Acces au WES en HTTPS – Cartelectronic le Blog

Ce sujet contient 8 réponses, 5 participants et a été mis à jour pour la dernière fois par FXsan, le il y a 4 années et 8 mois.

Post

- 7 décembre 2020 à 19 h 10 min
mrpochpoch
Participant
Bonjour,

L’accès au serveur WES se fait actuellement en HTTP, sur le port tcp80.
Sur du réseau local, au domicile, cela n’est à priori pas trop gênant, mais si l’on veut accéder à distance aux infos du wes, cela peut être problématique… le http peut etre sniffé, et les crédentials récupérés par un attaquant.
Il serait préférable d’interroger le serveur WES en HTTPS, sur tcp443.
Pour le certificat SSL, il pourrait y avoir un certificat autosigné par défaut, avec la possibilité de mettre un certificat SSL perso si l’admin a son propre nom de domaine, ce qui est mon cas.

Cette évolution est t’elle réalisable ?

Merci,
MrPochpoch.

0
0

Vous lisez 7 fils de discussion

Replies

- - 7 décembre 2020 à 20 h 42 min
  cdlog2
  Modérateur
  Bonjour,
  
  Côté serveur, je pense que le SSL est peut être possible, Mais seul Nicolas peut le confirmer ?
  
  Mais soit vous avez un nom de Domaine Perso et/ou vous passez par une IP type DynDNS (NO-IP ou autre), rien ne vous empêche d’amoindrir le risque d’un Sniffe sur le Port 80 si vous faites une redirection depuis votre BOX d’un Port comme le 9100 ou 9200 etc qui est ensuite redirige le Port 80 sur l’IP local du WES exclusivement.
  
  Cela reviendra à appeler votre WES depuis l’extérieur comme ceci par exemple : http://login:password@DynDns.com:9200/ qui sera reconverti par votre box en http://login:password@192.168.X.X:80/
  
  Dans ce cas de figure le Port 80 est plus sécurisé car il est seulement redirigé sur le WES. Il est impossible d’accéder à d’autre IP du réseau local via ce Port et le Port 9200 ne permettra pas non plus d’autre redirection en Interne
  
  Mais bien sûr le SSL serait sur 443 un plus.
  
  Cdt
  
  0
  0
- - 8 décembre 2020 à 10 h 55 min
  mrpochpoch
  Participant
  Bonjour cdlog2,
  Ce n’est pas le problème du port tcp utilisé, mais du protocole http lui même, qui ne chiffre pas les échanges entre le client en le serveur.
  Les navigateurs modernes, Chrome ou Firefox, indiquent désormais « connexion non sécurisée » lorsque la connexion se fait en HTTP.
  Il est à mon avis important de passer en https, quitte à utiliser un certificat autosigné sur le serveur WES, afin de chiffrer les communications entre client et serveur, que ce soit sur le réseau local, ou sur internet via un accès distant avec redirection de port sur la box de l’opérateur.
  
  Pour ma part, je vais essayer de passer par le VPN de mon synology, afin d’accéder à mon reseau local de manière sécurisée, et encapsuler le traffic HTTP du WES dans le traffic sécurisé du VPN.
  Mais c’est un autre sujet.
  
  Merci,
  MrPochpoch.
  
  0
  0
- - 8 décembre 2020 à 12 h 44 min
  cdlog2
  Modérateur
  Bonjour,
  
  Oui je comprend votre point de vue.
  
  Mais à défaut de pouvoir accéder directement au WES en SSL, il y a une solution assez simple moyennant une petite dépense de quelques 23€ pour arriver à avoir un accès sécurisé SSL jusqu’au WES et via un DynDNS SSL.
  
  Vous avez la chance d’avoir un Serveur / Routeur par lequel vous pouvez configurer un VPN, mais pour ceux qui n’ont que leur BOX comme interface, il existe le Mini Routeur GL-MT300N-V2 de chez GL-Inet qui vous offre malgré sa petitesse, pleins de possibilités.
  
  Ce Mini, vraiement Petit Routeur fonctionne sous Linux et intègre OpenVPN. Il vous permet de réaliser des Accès VPN via le Cloud de GL-Inet. Il vous permet aussi de configurer son DynDns, qui est intégré en Natif, configurable en accès HTTP ou HTTPS SSL. Vous pouvez raccorder le WES en tant que Client à ce petit Routeur et vous réalisez à moindre prix votre connexion Sécurisé sur l’Ip du WES.
  
