Acces https à l'interface de l'ipx800

Bonjour a tous.

Je crée se sujet pour aborder la question de l’accès sécurisé a l’interface web.

En effet, pour l’instant, si on accède a l’interface de l’ipx depuis internet, l’ensemble du contenu de l’interface circule en clair sur internet, mot de passe et flux images des éventuelles cameras compris, et cela m’inquiète un peu quand ont sait que l’ipx gère l’ensemble de la maison.

Se problème a été aborder un peu partout notamment dans ce sujet:

Maxime_gce notament, soumet un point intéressent:

Je me permet de répondre faux.

Il en réalité tout a fait inutile d’intégré « en usine » un certificat pour chaque carte.
On peut prendre en exemple free, qui a régler le même problème avec la freebox v6, ou bien jeedom.

Il existe 3 solutions.

1ere solution La plus simple selon moi:

Pouvoir, depuis l’interface, généré et utilisé automatiquement un certificat auto-signé. (signé par le certificat lui-même) En effet, quand on achète un certificat, on paye juste une autorité de certification reconnu automatiquement par les navigateurs.

Un certificat auto-signé permet de mettre en place une connexion sécurisée et chiffrée sans déboursé un centime. Seul bémol, à la première connexion, le navigateur affiche forcément un avertissement que le certificat est non valide car non approuvé par une autorité de certification reconnu (donc payante), mais par l’ipx lui-même. Ce n’ai pas vraiment un problème car seul le proprio de la maison est sensé se connecter à l’ipx, il connait donc l’ipx, et il lui suffit donc d’accepter le certificat la première fois.

2eme solution, plus difficile à utilisé, mais plus simple à programmer:
Pouvoir uploader pendant la mise à jour du firmaware ou directement sur l’interface web, un certificat (auto-signé(généré) ou acheter préalablement par l’utilisateur). L’ipx n’a plus qu’a l’utilisé.

Remarque: startssl est une autorité de certification reconnue « officiellement » qui délivre gratuitement des certificats reconnus « officiellement » par les navigateurs.

3eme solution:
Depuis mi 2015, une nouvelle autorité de certification a été créée par un consortium de grandes société du web: Let’s Encrypt.

La freebox, par exemple, intègre cette solution.

Heureusement, Let’s Encrypt fourni un logiciel libre appelé Boulder, écrit en Go, qui implémente cette procedure.

Voila voila, désolé pour le pavé.

Bonsoir Mat,

C’est sympa de proposer des « nouvelles » pistes … mais il faut citer les bons paragraphes qui couvrent ton topic: ainsi dans le topic que tu cites notamment le post de Patric (@GCE) : Configuration push pour freemobile - #32 par GCE

et dans ce post: URGENT : TLS support svp SSLv3 HS - #4 par GCE

1. toujours de Patrick (@GCE) … il donne pas mal de réponses à tes questions: URGENT : TLS support svp SSLv3 HS - #4 par GCE
2. enfin celui de Maxime (@Maxime_gce) URGENT : TLS support svp SSLv3 HS - #12 par Maxime_gce

Pour ma part, je t’incite à utiliser un VPN comme le recommande aussi Patrick (@GCE) et comme nous l’avons évoqué dans ce post : Utilisation de la DMZ pour accès extérieur - #19 par fgtoul

J’espère avoir apporté un peu d’eau à ton moulin …

A+

Au début, je pensais comme vous @mat.

Mais j’avais oublié un petit détail : le système d’exploitation embarqué (également appelé firmware) des IPXs est développé « from scratch » par la team GCE. Ils sont obligé étant donné les contraintes techniques imposées par le chipset utilisé (i.e. ressources très limitées)

Du coup, ajouter le support d’un certificat SSL en mode serveur n’est pas mince affaire : d’une part il faut dédier des ressources CPU/mémoire à cette partie. Ce qui veut dire que ces ressources ne pourrons pas être utilisées pour d’autres fonctionnalités… D’autre part, il faut écrire tout le code qui permettra de gérer SSL côté serveur. Malheureusement, vu que ce n’est pas une architecture connue (x86/ARM…), il n’est pas possible d’utiliser des librairies existantes. D’où un coups extrêmement élevé en R&D pour une fonctionnalité qui au final peut être palier par une solution autant sinon plus « secure » : le VPN

Bonjour,

Le VPN est effectivement ce qu’il a de plus secure. Cependant j’attache beaucoup d’importance à la sécurité et je travaille depuis plusieurs semaines sur l’implantation du tls 1.2.
On démarrera vraisemblablement les premiers tests de la nouvelle librairie crypto TLS d’ici 2 à 3 semaines. Si les tests sont concluants on pourrait même espérer un certificat autosigné côté serveur mais une fois de plus c’est intimement lié aux ressources de la V4 donc il faut être prudent et avancer pas à pas.

Cdt

Bonjour,
En attendant il est tout à fait possible de passer par une passerelle qui elle serait plus sécurisée (Jeedom ou autre) et de n’exposer le http de l’ipx800 uniquement sur le réseau local.

Je pense partir sur cette solution pour ma part