tak je dobré už nyní myslet na šifrování.

Navíc musím přiznat že webové věci dělat zatím moc neumím, proto mi přijde jako blbost si třeba implementovat vlastní webový server když už jsou odzkoušené a známe servery jako apache a nginx. A aby podporoval i šifrování, to by taky byla makačka to naprogramovat dobře...

Sheldonizátor

Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?
« Odpověď #17 kdy: 08. 10. 2015, 06:58:01 »
 Nepůjde nutně jen o web, i když nejspíše jo.

Tuxik

  • *****
  • 1 473
    • Zobrazit profil
    • E-mail
Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?
« Odpověď #18 kdy: 08. 10. 2015, 07:05:30 »
No jestli jde o ovládání něčeho, co dělá pár lidí z firmy, rozhodně je asi momentálně nejvíc bezproblémový jim dát VPNky. Ty si můžeš zašifrovat dle libosti, nemusíš řešit absolutní odkazy, když dobře nastavíš router, může to zůstat na stávající adrese a je to vyřešený řekl bych bez kompromisů. Z toho co píšeš a podle zkušeností který říkáš že máš/nemáš ti ani přepsání a implementace SSL nezaručí, že tam nebudeš mít nějakou zásadní chybu, přes kterou ti tam někdo vleze a něco ti provede.

Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?
« Odpověď #19 kdy: 08. 10. 2015, 08:54:36 »
Nastavoval jsem to podle http://httpd.apache.org/docs/2.2/ssl/ssl_howto.html Potom zalezi na klientovi jake pouzije sifrovani. Server jich muze podporovat vice. V zasade v tom nevidim nic spatneho ze server podporuje i starsi klienty, z principu v mem pripade by mel klient vyzadovat co nejsilnejsi sifrovani.

Takto nastavený server může podlehnout změně šifry (útočník si může vybrat libovolnou nižší), vzhledem k tomu, že je tam i LOW, tak to jde lousknout už i brute force. Nehledě na to, že tam nikde nevidím zakázání protokolů SSL(v2, v3) a naopak tam vidím povolení šifry RC4, která už je také lousknutá.

Na tu dokumentaci bohužel evidentně nikdo roky nesáhl.


Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?
« Odpověď #20 kdy: 08. 10. 2015, 09:24:58 »
Nastavoval jsem to podle http://httpd.apache.org/docs/2.2/ssl/ssl_howto.html Potom zalezi na klientovi jake pouzije sifrovani. Server jich muze podporovat vice. V zasade v tom nevidim nic spatneho ze server podporuje i starsi klienty, z principu v mem pripade by mel klient vyzadovat co nejsilnejsi sifrovani.

Takto nastavený server může podlehnout změně šifry (útočník si může vybrat libovolnou nižší), vzhledem k tomu, že je tam i LOW, tak to jde lousknout už i brute force. Nehledě na to, že tam nikde nevidím zakázání protokolů SSL(v2, v3) a naopak tam vidím povolení šifry RC4, která už je také lousknutá.

Na tu dokumentaci bohužel evidentně nikdo roky nesáhl.

Utocnik si ji sice vybrat muze, ale na nizsim sifrovani se serverem bude bavit pouze on. A "louskat" si muze tak mozna sve pakety :)

Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?
« Odpověď #21 kdy: 08. 10. 2015, 09:56:10 »
Utocnik si ji sice vybrat muze, ale na nizsim sifrovani se serverem bude bavit pouze on. A "louskat" si muze tak mozna sve pakety :)

Jsou útoky na snížení používané šifry (mezi klientem a serverem). Nelze se spoléhat na to, že si prohlížeč (který ani nemusí být aktuální a vybere si třeba RC4) vybere to nejlepší spojení, server by měl nabízet jen to, co je aktuálně považováno za bezpečné.

Ale je to vaše proxy, vaše data. Mě do toho nic není, chtěl jsem jen poradit.

Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?
« Odpověď #22 kdy: 08. 10. 2015, 10:07:33 »
Jsou útoky na snížení používané šifry (mezi klientem a serverem). Nelze se spoléhat na to, že si prohlížeč (který ani nemusí být aktuální a vybere si třeba RC4) vybere to nejlepší spojení, server by měl nabízet jen to, co je aktuálně považováno za bezpečné.

Ale je to vaše proxy, vaše data. Mě do toho nic není, chtěl jsem jen poradit.

Nic se nedeje. Diky za radu, zkusim se na to nastaveni mrknout.

k

Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?
« Odpověď #23 kdy: 08. 10. 2015, 10:22:16 »
server by měl nabízet jen to, co je aktuálně považováno za bezpečné.

Vskutku brilantní úvaha, takto se vypnulo SSLv3 a dost věcí se SSL přestalo fungovat. Ne všechno se dá aktualizovat, na některé produkty aktualizace nejsou a už nebudou nebo výrobce mezitím úplně zavřel krám. Mnoha lidem by RC4 nevadilo, stejně jedou přes VPN.

karel

Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?
« Odpověď #24 kdy: 08. 10. 2015, 10:43:05 »
server by měl nabízet jen to, co je aktuálně považováno za bezpečné.

