LAMP MailServer senza SSL ... quindi qual è il problema?

0

Voglio configurare un MailServer su Ubuntu per il mio sito web e accedere all'e-mail dal mio client POP3 senza abilitare la crittografia SSL (suppongo che SSL sia usato per crittografare la password?).

Le mie domande sono:

  1. Che cosa è possibile fare per un "attore cattivo" in uno scenario del genere?

  2. Una volta ho letto che tutti i dati su Internet sono crittografati in un modo o nell'altro ... quindi perché SSL fa una così grande differenza?

Nota : il motivo per cui voglio farlo senza SSL è che voglio utilizzare GMail come mio client POP3 e si rifiuta di leggere un certificato SSL autofirmato. Non voglio passare attraverso i fastidi o pagare per un certificato SSL commerciale.

Aggiornamento : sono a conoscenza dei certificati gratuiti. via StartSSL, ma sembra un sacco di problemi da configurare ... a quanto pare vale la pena, però.

    
posta thanks_in_advance 30.07.2015 - 01:49
fonte

2 risposte

2

I suppose the SSL is used to encrypt the password

No, SSL non riguarda la crittografia delle password, è il comune fraintendimento. SSL sta piuttosto stabilendo un collegamento crittografato tra un server e un client come un server web (sito Web) e un browser, o un server di posta e un client di posta.

I once read that all data on the internet is encrypted in some way or the other.

Non sono sicuro di dove leggi questo, ma è anche un malinteso comune. Tali punti di vista risalgono a quando i famosi siti Web che si occupavano di enormi volumi di traffico osavano utilizzare i moduli di accesso su una pagina HTTP come era stato usato da Facebook:

NontuttelepersonesonoconsapevolidelfattocheFacebookinquelmomentostavainoltrandolerichiestediaccessosuuncanaleSSL(HTTPS).QuindiscenaricomequestoportanopochepersoneapensareinquestomodoancheseFacebooknongestiscepiùilmodulodiloginsuunapaginaHTTP( vulnerabile all'attacco man-in-the-middle )

What is possible for a "bad actor" to do in such a scenario?

POP3 è uno dei servizi preferiti che gli hacker amano affrontare non solo a causa della sua elevata insicurezza, come puoi leggere qui How (in) secure è POP / IMAP / SMTP e le comuni ma gravi vulnerabilità di cui soffre frequentemente ma L'insicurezza POP3 va oltre :

It's probably not the security of the login, if they indeed have SSL/TLS enabled. It's probably more an issue of security regarding the e-mail content itself.

POP3 is different than MAPI/IMAP fundamentally because the messages are not retrieved and removed from the server in MAPI/IMAP, but they are with POP3. This means it's easier to lose e-mail in POP3 environments because it gets permanently removed from the server.

    
risposta data 30.07.2015 - 08:59
fonte
4

1) L'uso di POP3 non crittografato ti apre a tutti i tipi di exploit. In genere, non ti preoccuperai di qualcuno che intercetta la tua posta o, soprattutto, delle credenziali di accesso, tramite Internet. Le persone che lo fanno dovrebbero avere accesso a internet exchange, router ISP,. Può succedere, ma non è così comune.

Ciò che accade di frequente è che le credenziali non crittografate vengono osservate su una rete locale, tramite accesso legittimo al router / switch o osservando il traffico WiFi. Ad esempio, i sistemi di rilevamento delle intrusioni come lo snort sono spesso configurati di default per avvisare su questo e mostrare all'amministratore il tuo nome utente / password. In un ambiente con privacy discutibile sulla rete locale, ad es. un coffeeshop o all'interno di un ambiente aziendale.

Quindi è possibile che un cattivo attore interceda il flusso di posta, ma semplicemente recuperi il tuo login / password e il login come te. Possono quindi provare questa combinazione password / nome utente su altri siti o inviare reimpostazioni di password ad altri siti come Facebook e quindi accedere alla tua e-mail per il ripristino. Quindi, ti espone a una certa area di vulnerabilità.

Si noti che SSL su POP3 (POP3S) crittografa non solo lo scambio di password, ma tutti i dati in esso contenuti per impedire lo snooping su quali siano i contenuti della posta.

2) Non lo è. Se si inviano dati non crittografati su Internet, rimane non criptato end-to-end, anche all'interno delle reti locali / perimetrali di entrambe le estremità prima che il pacchetto raggiunga la destinazione interna. Ciò significa che chiunque si trova tra la rotta che i pacchetti prendono ha accesso alle informazioni contenute all'interno. SSL rimuove questa vulnerabilità applicando uno strato di crittografia, quindi solo le estremità che stanno comunicando possono vedere le informazioni.

Internet non è stato progettato per la sicurezza, è stato progettato per la velocità e la resilienza. Poi, è diventato come il selvaggio West per gli hacker, quindi sono stati aggiunti livelli di sicurezza come SSL per renderlo più sicuro. Senza SSL o altra crittografia abilitata, sei molto più suscettibile agli attacchi che sono molto vecchi, ben noti e non devono essere molto sofisticati.

    
risposta data 30.07.2015 - 03:04
fonte

Leggi altre domande sui tag