¿ Carta blanca a estas cookies o no ?

Foro sobre todo tipo de tecnologías Wireless: Wi-Fi, Bluetooth, IrDA

Moderador: Moderadores

¿ Carta blanca a estas cookies o no ?

Notapor Newhack » Jue Sep 06, 2012 12:02 pm

Hola.

Pregunta de seguridad, como corresponde a wadalbertia.

Me he metido en el jaleo de intentar conectar un "radio-trasto" a una de esas comunidades wifi.
He estado a vueltas con ello durante las últimas semanas, pero poco a poco, y despues de múltiples problemas y dudas
parece que voy saliendo adelante, ya solo me falta presentarlo a la aprobación de los administradores de la red.

El aparato en si es una caja que tiene dentro, la antena wifi, para una conexión a 5 Ghz, las correspondientes etapas AF y demoduladores,
y un pequeño router dedicado que te da conexión al ordenador a traves de un conector ethernet, con lo cual resulta un todo-en-uno muy práctico para inexpertos.

La duda es que el aparato, supongo que por razones prácticas, a la hora de enlazar con el ordenador le presenta su certificado,
que es autofirmado por la empresa que lo montó, con lo cual el firefox (y otros navegadores web) se quejan de que el sitio que se ha conectado no es seguro.
Tanto para la conexión con 192.168.1.1 ( del router de la antena al ordenador ), como si intentas conectarte
a la ip pública del aparato, (la que ese aparato muestra "al exterior" ).

El firefox me da a elegir entre aceptar todas las cookies de ese sitio (la conexión con la antena) para siempre o rechazar dicha conexión.
Otros, como konqueror o epifany, permiten una tercera opción de aceptar o no cada cookie y solo durante esa sesión.
Un poco latoso, pero hasta estar seguro de lo que hago lo prefiero asi.

Entonces la pregunta es
- ¿ Hay algún potencial problema de seguridad si le digo que acepte todo lo que venga de esa ip sin mirar las certificaciones ?.

Es decir, si le digo "no te preocupes tanto por las firmas, acepta lo que venga de ahi y listos",
- ¿ podría estar creando un agujero de seguridad ?. Y en tal caso, ¿ como tapiarlo ?.
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1885
Registrado: Jue Dic 20, 2007 7:36 pm

Re: ¿ Carta blanca a estas cookies o no ?

Notapor Bebbop » Jue Sep 06, 2012 5:38 pm

Pues depende... (como no), lo mas seguro es que se queje porque el certificado de seguridad no corresponde con la url que estas accediendo o que la CA no esté dentro de las CAs permitidas por el navegador.

Esto suele ser normal en todo aparato que intentes acceder por SSL y lo configures por defecto, en uno de los pasos de la configuración seguro que está el ponerle un certificado correcto.
Avatar de Usuario
Bebbop
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 3424
Registrado: Mié Dic 14, 2005 2:46 pm
Ubicación: El Inframundo

Re: ¿ Carta blanca a estas cookies o no ?

Notapor Newhack » Dom Sep 09, 2012 6:51 pm

Bien. La CA en este caso será la fábrica misma supongo, y en cuanto al ordenador, es un portátil designado para las pruebas que no ha estado nunca antes en red.

En cuanto a hacerle un certificado correcto en el navegador, esto en el firefox por ejemplo ¿donde se ajusta?, porque no se exáctamente
que versión tengo instalada, pero estoy mirando aqui el del ciber, y en opciones --> avanzado hay para permitir verios tipos y servicios de certificación,
pero aqui ya me pierdo y no tengo ni idea de que permitir o por donde seguir.
( El del ciber declara ser un 3.6.4. )
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1885
Registrado: Jue Dic 20, 2007 7:36 pm

Re: ¿ Carta blanca a estas cookies o no ?

Notapor Newhack » Dom Sep 16, 2012 7:20 pm

¿ Y bien, que hacemos ?. ¿es seguro permitir o no?.
Yo por mi parte he mirado en el portátil en cuestión, el que estoy utilizando para estas pruebas, y el que tengo instalado es
el que viene con lenny, (iceweasel 3.0.6, un paralelo de firefox). he mirado lo de validar certificados, y las opciones que me ofrece son:
- utilizar el protocolo de certificion en linea OCSP
. y si lo haces:
. - validar el certificado si especifica un servidor ocsp.
. - validar todos los certificados contra un servidor que tu designas.

