WPA2 vs TLS

[Darkhunter]

Ahoj,
chtěl bych se zeptat, jak to vidíte se zabezpečením ve vnitřní síti, pokud router funguje zároveň jako webserver.
Momentálně jedeme na SSL/TLS, ale dost nám certifikáty ztěžujou podmínky, tak přemýšlím, že bych SSL úplně vysadil a místo toho se spoléhal na šifrování WPA2.
Co vím, tak wifi nemělo nikdy dobré zabezpečení a dalo se odpsolouchávat, ale WPA2 je prý už dost v pohodě.
Tak bych rád znal váš názor.

[Reklama]

[Darkhunter]

No nic...Tak nakonec je to encryption jen připojení. Já myslel, že to je encryption spojení.
Proč sakra neexistuje wifi, která dělá encryption spojení?

[Darkhunter]

Tak něco jako wifi s vpn neexistuje?

[MalyTomi]

Preco neexistuje kabel, ktory robi encryption spojenia?

[JardaP .]

@Darkhunter: By mne zajimalo, kdo by byl potencialni utocnik, ze ti wpa/AES nestaci. Jestli mas na siti lidi, kterym nemuzes duverovat, nedavej jim wpa klic.

[Reklama]

[Darkhunter]

Tak ona ta síť bude zároveň hotspot, tak radši řeším bezpečnost především. Samozřejmě by se tam dal dát další wifi dongle, ale to se mi zdá, že je to zbytečně složity pak.

[JardaP .]

Tak moc jste to nevysvetlil, ale kdyz nekomu jde o bezpecnost, tak oddeleni siti je ta prvni vec, co udela.

[Filip Jirsák]

Než vymýšlet, jak oslabit bezpečnost (místo TLS používat nešifrované spojení), radši bych se zabýval tím, jak tu bezpečnost zajistit i bez toho „ztěžování podmínek“. Už jenom proto, že i prohlížeče se budou nešifrovaném u spojení čím dál víc bránit – už dnes některé služby nejde použít na nešifrovaném spojení, zrovna před pár dny tu proběhly zprávičky, že Firefox i Chrome budou varovat uživatele při přihlašování přes nezabezpečené spojení. A bude líp, tj. ten odpor prohlížečů k nešifrovanému spojení se bude zvětšovat. Takže přechodem od HTTPS k HTTP si také jen budete ztěžovat podmínky.

V čem přesně jsou pro vás certifikáty ztěžování podmínek? Let's Encrypt certifikáty můžete získávat automatizovaně a zdarma, jediný problém by mohl nastat při použití lokální domény, ale to je podle mne obezlička, která se používá jen kvůli neveřejným IPv4 adresám a doufám, že zanikne spolu s IPv4. Takže bych použil veřejné DNS názvy, LE certifikáty a jejich automatickou obnovu – podle mne je to nejperspektivnější řešení, se kterým si podmínky budete ztěžovat minimálně.

[Darkhunter]

No já nevím, jak tu doménu ověřit, když bude jen interně? Ten server nemá veřejnou Ip a slouží jen pro to, aby se do něj přihlašovali lidé ze sítě, kterou vytvoří.
Tudíž bych musel přidat veřejná DNS na nějaký můj server a každé tři měsíce obnovovat s tím, že se to rozkopíruje na všechny tyto servery bez vnější sítě.
To se mi zdá dost blbé, protože co když zrovna ten server nebude mít týden internet? Pak certifikát propadne a nebude se nikdo moci připojit.

[JardaP .]

Mozna by neskodilo, kdybyste vysvetlil, ceho se vlastne snazite dosahnout. Nestydte se pripojit obrazek, staci fixou na kus papiru a oskanovat.

[Darkhunter]

To ani nemusím kreslit.
O nic nejde. Prostě router a k němu jsou připojení uživatelé. Někteří uživatelé jsou připojení jen z důvodu, aby používali wifi a jiní z důvodu, že se z appky z mobilu připojí na backend na routeru(raspberry).
Já prostě nechci, aby si uživatelé mohli navzájem sniffovat jejich traffic.
Router nemá doménu. Router má jen IP.

[Filip Jirsák]

Ano, ověřovat názvy přes DNS a certifikáty s privátním klíčem pak distribuovat na příslušný server. LE doporučuje obměnu každý měsíc, abyste měl rezervu i pro případ, že se něco nepovede. LE samozřejmě tlačí k automatizaci obnovování certifikátů, pak vám bude jedno, jestli se certifikáty obměňují jednou za rok nebo jednou za měsíc.

co když zrovna ten server nebude mít týden internet?

Nerozumím tomu, co znamená „server nebude mít týden internet“. Server nepotřebuje mít vůbec přístup do internetu, do internetu bude vystaven jen DNS server, přes který se budou certifikáty ověřovat, a musí do něj mít přístup aplikace, která bude tu obnovu certifikátů zajišťovat (ta zároveň musí být schopná na DNS serveru vystavit příslušné záznamy pro ověření doménového jména). Vaše servery si pak budou obnovené certifikáty (případně privátní klíče) stahovat z té aplikace, která bude obnovu vyřizovat – to klidně může probíhat čistě ve vnitřní síti.

[Filip Jirsák]

To ani nemusím kreslit.
O nic nejde. Prostě router a k němu jsou připojení uživatelé. Někteří uživatelé jsou připojení jen z důvodu, aby používali wifi a jiní z důvodu, že se z appky z mobilu připojí na backend na routeru(raspberry).
Já prostě nechci, aby si uživatelé mohli navzájem sniffovat jejich traffic.
Router nemá doménu. Router má jen IP.

Takže vám jde jen o vystavení jednoho certifikátu pro webový server běžící na tom routeru? Tak tomu routeru přidělte (veřejné) DNS jméno (už jenom tím odstraníte spoustu zbytečných komplikací) a na to jméno si nechte vystavit od LE certifikát. Ten router má předpokládám přístup do internetu, takže tam stačí rozjet některý ze skriptů pro automatickou obnovu LE certifikátů.

[Darkhunter]

Má, ale třeba za tři měsíce pro obnovu mít nebude.

[JardaP .]

To ani nemusím kreslit.
O nic nejde. Prostě router a k němu jsou připojení uživatelé. Někteří uživatelé jsou připojení jen z důvodu, aby používali wifi a jiní z důvodu, že se z appky z mobilu připojí na backend na routeru(raspberry).
Já prostě nechci, aby si uživatelé mohli navzájem sniffovat jejich traffic.
Router nemá doménu. Router má jen IP.

Pokud "pouzivanim wifi" myslite to, ze pres wifi polezou na Internet, tak to si nemuzete z elektrosrotu vytahnout stary ADSL modem a udelat z nej AP? Krome toho, jestli traffic ze serveru leze pres https, tak toho nikdo moc nenasnifuje.