Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

ERRORE CERTIFICATO: Quella fastidiosa schermata di avviso...
Vai a Precedente  1, 2
 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
noid



Registrato: 02/09/08 12:55
Messaggi: 31

MessaggioInviato: Mer Mar 10, 2010 12:45 pm    Oggetto: Rispondi citando

mi aggiungo al discorso per qualche chiarimento...
in una sede universitaria cosa converrebbe fare?
io ho gli access point in wpa-psk con chiave comune distribuita ai vari studenti/docenti
e captive portal con autenticazione su active directory (attualmente senza ssl)

con il cp attivo potrei fare a meno della wpa? (pare strano ma ci sono ancora client in giro che hanno problemi)

il messaggio di errore che appare sui browser a causa del certificato puo' essere un problema...la gente va nel "panico" per MOLTO meno e vorrei evitare di avere 400 persone davanti alla porta che gridano all'unisono "internet non funziona"

riguardo startCom...io ho un dominio solo interno, si puo' usare lo stesso?
Top
Profilo Invia messaggio privato
Liverpaol
Ospite





MessaggioInviato: Mer Mar 10, 2010 4:53 pm    Oggetto: Rispondi citando

noid ha scritto:

il messaggio di errore che appare sui browser a causa del certificato puo' essere un problema.


Redfive diceva:

comunque, anche se non è propio ortodosso , supponendo che il captive portal sia attivo sull'interfaccia ETH00 con ip 192.168.0.75 ,si può creare un host con hostname ' 192.168 ' e sotto , in dominio ' 0.75 ' , submit ,
quindi in captive portal , authtentication , X.509 Host Certificate selezionare
OU =Host , CN = 192.168.0.75 e salvare. disconnettersi dalla rete ,chiudere explorer , riaprirlo ed installare il certificato (da visualizza certificato a dx della barra indirizzi )

Io non ho ancora provato perchè prima volevo capire due cose.
Ma è un bel casino.
Ndk mi sconsiglia addirittura il captive portal per il radius!
Ma non ho mica voglia di "imparare" ad impostare il radius.
Ndk ti chiedo una cosa sennò non finisco più questo lavoro:
Tu dicevi di procurarsi un certificato con startcom. Ma se io riabilito semplicemente l'https di zeroshell qual'è la differenza?
Non c'è comunque un certificato?
Se sono domande banali scusatemi, ma è un bel casino per me.
Top
NdK



Registrato: 27/01/10 12:36
Messaggi: 500

MessaggioInviato: Ven Mar 12, 2010 9:01 am    Oggetto: Rispondi citando

noid ha scritto:
mi aggiungo al discorso per qualche chiarimento...
in una sede universitaria cosa converrebbe fare?
io ho gli access point in wpa-psk con chiave comune distribuita ai vari studenti/docenti
e captive portal con autenticazione su active directory (attualmente senza ssl)

È una configurazione piuttosto insicura. Per tutti coloro che hanno la chiave, il wifi è in chiaro.
noid ha scritto:
con il cp attivo potrei fare a meno della wpa? (pare strano ma ci sono ancora client in giro che hanno problemi)

È ora che si aggiornino. Triste ma vero. Una macchina che non supporti WPA, oramai, non credo proprio possa soddisfare i requisiti minimi di sicurezza previsti dalla legge, quindi è bene che non possa entrare in rete.

noid ha scritto:
il messaggio di errore che appare sui browser a causa del certificato puo' essere un problema...la gente va nel "panico" per MOLTO meno e vorrei evitare di avere 400 persone davanti alla porta che gridano all'unisono "internet non funziona"

riguardo startCom...io ho un dominio solo interno, si puo' usare lo stesso?

IIUC StartCom rilascia certificati solo per domini di primo livello (uniXX.it per es.). Se vuoi un certificato per dipABC.uniXX.it devi rivolgerti ad altri.
Il nome nel certificato DEVE essere il nome DNS con cui viene acceduto il cp. Il certificato DEVE essere emesso da una CA presente nel DB "standard" (e quindi, generalmente, a pagamento), oppure deve essere aggiunto manualmente il certificato della CA a quelli fidati.
Se l'università è sufficientemente "sveglia", si può dotare di una CA interna. Se è questo il caso, allora dovrai solo far aggiungere il certificato della CA interna a tutti quelli che ti chiedono l'accesso, e non avranno più finestre di avviso. Ovviamente, il certificato di ZS dovrà essere firmato o emesso dalla CA interna...
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 500

MessaggioInviato: Ven Mar 12, 2010 9:42 am    Oggetto: Rispondi citando

Liverpaol ha scritto:
Ndk mi sconsiglia addirittura il captive portal per il radius!
Ma non ho mica voglia di "imparare" ad impostare il radius.