Vskutku brilantní úvaha, takto se vypnulo SSLv3 a dost věcí se SSL přestalo fungovat. Ne všechno se dá aktualizovat, na některé produkty aktualizace nejsou a už nebudou nebo výrobce mezitím úplně zavřel krám. Mnoha lidem by RC4 nevadilo, stejně jedou přes VPN.

Ano vždy se musí torchu přemýšlet a zvažovat pro a proti. Často člověk prostě musí lehce ustoupit protože zákazník miluje xp a explorer a žádná síla v tomhle vesmíru ho nepřiměje vyměnit ten přeci 10let funkční stroj když ještě bez problémů beží. S tím že on/zaměstanec to má jen na práci a nikam než sem a sem nechodí. Takže není důvod něco měnit když to tak pěkně funguje. Zázrak je když je donutíte na firefox nebo chrome, ale to se to pak začne krchat protože sou to potvory nenažraný takže spátky v lepším případě na ie8. Tenhle stav vyřeší jen blesk do rozvodů, staré kompy neměly kurvítka a umírat se jim nechce.


Jinak na to jestli máš dobře nastavený https existuje moře testovacích nástrojů a jsou i online řešení. A některá ti krom nabídky prodání jiného certifikátu řeknou co se jim nelíbý a jak to zlepšit.



 

Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?
« Odpověď #25 kdy: 08. 10. 2015, 11:33:47 »
Vskutku brilantní úvaha, takto se vypnulo SSLv3 a dost věcí se SSL přestalo fungovat. Ne všechno se dá aktualizovat, na některé produkty aktualizace nejsou a už nebudou nebo výrobce mezitím úplně zavřel krám. Mnoha lidem by RC4 nevadilo, stejně jedou přes VPN.

"se vypnulo" mělo nějaký vývoj a také je třeba připomenout, že SSLv3 je tu od roku 1996 a hned o tři roky později, tedy v 1999, přišlo TLS. SSLv3 "se vypnulo" v roce 2014, tedy 15 let po té, co existují alternativy.

Nehledě na to, že vždy existuje možnost, jak se tam připojit (Jenda má na své wikině návod na připojení mezi TLS a SSLv3, pokud někdo trvá na RC4, tak si může i za 10 let zkompilovat proxy, která se připojí na TLS  a na druhé straně pojede klidně jako SSL v RC4). Možnosti vždy budou. Ale přece nemůže aktuální prohlížeč a server nabízet šifru, která je prolomená? K čemu by tam potom to celé šifrování bylo?

Btw u VPN je situace možná ještě horší. Kolem webserverů se alespoň občas dělá bouře a tam i poučení laici vědí, že sem tam nějaký protokol už není bezpečný. U VPN se tohle neděje, takže se i dnes najdou kousky s 1024b klíči, SHA1 podpisy na 56b šifře a na SSLv3 protokolu.


Borekz

Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?
« Odpověď #26 kdy: 08. 10. 2015, 12:27:15 »
Jaj no to je ale prasárna toto... není jednodušší to zpřístupnit normálně na portu 80 pouze přes VPN, nebo potřebuješ, aby na to přistupovali i normální lidi (nezaměstnanci)?
Možná potřebuje, aby zaměstnanci s Windows 8 nezatěžovali ICT oddělení se zlobící VPN. CiscoVPN Client na Windows 8 nejede vůbec a v OpenVPN občas zamrzá spuštění adaptéru TAP. Na Windows 7 obě VPN běží jak víno.

Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?
« Odpověď #27 kdy: 08. 10. 2015, 12:42:03 »
Jiny widle nez sedmicky nemaji ve firemni sfere na desktopu absolutne co pohledavat.
Děkuji za možnost editace příspěvku.

MP

Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?
« Odpověď #28 kdy: 08. 10. 2015, 12:48:21 »
Jaj no to je ale prasárna toto... není jednodušší to zpřístupnit normálně na portu 80 pouze přes VPN, nebo potřebuješ, aby na to přistupovali i normální lidi (nezaměstnanci)?
Možná potřebuje, aby zaměstnanci s Windows 8 nezatěžovali ICT oddělení se zlobící VPN. CiscoVPN Client na Windows 8 nejede vůbec a v OpenVPN občas zamrzá spuštění adaptéru TAP. Na Windows 7 obě VPN běží jak víno.

CiscoVPN na 8.x a 10 jede. I kdyz, musi se uz trochu tomu napomoci. Ale to neni ani tak chyba MS, jako rozhodnuti Cisco, ze tlaci AnyConnect.

k

Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?
« Odpověď #29 kdy: 08. 10. 2015, 13:01:41 »
Ano vždy se musí torchu přemýšlet a zvažovat pro a proti. Často člověk prostě musí lehce ustoupit protože zákazník miluje xp a explorer a žádná síla v tomhle vesmíru ho nepřiměje vyměnit ten přeci 10let funkční stroj když ještě bez problémů beží. S tím že on/zaměstanec to má jen na práci a nikam než sem a sem nechodí. Takže není důvod něco měnit když to tak pěkně funguje.

Nejvíce nase*ete zákazníka tím, že roky vypiplaný a odladěný produkt přes noc přestane fungovat. SSLv3 je přesně tento případ. Už kvůli tomu proběhly i změny smluv na přechod z SSL/TLS na jiné řešení.