2017/06/26

Certificado SSL Auto Firmado – Tomato Firmware.


Unas de las maneras de administrar y monitorear las funciones de nuestro querido router inalámbrico con Tomato, es mediante un navegador web usando la función de Web Admin, que la encontraremos en el apartado Administration Admin Access.




Por defecto esta activado el protocolo HTTP y apagado el acceso remoto, lo recomendado es usar el protocolo HTTPS tanto para el acceso local, como el remoto.

El acceso remoto si se decide no usarlo, se recomienda dejarlo desactivado, por cuestiones de seguridad ya que deja un servicio expuesto a la red, en realidad esta regla debe igualmente ser usada para todos los servicios.

El protocolo HTTP es inseguro y está sujeto a ataques man-in-the-middle y eavesdropping que pueden permitir al atacante obtener acceso a nuestro router y tomar control del mismo.

HTTPS está diseñado para resistir esos ataques y ser más seguro, ya que utiliza un cifrado basado en SSL/TLS para crear un canal cifrado.


Common Name (CN)

Es una parte del Certificado SSL en Tomato, y que identifica el nombre de host asociado con el certificado generado en el dispositivo y guardado en la NVRAM, el cual es necesario para establecer una comunicación segura mediante HTTPS.

El nombre común representa el nombre protegido por el certificado SSL y es válido sólo si el nombre de host de la solicitud coincide con el nombre común del certificado. La mayoría de los navegadores web muestra un mensaje de advertencia cuando se conecta a una dirección que no coincide con el nombre común en el certificado.

Si solo nos conectamos desde dentro de nuestra red privada, el CN seria el numero IP del router, si usamos el acceso remoto vamos a colocar la dirección proporcionada por un DNS Dinámico por ejemplo el servicio FreeDNS que ya comente.

Certificado SSL.


En mi caso el CN es 22xd.mooo.com ya que accedo a mi router mediante la dirección web https://22xd.mooo.com:8080

Si se deja el nombre común CN en blanco todavía se realiza una conexión HTTPS pero el certificado no tendrá el nombre del hots asociado. En realidad si sabes que ese certificado es de tu router no hay que desconfiar, solo hay que estar pendiente que no cambie, si nosotros NO generamos un certificado nuevo, en ese caso nos estaremos conectando a otro lado o sufriendo un ataque de man-in-the-middle.

Certificado auto firmado

En un certificado expedido por una autoridad certificadora, ésta valida la identidad del servidor, pues aplica su firma sobre la petición de certificación que luego el navegador verifica según su propia base de datos. De esta manera, el navegador confía en un sitio, ya que el certificado que posee el sitio coincide con el que el navegador almacena en la base de datos.

Certificado por firmado por autoridad certificadora.


Nuestro dispositivo con Firmware Tomato a partir del CN y particularidades del router, generara un certificado auto firmado el cual no existe una entidad que lo valide y es por eso que en nuestra primera conexión, nos mostrara la advertencia de seguridad que "Esta conexión no es de confianza/Segura".







Luego que confirmemos que es nuestro certificado auto firmado, podemos conectarnos mediante HTTPS.

Por otro lado, que un tercero valide nuestra identidad no es estrictamente necesario para aseverar la seguridad de la conexión, ya que se puede reemplazar por una cadena de confianza persona a persona: en lugar de dejar esta responsabilidad a un tercero, confías en que la persona que te entrega el certificado pueda validar que corresponde al sitio del que dice ser. Es decir, tu mismo afirmas que eres un certificado válido para conectarse a un sitio

Certificado Auto Firmado.


Tenemos que comprender que con ambos certificados, la comunicación entre el cliente y el servidor está encriptada, pero la forma de validar la autenticidad del receptor es fundamentalmente distinta.

Conexión HTTPS.


Tips de seguridad

Los servicios que no se estén utilizando, es recomendable que sean desactivados.

El nombre de usuario y contraseña de acceso por defecto deben ser cambiada, en el caso de la contraseñas por una fuerte.

Cambiar el Nombre de usuario y contraseña por defecto.



Si se decide habilitar el acceso remoto, es recomendable cambiar el puerto 8080 por defecto por un puerto libre diferente.


Fuentes:



5 22XD: Certificado SSL Auto Firmado – Tomato Firmware. Unas de las maneras de administrar y monitorear las funciones de nuestro querido router inalámbrico con Tomato , es mediante un navegador...
< >