Certi autofirmati su LAN condivisi con altri [duplicato]

3

Il mio WiFi è condiviso con la mia famiglia, ei miei fratelli hanno amici che passano oltre condividendo la password WiFi con noncuranza. Chiunque di questi ospiti potrebbe avere un dispositivo non autorizzato e nemmeno saperlo.

Mio fratello ha il suo PC e sono preoccupato per l'abilità di mio fratello di tenere pulito il suo PC.

Ho dei server in esecuzione sulla mia LAN e utilizzo per loro dei certificati autofirmati.

Considerando quanti dispositivi connessi sono sulla mia LAN che non controllo, questo significa che i miei certificati autofirmati sono potenzialmente inutili e le mie comunicazioni sicure sono potenzialmente inutili?

Come posso risolvere questo problema senza bisogno di FQDN e CA == (parliamo di fingerprinting)?

So che il primo passo verso una soluzione sarebbero le VLAN per containerizzare dispositivi guest non fidati. Tuttavia, ci dovrebbe essere un modo per avere fiducia con un certificato autofirmato anche quando ci sono dispositivi non autorizzati nella rete (inserire le impronte digitali).

Voglio veramente capire le impronte digitali e come posso controllare manualmente i tasti per sapere se esiste un MiTM.

    
posta m0p3r 07.06.2018 - 17:28
fonte

1 risposta

0

I tuoi ospiti non fidati non possono compromettere la sicurezza del tuo certificato autofirmato solo perché sono stati infettati dal malware. Per farti ingannare nell'accettare un certificato canaglia, ogni attaccante deve scaricare il certificato dal tuo server, crearne un altro con gli stessi valori, ARP-spoof del tuo computer e MitM la tua connessione al tuo server. Non qualcosa che un malware potrebbe fare da solo.

Come risolverlo? Creare autonomamente una CA e aggiungere il certificato CA al browser. In questo modo, anche se qualcuno ha eseguito l'attacco di cui sopra, non funzionerà perché il tuo browser non si fida del certificato autofirmato.

Questo sito ha una buona guida, controlla in seguito per informazioni complete. Riassumo il muggito:

openssl genrsa -des3 -out myCA.key 2048
openssl req -x509 -new -nodes -key myCA.key -sha256 -days 1825 -out myCA.pem

Ora hai myCA.pem , importa sul tuo browser e sistema operativo.

Dopodiché, crea i certificati e firmali:

openssl genrsa -out dev.mergebot.com.key 2048
openssl req -new -key dev.mergebot.com.key -out dev.mergebot.com.csr
openssl x509 -req -in dev.mergebot.com.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial -out dev.mergebot.com.crt -days 1825 -sha256 -extfile dev.mergebot.com.ext

Ora avrai 3 file, la chiave privata è .key , il certificato è .crt e la richiesta di certificato è .csr e non ne hai bisogno dopo aver creato il certificato. Installa il .key e .crt sui tuoi server e sei a posto.

    
risposta data 07.06.2018 - 21:35
fonte