La otra opción es que si falla el servidor ocsp se trate el certificado como válido.

Es evidente que si el emisor es un aparato será dificil contactar con un servidor oficial.

Entre otras cosas hay también por ahi un visualizador de certificados, aunque los que aparecen parece que son C.A.
Suponiendo que en la lista llegue a aparecer el certificado del aparato,
¿ como se debería hacer para dar por bueno ese ?, y solo ese, ¿importar?, y entonces habrá que buscar el directorio o dispositivo donde se almacena fisicamente, o ... ?

También hay una lista de CRL para poder revocar certificados. Claro que lo que yo quiero no es revocar, si no todo lo contrario.


En fin, ¿un poquito de ayuda?, que como veis estoy hecho un lio.
La idea de aceptar un solo certificado y los demás que sigan preguntando me ha gustado, pero me pierdo al intentar hacerlo.
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1885
Registrado: Jue Dic 20, 2007 7:36 pm

Re: ¿ Carta blanca a estas cookies o no ?

Notapor Bebbop » Lun Sep 17, 2012 11:25 am

Mmmm... veamos...

Esto que comentas es una cosa normal que ocurre con todos los aparatos que se configuran por SSL, es decir, cuando se arranca el appliance por primera vez se genera un certificado "provisional" con su propia CA (cuando instalas un linux por primera vez tambien ocurre esto).
¿Porqué te dá un error de certificado? Pues logicamente el fabricante no sabe que IP le vas a poner y que FQDN va a tener con lo cual el certificado que genera es aleatorio. Si no quieres que salga el aviso de certificado incorrecto la unica solución es generar un certificado con una CA confiable o que dentro de tu compañia tengas tu propia CA que sea confiable por los equipos de la compañia (por ejemplo que distribuyas la CA a todos los equipos por politica de GPO).

No sé si me estoy saliendo de tu pregunta pero estos temas son normales y no suelen ser peligrosos.
Avatar de Usuario
Bebbop
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 3424
Registrado: Mié Dic 14, 2005 2:46 pm
Ubicación: El Inframundo

Re: ¿ Carta blanca a estas cookies o no ?

Notapor vlan7 » Lun Sep 17, 2012 10:07 pm

Entiendo que estas intentando instalar certificados para que cuando accedas desde tu firefox al puerto 443 de tu puerta de enlace, y quieres evitar la advertencia de certificado invalido pero solo para ti.

En todos los navegadores que he usado puedes importar certificados en herramientas o preferencias o como se llame y luego en seguridad o ya certificados. Cada navegador puede importar distintas extensiones.

¿Que servidor web corre en tu AP? Hazle un telnet al puerto 80, si por ejemplo es apache, podrias buscar en google alguna directiva que te ayude.

Si tienes muchos equipos, tendrias que distribuir el certificado a todos ellos como comenta Bebbop.

Imagino que esto lo puedes ejecutar en una GPO http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html

Quizas algo con

-t "CT,,"

Y tambien las utilidades pstools son tus amigas.

Un saludo,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: ¿ Carta blanca a estas cookies o no ?

Notapor Newhack » Mar Sep 18, 2012 7:36 pm

Bueno ... es que ahí está "lo interesante", que yo no tengo nivel para meterme a trastear con las politicas de grupo y de seguridad de los
ordenadores de una empresa grande.

Es un solo aparato de enlace dispuesto en una casa particular para una sola familia. Por tanto lo de contratar o crear y mantener una CA me pilla un poco lejos.

La idea sería mas bien que no de la lata pidiendo aprobaciones cada vez que refresca o cambia de página, (y si tienes 2 ó 3 pestañas cada una pide las suyas),
pero que si alguien intenta meterse por esa ip sin exibir el certificado del aparato te salte la petición de permiso.

A ver si voy por allá, lo enchufo a la antena y miro la sección de certificados para ver si hay alguno con ese nombre.
¿ Si lo veo, entonces es importarlo, no ?.


Lo de certutils me lo guardo para leerlo despues, si se puede crear de manera simple un certificado para la antena y que no salte el aviso parece interesante también.

