Router konfigurieren - Sicherheitsabfrage und Zertifikat

Adrian Schmutzler mail at adrianschmutzler.de
Fr Dez 14 16:47:37 CET 2018 

Hallo,

 

nur der Vollständigkeit halber:

 

Man kann sich sowas natürlich selbst bauen, ich habe das mehr aus Spaß in meiner jubtl Firmware realisiert:

 

Zunächst mal braucht man einen DNS-Namen für die Router, was sich z.B. mit Daten vom Monitoring bauen lässt, sodass die DNS-Namen auf fd43 zeigen. Allein für sich ist das schon ekelig genug.

 

Dann braucht man ein Wildcard-Zertifikat für die verwendete Domain. Da ich kein Autoenrollment eingebaut habe, muss man ein Zertifikat erstellen, dass eine entsprechend lange Laufzeit hat (z.B. zwei Jahre). Da geht natürlich nicht mit Lets Encrypt o.ä., also habe meine lokale CA ohne Trust-Chain dafür genommen. Auf meinen eigenen Geräten füge ich die CA dann halt zu den Trusted Root Cert Authorities hinzu.

Die Certs werden in die jubtl-Firmware fest mit eingebaut, man muss dann halt alle 1-1.5 Jahre ein neues Cert erstellen und in die neue FW einbauen, damit es sich verteilen kann, bevor es abläuft.

 

Klingt umständlich, ist es auch. Aber es funktioniert. (Man muss dann allerdings auch über den DNS-Namen verbinden und nicht über die IP-Adressen).

Und es ist eine Lösung, die jedem Nutzer offen steht, ohne das Mitwirkung anderer notwendig wäre.

 

Schwachstellen sind der Aufwand, das fehlende Autoenrollment, die Notwendigkeit das CA-Cert hinzufügen zu müssen, und insbesondere auch der DNS-Server. Also alles ;-)

 

Beste Grüße

 

Adrian

 

 

 

From: franken [mailto:franken-bounces at freifunk.net] On Behalf Of Philipp Schwab
Sent: Freitag, 14. Dezember 2018 10:41
To: fff at mm.franken.de; Freifunk Franken <franken at freifunk.net>
Subject: Re: Router konfigurieren - Sicherheitsabfrage und Zertifikat

 

Das Problem ist, dass in diesem Fall der Router von außen zumindest für die Validierung eines Hostnames erreichbar sein muss.

Dies könnte man sicherlich bewerkstelligen, fraglich aber ob man das möchte, dass die Router aus dem Internet erreichbar sind.

Dann muss automatisch ein Hostname in ein DNS eingetragen werden, dies dauert eine Zeit x und danach erst könnte diese Validierung stattfinden.

Alternativ wäre, man rollt ein Zertifikat mit Key aus..., aber allein diese Überlegungen verbieten sich, da kann man das https gleich weglassen.

VG
Mike

Am Freitag, Dezember 14, 2018 10:24 CET, fff at mm.franken.de <mailto:fff at mm.franken.de>  schrieb:
 

	Hallo Steffen,
	
	> egal ob Du lokal oder über dem Link im Monitoring auf den Router
	> zugreifst, der Router macht eine Passwortabfrage. Diese möchte er über
	> https absichern.
	
	Ok.
	
	> Deswegen erzeugt er ein eigenes Zertifikat,
	> was natürlich dem Browser nicht bekannt sein kann,
	> weil es nicht über eine öffentliche Zertifizierungsstelle bekannt ist.
	
	Wieso verwenden wir nicht eines der freien und öffentlichen Zertifikate?
	
	Das würde zumindest die verunsichernden Warnungen verhindern,
	und das m.E. unsinnige Wegklicken derselben.
	
	Denn wer bei FFF lernt, dass man Sicherheitswarnungen einfach wegklickt
	(weil man angewiesen wird zu vertrauen), der "vertraut" öglicherweise
	auch mal an anderer Stelle - und läuft damit in sein Verderben...
	
	> Deswegen musst Du die Sicherheit bestätigen.
	> Du weißt, dass es so ist und deswegen kann man dem auch vertrauen.
	
	Irgendwo habe ich mal gehört, dass auch Zertifikate manchmal nur eine
	Scheinsicherheit ermöglichen (aber das wäre eine andere Diskussion).
	
	Mit herzlichem Gruss,
	Markus
	
	
	> Am 13.12.2018 um 22:18 schrieb fff at mm.franken.de <mailto:fff at mm.franken.de> :
	>> Hi Sebastian,
	>>
	>>> Ich geh davon aus du meinst die zu bestätigenden Zertifikate im Browser,
	>>> das gehört dazu.
	>> Wieso?
	>> Fehlende oder abgelaufene Zertifikate...?
	
	 




 
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.freifunk.net/pipermail/franken-freifunk.net/attachments/20181214/8eac13a2/attachment-0001.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 834 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.freifunk.net/pipermail/franken-freifunk.net/attachments/20181214/8eac13a2/attachment-0001.sig>

Mehr Informationen über die Mailingliste franken