Come proteggere i dati di testo chiaro trasmessi attraverso la connessione LAN / LAN wireless e VPN PPTP senza un nome di dominio (solo indirizzo IP)

Naviga le tue risposte
1

Usiamo Odoo ERP nel nostro ufficio e c'è una dichiarazione nella documentazione che dice:

Whether it's accessed via website/web client or the webservice, Odoo transmits authentication information in cleartext. This means a secure deployment of Odoo must use HTTPS3.

Mi è venuto in mente dal momento che accediamo principalmente al server localmente o tramite la connessione VPN PPTP, ma dobbiamo ancora proteggere la connessione usando SSL?

E se sì, come possiamo ottenerlo dal momento che SSL è legato a un nome di dominio mentre usiamo solo l'indirizzo IP.

Ho letto che Windows PPTP VPN ha un motore di crittografia incorporato è abbastanza sicuro?

E c'è questa preoccupazione riguardo allo sniffare software come wireshark che può decodificare la connessione WPA2PSK Wi-Fi locale. Tutorial per farlo . Inoltre, accediamo al server tramite la connessione Wi-Fi pubblica, il che significa che la chiave è condivisa con tutti.

Qual è il modo migliore per proteggere tutte queste connessioni (LAN, Wifi LAN, VPN PPTP)?

    
posta William 31.08.2016 - 18:32
fonte

3 risposte

1

Vai per HTTPS.

Al di là di tutto, probabilmente la tua VPN non terminerà sul tuo Odoo, quindi sarebbe potenzialmente possibile annusare le credenziali mentre transitano tra il sistema che esegue il tuo server VPN e quello che esegue Odoo.

L'implementazione di HTTPS assicurerebbe che la comunicazione (e le credenziali) siano crittografate fino al server Odoo.

Come punto di partenza, puoi generare un certificato autofirmato usando openssl con: 

openssl req -newkey rsa:2048 -keyout server.key -out server.pem -subj "/CN=myserver/O=myCorp"

Potresti anche esaminare qualcosa come cfssl ( link ) per generare una PKI "corretta" con una CA e un server / client certs.

In tutta onestà, il FQDN sarebbe bello (e potresti renderlo facile modificando i tuoi / etc / hosts, o equivalenti specifici del sistema), ma non è richiesto. Puoi, a parte tutto, aggiungere gli indirizzi IP ai certificati (come SAN - Nome soggetto alternativo) che verrebbero considerati "validi".

Il problema principale è che, a meno che non importi la tua catena CA nel tuo cert store browser / dispositivo, riceverai comunque degli avvisi sui certificati autofirmati. Dovresti cercare di evitarlo: indurre le persone ad ignorare gli avvisi di sicurezza è una brutta cosa ©.

Sembra che tu stia meglio usando la tua VPN solo a scopo di routing (in pratica, in modo che tu possa sempre parlare al tuo sistema allo stesso indirizzo RFC1918), ed evitare di esporre tutto questo ad internet in largo finché non sai hai tutto carino e bloccato.

    
risposta data 28.02.2017 - 10:39
fonte
0

Quanto è sicura la password in questo contesto? Insicuro

Perché?

  • PPTP è noto per essere insicuro da una prospettiva MITM.
  • HTTPS è sicuro se configurato correttamente. In questo caso sembra che il certificato sia stato inviato a un nome host ma gli utenti accedano al sito utilizzando un IP. Il browser probabilmente segnala la connessione come non sicura. Questa è un'altra opportunità MITM.

Perché non utilizzare HTTPS con un FQDN e un certificato rilasciato da una CA pubblica?

    
risposta data 31.08.2016 - 18:53
fonte
0

Esistono altre soluzioni al problema.

Usando (per esempio) stunnel, è possibile legare l'autenticazione al certificato presentato (in particolare, il suo hash) piuttosto che la combinazione di ca cert, firma cert, record cn e record dns.

In effetti il modello di fiducia è lo stesso di ssh, che potrebbe ugualmente essere usato per proteggere il traffico.

Ma se hai già una configurazione https convenzionale, usa semplicemente una connessione VPN con tunnelling e punta il resolver sul tuo file hosts o su un server a cui si accede tramite il vpn. PPTP non è abbastanza buono; usa ipsec, openvpn o simili.

    
risposta data 31.08.2016 - 20:40
fonte

Leggi altre domande sui tag

Crittografia per un sistema che supporta solo funzioni di crittografia di base [chiusa] Aiuto con le funzioni hash e le funzioni pseudo-casuali