Lo del pstools, quizás se me olvidó mencionarlo, pero parte del reto, y de lo que lo hace interesante, es que intento montarlo todo sin salirme del software libre, linux en concreto.
¿O que esperabais de mi, que iba a dejarme los nervios peleando contra windows para hacer lo que cualquier informático va a hacer mejor y mas rápido ?. ;)
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1885
Registrado: Jue Dic 20, 2007 7:36 pm

Re: ¿ Carta blanca a estas cookies o no ?

Notapor vlan7 » Mar Sep 18, 2012 9:49 pm

¿uhm? ¿pero que tipo de error te da? porque dices que el aviso te salta con cualquier pagina... ¿el firefox tiene algun certificado en sus listas no? Esa informacion la tiene el navegador de los clientes y viene de serie, yo probaria con otro navegador.

¿Te conectas directamente a internet o sales por un proxy? si tu navegador sale por un proxy, ¿el proxy hace MitM?

Si al visitar https://www.google.com en los detalles del certificado los valores Critical no te cuadran, por ejemplo si ves Verisign y CA False, yo ahi no entraria a banca electronica...

Si no quieres que salga el aviso mas que la primera vez, añade una excepcion a ese certificado.
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: ¿ Carta blanca a estas cookies o no ?

Notapor Bebbop » Mié Sep 19, 2012 10:44 am

Ahora que has explicado más cosas llego a la misma conclusión de vlan7.

¿Que hace ese aparato? ¿Para que sirve?
Avatar de Usuario
Bebbop
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 3424
Registrado: Mié Dic 14, 2005 2:46 pm
Ubicación: El Inframundo

Re: ¿ Carta blanca a estas cookies o no ?

Notapor Newhack » Jue Sep 20, 2012 7:34 pm

Bebbop escribió: ¿Que hace ese aparato? ¿Para que sirve?
Pues lo dicho, es un receptor, o mejor dicho, un enlace-cliente a 5 Ghz con un nodo público, gestionado por el ayuntamiento, y sirve para unirse a una de esas comunidades wifi.


Vlan7 escribió:¿uhm? ¿pero que tipo de error te da? porque dices que el aviso te salta con cualquier pagina... ¿el firefox tiene algun certificado en sus listas no? Esa informacion la tiene el navegador de los clientes y viene de serie, yo probaria con otro navegador.
Probar ya probe con los otros dos que vienen, ( Konqueror y epifany ), y me daban también que el sitio que se quería conectar no es fiable.
Los mas explicitos te dicen que el certificado que exhibe no es correcto, o no es fiable. ¿Aún asi desea conectarse?

Claro que el portátil de las pruebas es mio, y por tanto está como yo, que de redes sabe lo justo que le han dicho, y en su caso esto de navegar por una red es algo nuevo.
Por tanto lo tengo todo casi sin ajustar, como viene en origen.

Ahora lo que quiero ver en la próxima visita que le haga al equipo es que cookies se almacenan en los registros, antes de limpiarlos.
A ver si estos dias me pongo a ello, que solo me falta un empujoncito, y el detalle este.

Vlan7 escribió: ¿Te conectas directamente a internet o sales por un proxy? si tu navegador sale por un proxy, ¿el proxy hace MitM?
Pues para conectarse a internet, lo ha de hacer a través de un proxy, que está gestionado a través de compañías, o empresas, o del propio ayuntamiento.
En este caso, y por los servidores que hay, me parece que es el propio ayuntamiento el que te da paso por el proxy.

Y esto del acceso por el proxy es una de las cosas que tengo que repasar también el próximo dia,
porque me parece que lo tengo mal configurado.
Tengo conexión a través de pings con el punto de internet que elija, pero si pido una página www. me rechazan la conexión. Creo que será por la configuración
del acceso a proxy en los navegadores.

por ejemplo si ves Verisign y CA False, yo ahi no entraria a banca electronica...
Je je, esa es una de las cosas que no se como la gente se atreve tan tranquilamente, desde su casa y sin tener ni idea de seguridad.
Yo, aún con todo lo que me habeis enseñado entre hxc y aqui es algo que nunca haría. Yo, los datos financieros los trato en persona y en el banco,
que es el lugar para estas cosas. Las redes, para la información y el entretenimiento. :)
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1885
Registrado: Jue Dic 20, 2007 7:36 pm

Re: ¿ Carta blanca a estas cookies o no ?

