Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

SSL + HTTP Basic auth, veilig voor thuis?

Pagina: 1
Acties:

zaterdag 15 augustus 2015 20:55

Acties:
  • Tsurany
  • Registratie: Juni 2006
  • Niet online

Tsurany

⭐⭐⭐⭐⭐

Topicstarter
Ik heb een FreeNAS omgeving met diverse plugins in een jail (sabnzbd en anderen) en daarnaast een jail voor Nginx. Via Nginx heb ik een reverse proxy ingesteld om van buitenaf bijvoorbeeld sanbzbd te kunnen benaderen via HTTPS (poort 443) door www.mijndomein.nl/sabnzbd/ in mijn browser te kunnen typen.

Dit werkt allemaal keurig en nu zit ik te denken aan beveiliging. Elke applicatie zelf heeft een manier van authenticatie maar vaak voor een enkele user terwijl ik juist meerdere users wil toestaan. Nu dacht ik aan HTTP Basic Authentication in Nginx.
Nu is dit niet secure omdat het password niet encrypted verstuurd wordt. Echter via SSL zou dit wel zo zijn. Daarnaast zijn er nog wat meer mankementen aan deze manier van authenticeren.

Echter vraag ik me nu af, is HTTP Basic Authentication over SSL veilig genoeg voor thuisgebruik? Er hangt niks spannends achter maar dat betekent niet dat de hele wereld zichzelf toegang moet kunnen verschaffen.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

zaterdag 15 augustus 2015 21:09

Acties:
  • Stroopwafels
  • Registratie: September 2009
  • Laatst online: 28-11 16:27

Stroopwafels

Ga je inloggen vanaf 1 IP adres of ben je van plan om vanaf diverse locaties in te loggen?
Anders zou je heel simpel gewoon in nginx alle IP's kunnen blokkeren behalve je eigen.

zaterdag 15 augustus 2015 21:43

Acties:
  • Tsurany
  • Registratie: Juni 2006
  • Niet online

Tsurany

⭐⭐⭐⭐⭐

Topicstarter
Vanaf diverse locaties en ook over 3G/4G via mijn telefoon en tablet. Dus helaas is dat geen optie.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

zaterdag 15 augustus 2015 21:48

Acties:
  • GieltjE
  • Registratie: December 2003
  • Laatst online: 28-11 17:24

GieltjE

Niks te zien...

Heb zelf eenzelfde soort opstelling (alleen dan met een "normale" pc met een rpi voor wol), als je zorgt voor een vertrouwd certificaat (dus geen zelf genereerd, hoeft niet duur te zijn) en een gedegen configuratie doet kan dit best veilig zijn. Zou alleen voor digest authenticatie gaan (kost niet veel meer moeite) en voor de zekerheid gewoon non https volledig uitzetten. (voor goede standaard waarden kun je op b.v. www.bettercrypto.org kijken).

[ Voor 3% gewijzigd door GieltjE op 15-08-2015 21:49 ]

Hell / 0

zaterdag 15 augustus 2015 21:49

Acties:
  • Janoz
  • Registratie: Oktober 2000
  • Laatst online: 27-11 13:05

Janoz

Moderator Devschuur®

!litemod

Ik zou iig digest ipv basic gebruiken. Vraagt ietsje meer configuratie, maar heeft verder hetzelfde gemak.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

zaterdag 15 augustus 2015 22:35

Acties:
  • McKaamos
  • Registratie: Maart 2002
  • Niet online

McKaamos

Master of the Edit-button

Tsurany schreef op zaterdag 15 augustus 2015 @ 21:43:
Vanaf diverse locaties en ook over 3G/4G via mijn telefoon en tablet. Dus helaas is dat geen optie.
Installeer een VPN server en connect je telefoon via VPN?

Als je SoftEther VPN gebruikt, kan je ook nog eens virtuele routers, switches, DHCP servers, etc aanmaken.
Dus je kan je NGINX server ook via VPN naar de VPN server laten praten, waar hij met z'n vpntunnel-virtuele-netwerkkaart aan hangt en een IP adres krijgt. Dan configure je je Serverblocks om alleen op die interface te reageren.
Je telefoon knoop je ook aan VPN, zelfde virtuele netwerk als de NGINX server, en dan praat je end-to-end met encryptie.

Misschien dikke vette overkill, maar worth a shot :)

Iemand een Tina2 in de aanbieding?

zaterdag 15 augustus 2015 22:42

Acties:
  • Alex)
  • Registratie: Juni 2003
  • Laatst online: 18-11 20:57

Alex)

Tsurany schreef op zaterdag 15 augustus 2015 @ 20:55:

Echter vraag ik me nu af, is HTTP Basic Authentication over SSL veilig genoeg voor thuisgebruik? Er hangt niks spannends achter maar dat betekent niet dat de hele wereld zichzelf toegang moet kunnen verschaffen.
Ja hoor, als je SSL gebruikt wordt de boel versleuteld over de lijn gestuurd. Dat is veilig, mits je nginx goed instelt.

Op https://cipherli.st/ kun je vinden hoe je nginx het beste kunt instellen om je verbinding maximaal te beveiligen.

