Il modo migliore per proteggere il server REST locale?

1

Attualmente ho un raspberry pi collegato al mio sistema di sicurezza domestica. Ho scritto un demone Python su un server HTTP (molto insicuro, lo so, ma è ancora in costruzione), quindi posso inviarlo richieste POST per attivare l'allarme. Sto cercando di aggiungere anche la funzionalità di disinserimento, che ovviamente richiede molta più sicurezza del comando arm.

Ho visto alcune guide che avvolgono il socket del server con ssl.wrap_socket e forniscono un certificato autofirmato e un file chiave. La mia domanda è: se qualche hacker riesce a connettersi alla mia rete WiFi e ad annusare il mio traffico, sarà in grado di "registrare" le mie richieste di disarmamento e inviarlo da solo (penso che si chiami un attacco di replay?) O è HTTPS totalmente crittografato quindi tutto ciò che può vedere è senza senso.

Sto pianificando di scrivere un'applicazione Android come client per inviare le richieste REST di disarmo localmente. Sono richieste configurazioni speciali sul lato client per sfruttare appieno HTTPS?

    
posta kevdliu 06.02.2018 - 02:00
fonte

1 risposta

1

Suppongo che tu possa inviare questo HTTP solo attraverso la rete Wifi interna ...? Un hacker dovrebbe mettere a punto la tua rete (questa dovrebbe essere la tua preoccupazione numero 1) e capire che stai armando il tuo allarme con comandi http che non saranno qualcosa che stanno cercando direttamente (se un hacker anonimo). Se ciò accade, sei nei guai ... ma se un hacker può accedere in remoto alla tua rete domestica sei nei guai. Come stai instradando i tuoi comandi http? Se li invii da "internet" al router avviando una connessione http esternamente ..., questo è un problema serio. Per lo meno è cattiva pratica, imo.

Per dare una risposta chiara: in entrambi i casi vale la pena usare alcune protezioni. Https / tls va bene. Oauth è un'altra opzione. Non permetterei che la sicurezza della mia famiglia sia associata a qualcosa che è vulnerabile a un semplice attacco di replay.

Questo è un ottimo articolo sintetico sulla sicurezza del riposo. link

    
risposta data 06.02.2018 - 04:55
fonte

Leggi altre domande sui tag