Notapor Bebbop » Vie Sep 21, 2012 9:33 am

¿Pero el error del certificado te lo da cuando intentas acceder a la configuración del aparato o cuando intentas acceder a cualquier pagina https?
Avatar de Usuario
Bebbop
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 3424
Registrado: Mié Dic 14, 2005 2:46 pm
Ubicación: El Inframundo

Re: ¿ Carta blanca a estas cookies o no ?

Notapor Newhack » Mar Sep 25, 2012 8:48 pm

No no, es cada vez que el router de la antena ha de enviar una página al ordenador, ya sea de configuración del aparato o de intento de conexión.
Los sitios de destino no creo que intervengan en eso, ya que aunque tengo respuesta de ellos a los pings, hasta este fin de semana
tenía mal configurada la conexión al proxy, por lo que todos las solicitudes de conectar con www ... eran rechazadas.
Ahora, si aclaro una cosilla sobre el login ya podré abrir sesión desde allá. (Bufff!).

En cuanto a eso de los certificados, he mirado los registros durante la sesión, y efectivamente ha aparecido
en la lista el del fabricante, con su nombre, su origen, sus códigos md5 y sha1, fechas de validez etc.
Estaba ya listo a importarlo y dejarlo como bueno aunque no sea comprobable, pero una pequeña pregunta me ha aguado la fiesta:
"ok, ¿ en que carpeta guarda los certificados ?". :shock: , :? , :mad: !
Yo pensé que eras tu quien lo sabía, yo no he tocado nada de eso.

Estuve varios minutos buscando por ahi a ver si encontraba algo que le gustase como directorio de certificados,
pero nada, con tantos subdirectorios como hay en cualquier sistema es casualidad que lo aciertes a ciegas.
Ahora me tocará buscar por google a ver si averiguo donde guarda por defecto esos certificados que veía
con el firefox/ice weasel.


Que rabia!, ahora que estoy tan cerca y siguen saliendo 1000 y 1 problemillas y dudas.
En fin, :roll: habrá que consolarse pensando que asi estoy aprendiendo mucho mas que si todo saliese a la primera y bien.
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1885
Registrado: Jue Dic 20, 2007 7:36 pm

Re: ¿ Carta blanca a estas cookies o no ?

Notapor vlan7 » Mié Sep 26, 2012 11:36 pm

En la pagina support de mozilla tiene que venir seguro.

A mi para Opera me gusta http://operawiki.info/Opera (nada que ver con la wiki oficial)
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: ¿ Carta blanca a estas cookies o no ?

Notapor Newhack » Dom Sep 30, 2012 6:56 pm

Hola.

Ahora que llevo algunas semanas mas o menos desconectado del tema, he caido en un detalle que puede ser elemental,
pero que antes, quizás por la saturación de datos parámetros y números no se me ocurrió observar.

Decía que el aviso de certificado no confiable se me presenta tanto al pedir por la ip local, (la del router), como al pedir por
la ip pública del aparato, ( supongamos 123.120.100.80 ).
Eso es cierto y correcto. Pero se me pasó por alto que cuando pido esta última, estoy encaminando esta petición a través de
192.168.1.1 (la parte router del aparato), que está comprobado que hace saltar el aviso.
Luego, aunque parezca lo contrario, al no especificar el aviso cual es la identidad no confiable, tal vez el error
se está refiriendo a la conexión privada y no a la pública que has pedido.

Mirado desde este lado, el misterio y el problema, se reduciria a encontrar y "validar privadamente" el certificado del aparato
por muy autofirmado que sea, mientras presente los datos que da ahora.

En este caso solo necesitaría encontrar donde está físicamente ese certificado para recojerlo y decir que lo acepten.
Porque de momento he estado mirando que me sale buscando "certificados ice weasel 3.0.6", y me salen cantidad de temas sobre certificados
que no entran, sobre certificado digital, ver lista certificados instalados, borrar certificaciones, librerias necesarias para instalarlos, etc.
Pero hasta el momento me parece que ni uno de ellos se va de la lengua en cual es el path donde están reunidos. :roll:

Paciencia. Tarde o temprano alguien en alguna entrada tendrá que nombrarlo.
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1885
Registrado: Jue Dic 20, 2007 7:36 pm


Volver a Zona Inalámbrica

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado

cron