web-dev-qa-db-fra.com

Est-ce quelque chose à craindre lorsque mon navigateur m'avertit que ma connexion à 192.168.1.1 (page d'administration du routeur) n'est pas sécurisée?

image

J'ai reçu cet avertissement "Non sécurisé" lorsque j'essaie de me connecter à mon routeur (c'est dans mon accès physique). Apparemment, le système de gestion (admin) de mon routeur n'a pas HTTPS.

Chrome dit aussi

Votre connexion à ce site n'est pas privée.

Je sais que lorsque je visite un site Web HTTP , les données transférées entre mon point de terminaison et le serveur distant peuvent être reniflées par n'importe quel nœud de l'itinéraire, mais cela fois le "serveur distant" est juste le routeur (qui sert également de point d'accès sans fil).

Faut-il s'inquiéter dans les cas suivants? Supposons que je suis autorisé à administrer le routeur et à y avoir un accès physique illimité.

  1. Le routeur est installé chez moi et je reconnais pleinement tous les appareils qui y sont connectés (mon PC, mon téléphone, les PC et téléphones de ma famille).
  2. Le routeur est placé dans un lieu public (restaurant, hôtel, etc.) et est ouvert au public à certains égards.
32
iBug

Aucune autorité de certification (CA) publique n'émettra de certificat pour une adresse IP privée, telle que les blocs 192.168.x.x.

Pour cette raison, je m'attendrais à ce que pas voir une connexion HTTPS à un routeur de qualité grand public dans mon réseau, et si je remarquais une telle connexion (cela suppose, bien sûr, que je remarquez en fait l'icône de verrouillage quand elle ne devrait pas être là; ce qui, si je suis honnête, je ne le ferais probablement pas), alors je soupçonnerais quelqu'un d'avoir installé des certificats escrocs et d'avoir un proxy activement espionnant quelque part sur mon machine ou dans mon réseau.

Il est possible de configurer une connexion HTTPS sécurisée, selon les capacités de votre routeur. Si vous pouvez ajouter un certificat à votre routeur, vous pouvez créer un certificat auto-signé. Cela chiffrera efficacement votre connexion HTTPS à l'intérieur d'un tunnel TLS parfaitement valide, bien que vos navigateurs se plaindront très fort que la validité du certificat ne puisse pas être vérifiée.

Il existe des moyens de contourner ces plaintes par le navigateur, comme vous ajouter en tant qu'autorité de certification approuvée sur votre ordinateur ou obtenir un certificat pour un domaine et utiliser votre DNS interne ou vos fichiers hôtes pour pointer le domaine vers l'IP privée, comme mentionné dans les commentaires.

En ce qui concerne les cas spécifiques que vous demandez:

1, votre propre maison: il ne devrait y avoir aucune inquiétude, en supposant que tous les autres appareils sont sécurisés. Les appareils escrocs de votre réseau pourront détecter les paquets, alors ne vous connectez pas en utilisant le même mot de passe que celui avec lequel vous vous connectez à votre banque (ce qui est un bon conseil indépendamment de ce avec quoi vous vous authentifiez).

2, vous hébergez un point d'accès public: supposez que le réseau est activement sondé à tout moment. Dans ce cas, je pourrais prendre le temps de configurer TLS correctement et même si j'étais vraiment paranoïaque (c'est-à-dire que mon point d'accès était configuré chez DefCon), puis chaque fois que j'accède à la page Web de gestion, je désactiverais le sans fil , assurez-vous que rien d'autre n'est connecté via des concentrateurs ou des commutateurs, puis changez le mot de passe avant de réactiver la connexion sans fil et de modifier ma configuration.

29
Ghedipunk

Il est courant pour les appareils SOHO (commutateurs, routeurs) qu'ils ne prennent pas en charge HTTPS ou fournissent à HTTPS un certificat auto-signé en usine qui ne peut pas être remplacé.

Je ne m'inquiéterais pas tant que:

  1. vous contrôlez le câblage entre votre PC et votre routeur.
  2. la gestion à distance est désactivée via la connexion sans fil (la page d'administration n'est autorisée que via un support filaire).
  3. la gestion à distance est désactivée depuis Internet.
5
Crypt32

Ce n'est pas un problème.

D'autres ici ont donné des réponses techniquement précises qui supposent une connaissance générale du fonctionnement des connexions Web sécurisées. Cependant, si vous avez ce niveau de connaissances, vous connaissez déjà la réponse à cette question. Voici une réponse plus simple.

Les pages Web sécurisées (c'est-à-dire celles avec "https" au début de l'URL et un cadenas vert ou un symbole similaire) sont sécurisées par un système de certificats numériques. Le simple fait de chiffrer quelque chose ne suffit pas car il ne garantit pas l'identité du site Web; vous pensez peut-être que vous parlez à foobar.com, mais comment en être sûr? La réponse est un système de certificats d'identité avec signatures numériques. Lorsque vous accédez à son site Web, "foobar.com" vous envoie un certificat indiquant qu'il s'agit du véritable "foobar.com", et ce certificat est signé par l'une des "autorités de certification" auxquelles tout le monde fait généralement confiance. faire ce travail de certification d'identité sur Internet. Si vous cliquez sur le symbole du cadenas vert ou sur tout ce que votre navigateur Web utilise, vous pouvez voir les détails du certificat.

Si une identité ne correspond pas, ou un certificat est manquant, ou si le lien n'est pas chiffré, votre navigateur Web vous avertira de l'envoi de mots de passe car quelqu'un pourrait l'écouter.

Votre routeur domestique n'a pas son propre certificat signé par une autorité de certification, mais comme le lien est dans une seule maison, cela n'a pas d'importance. Je suppose que ce serait mieux si les navigateurs Web se taisaient sur les sites non sécurisés sur des adresses comme 192.168.1.1 afin que les gens ne reçoivent pas de fausses alarmes.

3
Paul Johnson

Cas 1: Probablement bien à condition que vous fassiez vraiment confiance à votre famille pour ne rien essayer d'intelligent et qu'ils ne choisissent pas un méchant qui écoute les tentatives de connexion à des sites Web à des adresses communes comme celle-ci comme étape vers la prise de contrôle du routeur à d'autres fins.

Cas 2: Soyez légèrement inquiet, mais c'est aussi une bonne opportunité d'apprentissage. Ce n'est pas un énorme effort de créer une autorité de certification interne pour générer des certificats SSL qui fonctionneront pour les machines internes. OpenSSL vous permet de le faire en ligne de commande, des outils comme XCA le font avec une jolie interface utilisateur. S'il s'agissait de ma boutique/café/hôtel, je craindrais que les clients et les clients puissent accéder à l'interface d'administration du routeur - qui devrait se trouver sur un personnel uniquement ou même sur un réseau de gestion/VLAN séparé.

J'utilise un routeur approprié pour un usage domestique, les certificats auto-signés prennent 2 minutes à générer et à activer, il a fallu une soirée de tripotage pour créer un certificat utilisable sur mon "House CA" et j'ai appris beaucoup de choses dans le processus. Même marqué quelques bugs de firmware (hélas pas de prime)

0
Richard N