it-swarm-ja.com

HTTPS / SSLはローカルネットワークで意味がありますか?

LAN内のWebサーバーでHTTPS/SSLを有効にする必要があるかどうか疑問に思います。

デバイスが通常スイッチで接続されているローカルエリアネットワークで、スニファ/中間者攻撃にはどのような機会がありますか?

ローカルエリアネットワークを介してプレーンテキストでパスワードを送信することは怠慢ですか?

また、自己署名証明書の警告を取り除きたいです。

3
Benni

脅威モデルによって異なります。ネットワーク上に悪意のある人物がいる可能性があると思われる場合は、トラフィックを暗号化する必要があります。

2台のマシンが同じサブネット上にある場合(つまり、それらの間にルーターがない場合)、 ARPポイズニング は実行可能な攻撃になります。これには、攻撃者が一方のマシンに「ねえ、私はあなたが話していたサーバーであり、私のMACアドレスはattacker's MACになりました」と言い、もう一方のマシンに「ねえ、私はあなたが話していたクライアントです。私のMACアドレスはattacker's MACになりました。」それが完了すると、攻撃者は実際の受信者に転送する前に、すべてのトラフィックをリッスンする(または変更する)ことができます。

自己署名証明書に関する警告を削除することは、攻撃者がいる可能性がある場合は悪い考えです。これを行うと、そもそも証明書を持っているという全体的なポイントが破壊されます。具体的には、誰も証明書を作成して、他のコンピューターにそれらを信じさせることはできません。 '適切なサーバーです。私がグーグルであり、あなたが私を信じているという証明書を作成できれば、グーグルへのトラフィックを傍受してそれをいじることができます。 TLS(および実際にはすべての公開鍵インフラストラクチャ)には、信頼できる認証局が必要です。

攻撃者がネットワークに接続できないことが確実な場合(たとえば、2つのサーバーが直接接続され、物理的に保護されている場合)、必要なものを平文で送信できます。そうでなければ、セキュリティは良い計画です。

5
Ben N