Oscam Webif + SSL + Zertifikat

[GTD Bastion]

In diesem HowTo geht es um die Absicherung des Oscam Webinterface per SSL mit einem Zertifikat.

Warum das Webinterface per SSL sichern?

Die Antwort liegt auf der Hand. Der Username und das Passwort werden im normalen Betrieb unverschlüsselt übertragen, was natürlich unter umständen zu

Sie müssen registriert sein, um Links zu sehen.

und ähnlichen einläd. Außerdem bietet das Zertifikat die Sicherheit, dass der Server seine Identität gegenüber dem Client (in diesem Fall dem Webbrowser) bestätigt. Dadurch das an der Stelle bei der Anmeldung am Oscam Webinterface SSL genutzt wird, werden auch der Username und das Passwort verschlüsselt.

Welche Voraussetzungen gibt es?

1. Eine Oscam Version, in der SSL Unterstützung kompiliert ist.
2. Ihr braucht einen Server (in meinem Fall ist es ein Ubuntu Server 10.4, oder bsp. Debian) mit installierten Openssl.

Für Debian / Ubuntu wird openssl so installiert:

sudo apt-get update
sudo apt-get install openssl

Anschließen können wir unsere Zertifikate erstellen:

# Paßwortgeschützten Server Key erzeugen 
openssl genrsa -des3 -out server.key 1024  
# Ungeschützte Version extrahieren (der SSL-Server kann ja nicht 
# vor der Benutzung selbst ein Paßwort eingeben) 
openssl rsa -in server.key -out server.key.unsecure  
# Certificate Signing Request (CSR) mit persönlichen Daten erzeugen 
openssl req -new -key server.key -out server.csr  
# Ein Jahr gültiges, selbst signiertes Zertifikat anfordern 
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt  
# CSR wird nicht mehr benötigt 
rm server.csr  
# Schlüssel + Zertifikat (in dieser Reihenfolge!)    
# in einer Datei zusammenführen 
cat server.key.unsecure server.crt > oscam.pem  
# Nachschauen, ob auch alles da ist 
ls -l

Wenn nicht in ein bestimmtes Verzeichnis gewechselt, liegen die Zertifikate im root Verzeichnis. Jetzt können wir das Zertifikat oscam.pem in unser Verzeichnis kopieren, in dem auch unsere Oscam Konfigurationsdateien liegen.

In der Oscam.conf müssen wir jetzt nur noch unseren httpport anpassen:

...
httpport = +8686 #Für SSL
...

Zum Abschluß muss nur noch Oscam neugestartet werden und im Browser euer Oscam Webif aufgerufen werden. Ihr werdet automatisch auf https umgeleitet.

Ein Dank für die Unterstützung geht ans Streambaord

 

[Wassertropfen]

AW: [HowTo]Oscam Webif + SSL + Zertifikat

Hallo T1x

Deine Mühe in Ehren !! auf jedenfall !!,aber eine MITM Attacke ist eher unwahrscheinlich den Grund möchte ich auch mal gleich mitliefern

ne MITM Attacke setzt in den meisten fällen eine manipulation der Zieladresse voraus und das der Attentäter saich im selben netzwerk befinden sollte ..... das heisst wenn man regelmässig sein arp -a ausführt und seine physikalische Adresse überwacht kann einem sowas nicht mehr passieren,der angreifer modifiziert dann die arp tabellen das kann eigentlich jedes Kind ich habe früher sowas geprobt im Internat bei den Mitschülerinnen .... ich wollte an ihre Intimsten geheimnisse kommen ... wie das so ist wenn man jung,Wild und unerfahren und mit hoher krimineller Energie von denen man nicht wusste was sie für auswirkungen haben,einsetzt.

was ich damit sagen will ist einfach das wenn man sich einen MITM Angriff einfängt dann brauch man auch nur über seine Schulter zu schauen und guggen wer den sein kabel in seinem Router eingesteckt hat ok übers Internet ist das auch möglich allerdings muss man dann über ein hochtechnisches Equickment verfügen was ein bisschen das Budget sprengen würde also wenn man es drauf anlegt dann sprenge ich dir auch dein Open ssl... wie ?
ganz einfach wenn man bei der ersten verbindung SSH/SSL euch beiden (Server,Client) nen falschen schlüssel vorgaukelt dann bin ich nämlich der MITM und ihr bekommt rein gar nichts davon mit
wenn man dan allerdings wieder hingeht und das Zertifikat Manuell Prüft dann kann man mich erwischen

also was ich damit sagen will ganz sicher zu machen ist ein umweg den man natürlich wenn man übervorsichtig ist in kauf nehmen sollte,ich lasse es alles ohne diese Spielerreien bei mir laufen,denn jeh sicherer ich das netz mache desto mehr faktoren habe ich für instabilität

wie gesagt das ist nur meine Meinung und jeder kann sich da für sich gedanken machen

Sicher macht es das Server Client verhältnis etwas sicherer aber es entstehen auch mehr ausfallrisiken das sollte man auch bedenken .... und ich habe noch nie gehört das man jemanden gekascht hat sollte das mal so sein bin ich Golden Frogs bester Kunde

und ausserdem wäre es langweilig die datenpakete abzuhören ist ja nix aufregendes drin

Hier gehts zum Laberthread weiter.