Mi sa che ti tocca... Se vuoi offrire sicurezza ai tuoi utenti e pararti il fondoschiena... "Fare sicurezza" non è facile. Non lo è mai stato e (probabilmente) mai lo sarà. ZS può aiutare ad ottenere un discreto grado di sicurezza, ma va usato bene e tenendo presenti limitazioni e punti deboli dei vari sistemi. Se un "esperto" ti dice "fai così e sarai sempre al sicuro" (e non ti sta dicendo di tenere il PC spento e fuori rete), è un incompetente e non vale quello che lo paghi (neppure se viene gratis!).

Quello che ti sconsiglio io è il cp per il wifi. Se poi il cp è in chiaro (niente https, o certificato non validabile perché auto-firmato), allora non serve a nulla (non blocca un attacco man-in-the-middle, per esempio con un altro AP che si "spaccia" per il tuo, anche lui con certificato auto-firmato ma che intercetta le credenziali e le verifica sull'AP "buono").
Se fossi un perito ed un giudice mi chiamasse per valutare se sono state prese le misure minime, con wifi in chiaro (o WPA-PSK) + cp con certificato di default, molto probabilmente direi di no. Con WPA+Radius, invece, partirei con un "si", salvo constatare gravi errori nella configurazione.

Liverpaol ha scritto:
Ndk ti chiedo una cosa sennò non finisco più questo lavoro:
Tu dicevi di procurarsi un certificato con startcom. Ma se io riabilito semplicemente l'https di zeroshell qual'è la differenza?
Non c'è comunque un certificato?
Se sono domande banali scusatemi, ma è un bel casino per me.

Mi pare che qui manchino delle basi teoriche sul funzionamento dei certificati...
Allora (scusate se "faccio il prof", ma alcuni concetti sono assolutamente necessari e se non sono chiari si fa solo confusione, e mi perdonino gli esperti se semplifico moltissimo):
crittografia a chiave pubblica: vengono usate due chiavi diverse ma correlate, una per cifrare ed una per decifrare -- ciò che viene cifrato con la chiave pubblica può essere decifrato solo con la segreta (e viceversa, per la "firma digitale")
certificato: una serie di dati che formano l'"identità" di un'entità (compresa la sua chiave pubblica), firmati con la chiave segreta di un'altra entità detta CA

Quando un client si collega in https, riceve dal server il certificato di tale server. Ma, per poterlo ritenere valido, ha bisogno di poter verificare la firma della CA che lo ha rilasciato. Un certo insieme di queste chiavi pubbliche di CA è normalmente compreso col sistema (in linux c'è il pacchetto "rootcerts") e/o col browser. Quindi, se il certificato è stato firmato da una di queste entità il browser lo ritiene affidabile e visualizza il lucchettino. Se invece il certificato non è stato firmato da una di queste CA, iniziano le finestre di avviso. Si hanno infatti vari casi:
- il certificato è self-signed (quello di default di ZS): sicurezza quasi inesistente, dato che chiunque può creare un certificato del genere coi dati che vuole
- il certificato è firmato da una CA non riconosciuta: la sicurezza è solo leggermente migliore che nel caso precedente, dato che un attaccante potrebbe aver creato una CA "ad hoc" per far credere che il certificato è sicuro
- il certificato è per un host diverso da quello riportato nell'URL: ovviamente, anche se "formalmente" valido, viene segnalato errore perché l'identità richiesta dall'utente non è quella presente nel certificato
Le cose possono notevolmente complicarsi con le catene di fiducia (certificati di CA intermedie firmati da altre CA intermedie... firmati da root CA) e non è il caso di affrontare qui l'argomento.

Per tornare alla tua domanda "non c'è comunque un certificato?", la risposta è ni...
Nel senso che c'è un certificato, ma auto-firmato da ZS, quindi con sicurezza bassissima. Per questo viene fuori la finestra di richiesta convalida.
Se non vuoi che l'utente veda tale finestra, devi avere un certificato emesso da una CA riconosciuta. Può essere riconosciuta perché inclusa nell'elenco in dotazione al browser o perché la hai aggiunta manualmente su ogni client, ma il discorso non cambia.