We are shaping the future

zaterdag 15 augustus 2015 23:40

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 08:18

DiedX

Ik zou rekening houden met brute forcing. Als dat je niet boeit : lekker zo doen.

[ Voor 4% gewijzigd door DiedX op 15-08-2015 23:41 . Reden: Typo ]

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

zaterdag 15 augustus 2015 23:46

Acties:
  • Alex)
  • Registratie: Juni 2003
  • Laatst online: 18-11 20:57

Alex)

DiedX schreef op zaterdag 15 augustus 2015 @ 23:40:
Ik zou rekening houden met brute forcing.
Fail2ban gebruiken, die plaatst IP-bans voor hosts die het herhaaldelijk blijven proberen. Ik heb dat op mijn public facing Raspberry Pi gezet, de hoeveelheid bans die dat ding uitdeelt is best groot. :)

We are shaping the future

zondag 16 augustus 2015 08:57

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 08:18

DiedX

Alex) schreef op zaterdag 15 augustus 2015 @ 23:46:
[...]

Fail2ban gebruiken, die plaatst IP-bans voor hosts die het herhaaldelijk blijven proberen. Ik heb dat op mijn public facing Raspberry Pi gezet, de hoeveelheid bans die dat ding uitdeelt is best groot. :)
Ik gebruik het zelf ook, werkt als een trein, maar is géén magic bullit tegen een echte hacker.

Aan de andere kant: volgens mij verwacht TS dat ook niet, dus dan zou ik het lekker op die manier aanpakken.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

zondag 16 augustus 2015 10:22

Acties:
  • Tsurany
  • Registratie: Juni 2006
  • Niet online

Tsurany

⭐⭐⭐⭐⭐

Topicstarter
GieltjE schreef op zaterdag 15 augustus 2015 @ 21:48:
Heb zelf eenzelfde soort opstelling (alleen dan met een "normale" pc met een rpi voor wol), als je zorgt voor een vertrouwd certificaat (dus geen zelf genereerd, hoeft niet duur te zijn) en een gedegen configuratie doet kan dit best veilig zijn. Zou alleen voor digest authenticatie gaan (kost niet veel meer moeite) en voor de zekerheid gewoon non https volledig uitzetten. (voor goede standaard waarden kun je op b.v. www.bettercrypto.org kijken).
Ik zal even kijken naar een vertrouwd certificaat, kijken wat dat precies gaat kosten.
Non-https krijgt een automatische redirect naar HTTP, dat lijkt mij toch een praktische en veilige oplossing?
Janoz schreef op zaterdag 15 augustus 2015 @ 21:49:
Ik zou iig digest ipv basic gebruiken. Vraagt ietsje meer configuratie, maar heeft verder hetzelfde gemak.
Ik heb me even ingelezen op digest ipv basic maar waar ik telkens op uit kom is dat basic over SSL net zo veilig is als digest.
McKaamos schreef op zaterdag 15 augustus 2015 @ 22:35:
Misschien dikke vette overkill, maar worth a shot :)
Dat is mij inderdaad iets te overkill ;)
Alex) schreef op zaterdag 15 augustus 2015 @ 22:42:
[...]

Ja hoor, als je SSL gebruikt wordt de boel versleuteld over de lijn gestuurd. Dat is veilig, mits je nginx goed instelt.

Op https://cipherli.st/ kun je vinden hoe je nginx het beste kunt instellen om je verbinding maximaal te beveiligen.
Die instellingen overgenomen, thnx!
Alex) schreef op zaterdag 15 augustus 2015 @ 23:46:
[...]

Fail2ban gebruiken, die plaatst IP-bans voor hosts die het herhaaldelijk blijven proberen. Ik heb dat op mijn public facing Raspberry Pi gezet, de hoeveelheid bans die dat ding uitdeelt is best groot. :)
Zal dat ook even instellen, altijd praktisch. Bruteforce maak ik me niet al te druk over, verwacht niet dat een echte hacker moeite gaat doen om mijn SickBeard over te nemen.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

zondag 16 augustus 2015 14:58

Acties:
  • Alex)
  • Registratie: Juni 2003
  • Laatst online: 18-11 20:57

Alex)

Bij StartSSL kun je een gratis SSL-certificaat krijgen dat wordt vertrouwd door de meeste browsers, inclusief IE en Chrome.

Lees je ook even in over HSTS, daarmee dwing je af dat je site altijd via HTTPS wordt bezocht (mits de browser het ondersteunt) en zijn SSL-stripping attacks een stuk moeilijker.

Als je alle instellingen van die site hebt overgenomen heb je HSTS ook al (de Strict-Transport-Security header).

[ Voor 16% gewijzigd door Alex) op 16-08-2015 14:59 ]

We are shaping the future

zondag 16 augustus 2015 15:33

Acties:
  • GieltjE
  • Registratie: December 2003
  • Laatst online: 28-11 17:24

GieltjE

Niks te zien...

StartSSL is inderdaad gratis, mijn ervaring is dat deze wel een stuk trager zijn met verificatie (eerste connect en stapling).
Een simpel comodo certificaat kost je ongeveer €10,- per jaar.

Zoals aangegeven word is fail2ban inderdaad een goede optie, let wel op dat deze nog geen ipv6 support heeft momenteel.

Hell / 0

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq