[Asus RT-AC68U] Vraag over onveilige inlogpagina

Als je de firmware van de fabrikant draait kan je er waarschijnlijk weinig aan doen. Als het over een loginpagina gaat die alleen via je interne netwerk gaat is je veiligheidsrisico ook beperkt.

Klinkt eerder alsof dat iets is van je browser, niet van de router?

Verder wat Borromini zegt: als je die pagina toch alleen over je interne netwerk bekijkt is het risico beperkt (tenzij je je huisgenoten niet vertrouwt).

Je zou kunnen kijken of er een manier is om SSL/TLS aan te zetten op de webinterface van je router, kan me zo alleen niet voor de geest halen ooit een dergelijke optie gezien te hebben in de ASUS webinterface (heb zelf een AC87U)...

Je zou kunnen kijken of je dezelfde inlog pagina ook over HTTPS kan benaderen: HTTPS://[IP-adres-van-router]. Zoals @Orion84 ook net zegt (terwijl ik zit te typen).

Let dan wel op dat je daarna ook een poort mee moet geven: 8443
http://www.tomshardware.c...on-method-http-https.html

Ongetwijfeld heeft TS een moderne browser die 'proactief' onveilige verbindingen markeert. Alleen, als hij dat ook bij connecties in het LAN doet is het niet meer dan onnodige paniek zaaien.

Heb ook een RT-AC68U, Standaard staat HTTPS (een veilige verbinding) uit. Deze kun je aanzetten op de pagina "Advanced settings" > Tab "System" bij "Authentication Method" op Both zetten (evt. later op HTTPS only). Dan kun je daaronder ook een poort selecteren, deze op 443 zetten, dit is de standaard poort voor https verbindingen.

Let wel op dat het certificaat zelf-ondertekend is, waardoor je meldingen krijgt over een mogelijk onveilige verbinding. Je kunt het certificaat gewoonaccepteren (toevoegen/installeren), waarna je verbinding beveiligd is. Dus je kunt dan veilig je wachtwoord wijzigen.

Kleine persoonlijke noot, vind een https-verbinding met een zelf-ondertekend certificaat beter dan een reguliere http-verbinding, dus ik snap die waarschuwingspagina's niet van de bekende browsers als het certificaat zelf-ondertekend is.

Ztegeman schreef op woensdag 6 juni 2018 @ 11:32:
Kleine persoonlijke noot, vind een https-verbinding met een zelf-ondertekend certificaat beter dan een reguliere http-verbinding, dus ik snap die waarschuwingspagina's niet van de bekende browsers als het certificaat zelf-ondertekend is.

Je browser meldt dat omdat een browser het verschil niet kan zien tussen het juiste zelf-ondertekende certificaat dat je zou verwachten, of een vals self-signed certificaat dat gebruikt wordt door een aanvaller die een man-in-the-middle aanval uitvoert.

Ztegeman schreef op woensdag 6 juni 2018 @ 11:32:
ik snap die waarschuwingspagina's niet van de bekende browsers als het certificaat zelf-ondertekend is.

Nog niet zo lang geleden was het een stuk lastiger een ondertekend certificaat te krijgen, dus was een self-signed versie een indicatie dat je mogelijk met een vervalste site te maken had. Nu iedereen (en z'n moeder) er makkelijk eentje kan krijgen via Lets Encrypt voegt zo'n waarschuwing niet veel meer toe.

hcQd schreef op woensdag 6 juni 2018 @ 11:38:
[...]

Nog niet zo lang geleden was het een stuk lastiger een ondertekend certificaat te krijgen, dus was een self-signed versie een indicatie dat je mogelijk met een vervalste site te maken had. Nu iedereen (en z'n moeder) er makkelijk eentje kan krijgen via Lets Encrypt voegt zo'n waarschuwing niet veel meer toe.

Aangezien het makkelijker geworden is om een CA-signed certificaat te regelen, is die melding alleen maar meer relevant. Want de noodzaak voor het gebruik van self-signed is kleiner geworden. Als je er alsnog een tegenkomt is dat dus alleen maar meer reden tot wantrouw.

Hoe wil je het LAN adres van de router getekend krijgen? Volgens mij geven ze al een aantal jaar geen certificaten voor interne adressen (.local). Een mogelijkheid is je router naar het WAN openzetten om een certificaat te verkrijgen door middel van DDNS en Let's Encrypt. Een veilige signed verbinding maar wel open naar het internet is in mijn ogen onveiliger dan alleen intern bereikbaar maar dan met een zelf-ondertekend certificaat.

Een andere mogelijkheid is om een CA-server op te zetten voor lokaal gebruik, maar dat is niet echt praktisch om te doen.

Waarschuwen voor mogelijke MitM is goed voor FQDN's (correcte domeinnamen), maar zou bij IP-adressen (met name op het lokale subnet) genoeg moeten nemen met een kleine popup.

Ztegeman schreef op woensdag 6 juni 2018 @ 12:32:
Hoe wil je het LAN adres van de router getekend krijgen? Volgens mij geven ze al een aantal jaar geen certificaten voor interne adressen (.local). Een mogelijkheid is je router naar het WAN openzetten om een certificaat te verkrijgen door middel van DDNS en Let's Encrypt. Een veilige signed verbinding maar wel open naar het internet is in mijn ogen onveiliger dan alleen intern bereikbaar maar dan met een zelf-ondertekend certificaat.

Een andere mogelijkheid is om een CA-server op te zetten voor lokaal gebruik, maar dat is niet echt praktisch om te doen.

Waarschuwen voor mogelijke MitM is goed voor FQDN's (correcte domeinnamen), maar zou bij IP-adressen (met name op het lokale subnet) genoeg moeten nemen met een kleine popup.

Letsencrypt icm DNS verificatie en dan hang je router.jouwdomein.nl gewoon aan 192.168.1.1 ofzo? Betekent alleen dat een TXT record in je DNS zone moet zetten