Spero di non aver annoiato troppo... Smile
Top
Profilo Invia messaggio privato
Liverpaol
Ospite





MessaggioInviato: Ven Mar 12, 2010 10:52 am    Oggetto: Rispondi citando

Grazie Ndk,quelli come te rendono internet la più grande invenzione del secolo.

Mi stai quasi convincendo al radius.
Però,cercando io di fare un hotspot wifi, non posso impostare i pc degli utenti.
Parlo di startcom. Dicevi che i client dovrebbero scaricarsi il certificato,ma come faranno se ancora non saranno connessi a internet?
Esattamente dicevi che "una volta che lo scarico, lo dovrei esportare e reimpostare su ogni pc".
Che procedura consigli? Può essere che lo metto su una chiavetta?
Top
NdK



Registrato: 27/01/10 12:36
Messaggi: 500

MessaggioInviato: Ven Mar 12, 2010 11:29 am    Oggetto: Rispondi citando

Liverpaol ha scritto:
Grazie Ndk,quelli come te rendono internet la più grande invenzione del secolo.

Grazie, ma sono solo un appassionato all'argomento... Ho raccolto parecchie cose (anche se più specialistiche) sul mio http://www.openalarm.info . Puoi trovarci un po' di cose carine.

Liverpaol ha scritto:
Mi stai quasi convincendo al radius.

Spero di poter togliere il "quasi"...

Liverpaol ha scritto:
Però,cercando io di fare un hotspot wifi, non posso impostare i pc degli utenti.
Parlo di startcom. Dicevi che i client dovrebbero scaricarsi il certificato,ma come faranno se ancora non saranno connessi a internet?
Esattamente dicevi che "una volta che lo scarico, lo dovrei esportare e reimpostare su ogni pc".
Che procedura consigli? Può essere che lo metto su una chiavetta?

Attenzione. Il certificato viene scaricato come parte del protocollo, in modo completamente automatico e trasparente.
Se usi wpa-enterprise, addirittura (e se ricordo giusto), il certificato viene inviato al client prima ancora che questo possa acquisire un indirizzo tramite DHCP (e serve proprio per evitare che un AP fasullo possa rubarti le credenziali). Infatti TCP/IP è un protocollo a più alto livello. La fase di handshake può avvenire utilizzando esclusivamente trame ethernet, dove contano solo i MAC address (fissi).

Quindi tu dovrai solo creare le credenziali iniziali per gli utenti, e tutto il resto viene gestito automaticamente. Ovviamente dopo che avrai impostato lo stesso segreto condiviso tra radius server e radius client (l'AP). Radius infatti usa crittografia simmetrica (la stessa chiave serve sia per cifrare che per decifrare).

Spero, con questo, di aver eliminato quel "quasi" Smile
Top
Profilo Invia messaggio privato
noid



Registrato: 02/09/08 12:55
Messaggi: 31

MessaggioInviato: Ven Mar 12, 2010 12:11 pm    Oggetto: Rispondi citando

Citazione:

Se l'università è sufficientemente "sveglia", si può dotare di una CA interna. Se è questo il caso, allora dovrai solo far aggiungere il certificato della CA interna a tutti quelli che ti chiedono l'accesso, e non avranno più finestre di avviso. Ovviamente, il certificato di ZS dovrà essere firmato o emesso dalla CA interna...


mhmhm...potrei muovemi in questa direzione..


riguardo il tuo consiglio di usare radius+wpa
e' possibile autenticare anche le connessioni ethernet?
perche' oltre al wifi avrei un centinaio di client fissi..
inoltre gli utenti possono essere presi ugualmente da active directory?
aiut'..ho bisogno di un caffe' Laughing

mi unisco ai rigraziamenti di liverpaol Smile
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 500

MessaggioInviato: Ven Mar 12, 2010 3:34 pm    Oggetto: Rispondi citando

noid ha scritto:
mhmhm...potrei muovemi in questa direzione..

Devono essere MOLTO svegli e dedicare parecchie risorse allo scopo. Non ho idea di cosa serva per entrare tra i rootcert, ma un accreditamento governativo dovrebbe essere d'obbligo. È economicamente vantaggioso solo se si devono emettere un gran numero di certificati.

noid ha scritto:
riguardo il tuo consiglio di usare radius+wpa
e' possibile autenticare anche le connessioni ethernet?
perche' oltre al wifi avrei un centinaio di client fissi..
inoltre gli utenti possono essere presi ugualmente da active directory?

Non con Radius+WPA. Per il cavo ci sono varie soluzioni:
- 802.1x (con switch che lo supportino): lo switch "sente" il cambio di stato della porta ed associa la porta al MAC address dopo l'autenticazione (si aggira inserendo un hub e spoofando l'IP ed il MAC address di un utente nel momento in cui si disconnette) -- capirai perché non mi piace...
- captive portal: semplice e robusto; se il cp usa https e gli utenti si abituano a disconnettersi usando il tastino apposito invece che chiudendo la finestra, è robusto (altrimenti un attaccante ha tempo dalla disconnessione al refresh per spoofare l'IP dell'utente disconnesso; passato il tempo di refresh viene sbattuto fuori)
- vpn: più complessa da settare ma decisamente molto più versatile; il lato negativo è che carica di più il gateway, ma permette l'autenticazione dei client con certificato.

Che preferisci?
Top
Profilo Invia messaggio privato
noid



Registrato: 02/09/08 12:55
Messaggi: 31

MessaggioInviato: Ven Mar 12, 2010 6:40 pm    Oggetto: Rispondi citando

NdK ha scritto:

Devono essere MOLTO svegli e dedicare parecchie risorse allo scopo. Non ho idea di cosa serva per entrare tra i rootcert, ma un accreditamento governativo dovrebbe essere d'obbligo. È economicamente vantaggioso solo se si devono emettere un gran numero di certificati.


lol...capito male io. niente CA interna

Citazione:

Non con Radius+WPA. Per il cavo ci sono varie soluzioni:
- 802.1x (con switch che lo supportino): lo switch "sente" il cambio di stato della porta ed associa la porta al MAC address dopo l'autenticazione (si aggira inserendo un hub e spoofando l'IP ed il MAC address di un utente nel momento in cui si disconnette) -- capirai perché non mi piace...
- captive portal: semplice e robusto; se il cp usa https e gli utenti si abituano a disconnettersi usando il tastino apposito invece che chiudendo la finestra, è robusto (altrimenti un attaccante ha tempo dalla disconnessione al refresh per spoofare l'IP dell'utente disconnesso; passato il tempo di refresh viene sbattuto fuori)
- vpn: più complessa da settare ma decisamente molto più versatile; il lato negativo è che carica di più il gateway, ma permette l'autenticazione dei client con certificato.

Che preferisci?


captive portal..
semplice anche per l'utente
a questo punto per il certificato vedo se riesco ad ottenerne uno a pagamento cosi' da risolvere il problema dei browser
per quanto riguarda il radius...devo studiarci un po' su
thanks!
Top
Profilo Invia messaggio privato
Liverpaol
Ospite





MessaggioInviato: Sab Mar 13, 2010 11:53 am    Oggetto: Rispondi citando

"L'utilizzo di WPA2 con un server RADIUS 802.1x offre altissime garanzie di sicurezza e di confidenzialità dei dati al prezzo di una non immediata configurabilità dei client degli utenti, che spesso necessitano di supporto da parte degli amministratori. Ciò non è accettabile in un ambiente pubblico come un HotSpot di un aeroporto o di un albergo. In questi luoghi, si è andata diffondendo la tecnica del Captive Portal, in cui un client che si trova nella rete Wi-Fi viene comunque da subito associato agli Access Point e assegnato un indirizzo IP."

Prima che mi cimenti nel radius, mi potresti dire quali problemi di configurazione potrebbero essere?
Top
NdK



Registrato: 27/01/10 12:36
Messaggi: 500

MessaggioInviato: Lun Mar 15, 2010 8:32 am    Oggetto: Rispondi citando

Liverpaol ha scritto:
"L'utilizzo di WPA2 con un server RADIUS 802.1x offre altissime garanzie di sicurezza e di confidenzialità dei dati al prezzo di una non immediata configurabilità dei client degli utenti, che spesso necessitano di supporto da parte degli amministratori. Ciò non è accettabile in un ambiente pubblico come un HotSpot di un aeroporto o di un albergo. In questi luoghi, si è andata diffondendo la tecnica del Captive Portal, in cui un client che si trova nella rete Wi-Fi viene comunque da subito associato agli Access Point e assegnato un indirizzo IP."

Prima che mi cimenti nel radius, mi potresti dire quali problemi di configurazione potrebbero essere?

Mah... Impostare il tipo di autenticazione e di cifratura, direi... Qui si è risolto distribuendo un file pdf con le istruzioni per i vari SO, visto che soprattutto win non riesce ad azzeccare automaticamente le impostazioni corrette (IIRC tenta di usare AES invece di TKIP ed ovviamente fallisce). Mac non ha problemi. Linux o non ne ha (Ubuntu) o proprio non si connette (Mandriva) -- visto che io uso Mandriva sto indagando...
Comunque, intendiamoci, non dico che cp "è il male"... Solo, bisogna essere BEN consapevoli di quali sono i pregi ed i difetti di ogni sistema. Per un aeroporto può andare benissimo il cp, dato che la stragrande maggioranza degli utenti è one-shot e si connetterà solo per pochi minuti. Per un bar è già da valutare meglio: da un lato il cp favorisce gli utenti "mordi e fuggi", dall'altro wpa fa sentire più tranquilli gli utenti e li fidelizza meglio (se uno ci mette 5 minuti per configurare la connessione, è più facile che si fermi anche a bere qualcosa, e la volta successiva preferirà tornare lì piuttosto che andare nel bar vicino, visto che ha già la connessione impostata)...
E, volendo, le due opzioni possono coesistere (con due AP o con uno solo multi-SSID).
Top
Profilo Invia messaggio privato
svenny



Registrato: 18/09/08 12:11
Messaggi: 245

MessaggioInviato: Mar Apr 13, 2010 10:10 am    Oggetto: Rispondi citando

Sarei interessato anche io a installare sul mio ZS, un certificato prodotto da una CA riconosciuta, ma ho un piccolo dubbio: visto che il Captive Portal di ZS redirige il browser dell'utente verso la pagina di autenticazione e che questa pagina è identificata da un IP e non da un nome a dominio, inoltre visto che i certificati vengono rilasciati per un nome a dominio e non per un IP, questa soluzione mi sembra irrealizzabile.

Per riconoscere il Captive Portal "buono" da quello "malevolo", stavo pensando all'utilizzo delle impronte digitali del certificato di ZS (md5 o sha1). In questo modo, consegnando all'utente un foglio con su le impronte digitali del certificato dell'host zeroshell.example.com, l'utente avrà la possibilità di confrontare le impronte in suo possesso con quelle che gli vengono proposte dal browser, evitando così di consegnare le proprie credenziali in mani ostili.

Cosa ne pensate?
Top
Profilo Invia messaggio privato
Pennellone



Registrato: 06/11/13 09:40
Messaggi: 14

MessaggioInviato: Gio Nov 07, 2013 4:32 pm    Oggetto: Rispondi citando

Scusate se riesumo questo thread, ma non volevo crearne uno nuovo che avesse all'incirca stesso titolo e richieste.. Ho un hotspot con Zerotruth e Zeroshell e vorrei far scomparire la finestra del certificato non sicuro. Ho letto tutti i vari post ma, nel pratico, non so come agire (cosa fare nello specifico dopo aver scaricato il certificato, se ve ne sono quali configurazioni cambiare sul sistema ecc.). Qualcuno può darmi una mano?
Top
Profilo Invia messaggio privato
EmmeKappa



Registrato: 07/05/10 12:51
Messaggi: 315

MessaggioInviato: Gio Dic 12, 2013 12:34 pm    Oggetto: Rispondi citando

forse non ho capito bene ...

ma vi servono certificati ????

ok !! ... non potete farveli da soli ????

XCA - X Certificate and key management

http://xca.sourceforge.net/
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 500

MessaggioInviato: Gio Feb 06, 2014 12:50 pm    Oggetto: Rispondi citando

Il problema è che i certificati "fai da te" fanno comparire all'utente la finestrella "sito non affidabile".

Perché non compaia, bisogna rivolgersi ad una CA affidabile. Se non fosse così, https non servirebbe a nulla: chiunque potrebbe spacciarsi per la tua banca semplicemente creandosi un certificato autofirmato.

E comunque non serve usare XCA per questo: la CA in ZS è più che adeguata (almeno per l'uso base).
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Vai a Precedente  1, 2
Pagina 2 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it