Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Ancora sui certificati X509...

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
Joele



Registrato: 01/05/07 16:35
Messaggi: 38
Residenza: Catania

MessaggioInviato: Lun Mag 12, 2008 12:05 pm    Oggetto: Ancora sui certificati X509... Rispondi citando

Salve a tutti,
questa la situazione:

un client aggancia l'acces point ,gli viene assegnato un ip automaticamente ,cerca di navigare e entra in azione il captive portal, ma se il cliente digita l'indirizzo del gateway zeroshell, gli viene proposto user e password per admin, ma oltre a questo vengono proposti dei link all'elenco degli user, ca,host e crl.Il cliente clicca su user ed ottiene la lista degli user.Clicca su un user che non e' il suo ed esporta il certificato.
Fatto questo installa il certificato e si logga con X509 appena "rubato".

Non e' possibile eliminare quei link nella pagina di autenticazione di Zeroshell,oppure sbaglio qualcosa io??
Spero di essere stato chiaro..

Grazie.
_________________
Joele...
Top
Profilo Invia messaggio privato
argaar



Registrato: 21/11/07 10:48
Messaggi: 115
Residenza: Roma

MessaggioInviato: Lun Mag 12, 2008 12:20 pm    Oggetto: Rispondi citando

avevo segnalato più o meno questa problematica a fulvio tempo fa.
per risolvere devi effettuare due semplici passi:

1) disabilitare l'autenticazione nel captive portal tramite x.509

2) nella prima schermata (dove specfichi lo storage) è presente un tab per l'https, apri e configura li il solo ip (o la sola subnet) da cui è consentito l'accesso alla pagina di amministratore, io ti proporrei addirittura (se puoi) di specificare una rete diversa da quelle usate e possibilmente pure su una shceda a parte, in alternativa ti basta settare un ip che NON sia compreso nel range che il dhcp assegna

non so quando ma fulvio mi aveva detto che almeno la questione dei certificati sarebbe stata risolta utilizzando una funzione che fa si che il certificato scaricato potesse essere installato solo dopo aver inserito la password del certificato stesso...(resta inteso di restringere l'accesso all'https)
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Mag 12, 2008 7:29 pm    Oggetto: Rispondi citando

Citazione:

Clicca su un user che non e' il suo ed esporta il certificato.
Fatto questo installa il certificato e si logga con X509 appena "rubato".


Ovviamente supponi che le cose stiano così, ma non credo tu sia riuscito ad attuare il tuo piano all'apparenza furbo.
L'errore in cui si cade spesso è quello di considerare i certificati X.509 capaci di autenticare un utente e quindi oggetti da difendere. Non è così. Un certificato non è altro che l'insieme dei dati identificativi di un utente/server/servizio e della parte pubblica della chiave RSA. Il tutto firmato dalla CA che ne certifica l'originalità e la non contraffazione. Come vedi un certificato non contiene invece la chiave privata che è quella che va custodita gelosamente, eventuamente cifrata con passphrase.
Poiché tra i compiti di una certification authority dovrebbe esserci quello di pubblicare i certificati, Zeroshell lo fa nella sua pagina web di login.
Mi rendo conto che la cosa può suscitare perplessità, ma rendere pubblici i certificati che non contengono la chiave privata non è per niente un operazione rischiosa.

In altre parole se vuoi autenticarti sul captive portal tramite login X.509, non ti basta caricare nel browser un certificato, ma devi aggiungerci la chiave privata correlata a quella pubblica contenuta in esso. Zeroshell permette di esportare la chiave privata solo all'utente admin o al legittimo proprietario tramite login con username e password nell'interfaccia.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
faithful



Registrato: 05/05/08 12:28
Messaggi: 23

MessaggioInviato: Mar Mag 13, 2008 10:19 pm    Oggetto: Rispondi citando

fulvio ha scritto:
Citazione:

Clicca su un user che non e' il suo ed esporta il certificato.
Fatto questo installa il certificato e si logga con X509 appena "rubato".


Ovviamente supponi che le cose stiano così, ma non credo tu sia riuscito ad attuare il tuo piano all'apparenza furbo.
L'errore in cui si cade spesso è quello di considerare i certificati X.509 capaci di autenticare un utente e quindi oggetti da difendere. Non è così. Un certificato non è altro che l'insieme dei dati identificativi di un utente/server/servizio e della parte pubblica della chiave RSA. Il tutto firmato dalla CA che ne certifica l'originalità e la non contraffazione. Come vedi un certificato non contiene invece la chiave privata che è quella che va custodita gelosamente, eventuamente cifrata con passphrase.
Poiché tra i compiti di una certification authority dovrebbe esserci quello di pubblicare i certificati, Zeroshell lo fa nella sua pagina web di login.
Mi rendo conto che la cosa può suscitare perplessità, ma rendere pubblici i certificati che non contengono la chiave privata non è per niente un operazione rischiosa.

In altre parole se vuoi autenticarti sul captive portal tramite login X.509, non ti basta caricare nel browser un certificato, ma devi aggiungerci la chiave privata correlata a quella pubblica contenuta in esso. Zeroshell permette di esportare la chiave privata solo all'utente admin o al legittimo proprietario tramite login con username e password nell'interfaccia.

Saluti
Fulvio

Però il problema dell'enumerazione degli utenti rimane o sbaglio?
Ovvero ottengo solo i certificati con la chiave pubblica degli utenti ma ottengo anche la lista di tutti gli utenti.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mar Mag 13, 2008 11:00 pm    Oggetto: Rispondi citando

Già. Ma questo è un altro discorso.
Con questo mi convinci a mettere un flag che abiliti e disabiliti la pubblicazione dei certificati.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
Joele



Registrato: 01/05/07 16:35
Messaggi: 38
Residenza: Catania

MessaggioInviato: Mar Mag 13, 2008 11:21 pm    Oggetto: OK Rispondi citando

OK.Adesso ho capito il meccanismo...
Sono contento e vedo la mia rete ancora piu' sicura...

Grazie mille delle delucidazioni a te Fulvio e tutti gli altri...
_________________
Joele...
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it