Gestione dei certificati su una rete piccola VPN

4

Background: ho bisogno di configurare l'accesso remoto sicuro per un piccolo ufficio domestico. Sono un po 'noob e non ho avuto bisogno di gestire i certificati prima. Capisco la maggior parte del setup, ma voglio capire le implicazioni pratiche della gestione dei certificati in quanto devo gestire anche il lato CA.

Riepilogo LAN

Semplice router open source con dispositivi LAN (principalmente PC e stampante), tutti collegati da uno switch non gestito e con una banca pubblica di 16 IP. Non ci sono VLAN, nessun accesso al dominio / raggio, nessun altro servizio LAN e nessun DNS locale (sono a mio agio usando solo DHCP e IP puri). Il router supporta nativamente IPSEC / L2TP / OpenVPN in ingresso. Sono tendenzialmente propenso ad OpenVPN se non ci sono buone ragioni per andare con un altro (ma ammetto che non conosco le differenze pratiche).

Domanda:

La preoccupazione è che la scarsa configurazione possa esporre il cliente al mondo esterno. Come CA per la LAN, devo pensare ai certificati privati / di firma e a tutto il resto, non solo ai certificati pubblici. Quindi voglio assicurarmi che i file relativi alla sicurezza generati (certs privati, chiavi master, chiavi di firma, qualunque) siano gestiti correttamente e mantenuti + gestiti in modo appropriato in modo sicuro. Ma la maggior parte delle risorse di un livello che posso capire omettere o sono vaghe sulle pratiche di sicurezza post-installazione.

Quindi ... come gestore del processo di certificazione (visto dal punto di vista router / CA) quali sono i certificati / chiavi / auto-certificati esatti da configurare e quali file di gestione dei certificati devo proteggere e come dovrei fare vero? (crittografia dei file sul mio laptop, chiavetta USB separata, laptop dedicato non in rete, ...?) Quanto spesso devo accedere a questi, una volta impostato (sicurezza v. convenienza)? Le implementazioni "più" memorizzerebbero queste crittografate o dovrei preoccuparmi di come il router stesso le trattiene?

Grazie per l'aiuto!

Aggiornamento 1 - Aggiornamento per chiarire un po 'i ruoli, poiché non sono gli stessi di quanto ci si potrebbe aspettare. Di solito si immagina uno sviluppatore o proprietario del sito che certifichi a terze parti tramite una CA indipendente o una CA indipendente e il proprietario del sito che crea certificati per varie altre parti. Qui è molto più semplice. L'unico scopo di creare qualsiasi CA / certificati / chiavi è quello di consentire a una persona (il proprietario della LAN e nessun altro) di connettersi alla LAN in modo sicuro utilizzando un meccanismo quando è lontano (VPN nativa del router) e per essere sicuri che altri non possano farlo così (entro i limiti delle abituali dichiarazioni di sicurezza). Una volta che tutto è stato configurato e funzionante, le certs / chiavi aggiuntive potrebbero essere raramente necessarie.

Lo scenario del mondo reale è che il proprietario deve spostarsi a breve, poiché il luogo non sarà abitabile a causa di importanti lavori di costruzione per 18 mesi, ma la LAN rimarrà. La mia domanda non è in realtà come generare chiavi e certificati che abbia molti HOWTO, si tratta della conoscenza di ITSec più rilevante per il suo scenario; Mi piacerebbe fare il boot un po 'meglio sul know how procedurale, quindi quando seguo le ricette, ho un certo grado di conforto che non le sto solo seguendo, ma mantenendo ciò che è stato creato abbastanza bene, e che non è probabile che sia lasciando la LAN tutto-ma-aperto dall'ignoranza mentre è "vivo" in seguito. Ho bisogno di alcune indicazioni su cosa devo fare per essere il più sicuro possibile, che gli sto dando un setup ragionevolmente sicuro e gestendolo ragionevolmente bene.

Probabilmente l'ho detto un po 'drammaticamente :) ma con un po' di fortuna distingue e chiarisce la domanda posta.

    
posta Stilez 24.03.2016 - 22:02
fonte

2 risposte

2

Nonostante la risposta di Alexey Vesnin, sentiti libero di conservare i certificati che hai emesso per vari motivi. Sono considerati di dominio pubblico e non viene fatto alcun danno, a meno che non li mantenga per tutto il tempo che vuoi.

Detto questo:

Essere una CA ha alcune responsabilità:

  • Assicurati di mantenere la chiave privata al sicuro. (Una chiavetta USB criptata con i dati della CA su di essa andrà bene, a condizione che la macchina decodificata non sia compromessa. Una smart card sarebbe una soluzione migliore (anche se più costosa).)
  • Offri alle parti che fanno affidamento sui tuoi certificati un modo per controllare i certificati revocati (ad esempio, se una coppia di chiavi viene compromessa in qualche modo
  • Verifica che le chiavi / i certificati compromessi ti vengano segnalati (non punire le persone per non essere state abbastanza attente)
  • Assicurati di revocare i certificati non appena vedi la necessità
  • Assicurati di ispezionare accuratamente ogni CSR ricevuto dai clienti prima di firmarlo

A seconda del tuo caso d'uso effettivo (ogni cliente ha bisogno di un certificato? Quante fluttuazioni ci sono? Quanto sono validi i client nel mantenere privata la loro chiave privata?) potresti dover solo lavorare con la tua configurazione della CA quando inizialmente concesso i certificati stanno per scadere.

O ogni altro giorno, ciò dipende completamente.

Ulteriori considerazioni per la domanda modificata

Potresti aver bisogno solo del lato LAN per affidarti al certificato autofirmato dell'unico partner di collegamento (e vise vesa). Finché le due macchine sono affidabili, puoi semplicemente aggiungere i certificati al trust store e lasciare una CA effettiva firmando entrambi i certificati.

    
risposta data 24.03.2016 - 22:54
fonte
-1

Usa OpenVPN in bundle con lo script easyRSA e mantieni la tua chiave privata CA su una chiavetta USB. Inoltre, non conservare MAI i backup dei certificati che dai ai tuoi clienti: basta accendere e dimenticare. Sentiti libero di fare ulteriori domande!

AGGIORNAMENTO: easyRSA è un'automazione basata su script di shell e Perl per facilitare attività regolari come la generazione di chiavi pubbliche e private di CA, la generazione di chiavi client e il mantenimento di registri di certificati, inoltre può essere revocato usandolo. Se hai bisogno di capire come esattamente è fatto - basta aprire uno script, sono davvero semplici, raccolti e raggruppati solo per convenienza - nessuna magia underhood ! È possibile emettere tutti questi comandi uno a uno a mano, ma soprattutto quando non si è esperti di cose simili a CA è probabile che si commetta un errore e si danneggi il registro dei certificati, quindi provare a familiarizzare con easyRSA e scavare più a fondo nella loro origine codici: sono auto-esplicativi e non complessi, lo vedrai con i tuoi occhi ed esperienza

    
risposta data 24.03.2016 - 22:39
fonte

Leggi altre domande sui tag