  Il faut seulement ouvrir la redirection du Port 443 du NAT de la BOX FAI vers l’IP alloué par la BOX par la connexion entre la BOX et l’entrée WAN du Mini routeur. C’est simple, pas cher et très efficace.
  
  https://docs.gl-inet.com/en/3/app/ddns/
  https://docs.gl-inet.com/en/3/setup/mini_router/first-time_setup/
  
  Cdt
  
  0
  0
- - 8 décembre 2020 à 14 h 49 min
  rene38
  Participant
  Bonjour,
  
  Je « plussoie » concernant le besoin d’accès https. Mon système routeur / NAS, etc… est bien établi, et stable (Routeur Asus flashé sous FreshTomato), le tout en IPv6 direct qui ne permet pas de routeur intermédiaire (le modem est donc en bridge). J’avais fait cette suggestion (https) il y a quelque temps, et la réponse était que la demande était prise en compte. J’ai vu une autre réponse plus récente de la part de Nicolas, le confirmant. Il signalait que c’était complexe et long à implémenter.
  En ce qui me concerne, j’ai un nom de domaine et une certificat gratuit ZeroSSL à renouveler tous les 3 mois, que je charge sur le routeur, me permettant ainsi d’accéder à distance à tous équipement en https + port de redirection. Les navigateurs à jour n’émettent pas l’alerte, je suppose donc que tout va bien.
  
  En attendant, j’ai eu besoin à un moment donné de donner l’accès à distance à mon WES à un des développeurs de Cartelectronic, j’avais en effet fait une redirection temporaire d’un numéro de port exotique vers le 80, juste le temps de la connexion à distance, j’ai ensuite supprimé cette redirection. En telle situation, il ne faut pas hésiter à mettre un mot de passe complexe pour l’accès au WES, en tant que protection ultime.
  
  Aujourd’hui, je n’accède pas à distance au WES.
  
  0
  0
- - 8 décembre 2020 à 15 h 07 min
  nicolas_cartelec
  Maître des clés
  Le HTTPS est prévu, mais cela demande de TOUT réécrire sur le nouvel environnement de dev !
  
  Je peux aussi activer le filtrage par adresse MAC sur le WES !?
  
  Cela est prévu au premier trimestre 2021 après le modbus !
  
  Mais c’est pas parce que les navigateurs marquent « non sécurisé » qu’il y a un risque !
  
  Si vous vous connectez sur un réseau wifi publique dans un café (pas possible pour le moment), pour ma part j’utilise toujours un VPN quand je suis pas chez moi donc aucun risque !
  
  0
  0
- - 8 décembre 2020 à 15 h 47 min
  mrpochpoch
  Participant
  Bonjour nicolas,
  Merci pour cette réponse.
  J’attends donc cette évolution avec impatience. 🙂
  
  Le HTTPS sera un vrai plus au niveau sécurité de l’accès au WES, surtout pour tous ceux qui veulent y accéder à distance.
  
  Même en mettant un mot de passe très complexe au compte admin, cela est insuffisant, de par le protocole HTTP.
  Il suffit d’utiliser un simple wireshark pour lire en clair le login et le password dans les communications entre le client et le serveur.
  Aujourd’hui, il faut à minima faire du SSL et du TLS1.2
  
  cdt,
  MrPochpoch
  
  0
  0
- - 8 décembre 2020 à 16 h 01 min
  rene38
  Participant
  Merci Nicolas pour ces précisions. Je n’ai personnellement pas besoin de filtrage MAC que je n’utilise que pour les connexions WiFi.
  
  J’avais oublié en effet le VPN que j’utilise aussi à distance sur le routeur pour m’intégrer au réseau local comme si j’y étais.
  
  0
  0
- - 3 février 2021 à 14 h 29 min
  FXsan
  Participant
  bon courage pour la réécriture (normalement limitée à l’utilisation des API associées)
  SSL nécessitant un certificat, ceux qui ont un NAS utilisent sans doute déja le fournisseur gratuit Letsencrypt, en quel cas il suffit d’ajouter un sous-domaine à la demande (par exemple wes.nomdomain.xx)
  
  Donc il faudrait sur le WES :
  
  – pouvoir uploader un certificat SSL manuellement
  – idéalement pouvoir interfacer directement les serveurs de https://letsencrypt.org/fr/, pour bénéficier de la reconduite automatique (besoin tous les 3 mois).
  on trouve des lib sur github pour cela
  
  Cdlt
  
  0
  0

Vous lisez 7 fils de discussion

Étiqueté : HTTPS

Vous devez être connecté pour répondre à ce sujet.