Интересно, должен ли я включить HTTPS/SSL на веб-серверах в моей локальной сети.
Какие возможности предоставляет анализатор / человек-посредник в локальной сети, где устройства обычно подключаются с помощью коммутаторов?
Является ли небрежным отправлять пароли в виде простого текста по локальным сетям?
Я также хочу избавиться от предупреждений самозаверяющих сертификатов.
Зависит от вашей модели угрозы. Если вы считаете, что в вашей сети могут быть плохие парни, вам просто необходимо зашифровать трафик.
Когда две машины находятся в одной подсети (то есть между ними нет маршрутизатора), ARP Poisoning становится выполнимой атакой. Это означает, что злоумышленник скажет одной машине:«Эй, я - сервер, с которым вы разговаривали, а мой MAC-адрес теперь является MAC-адресом attacker's MAC », а другой - «эй, я - клиент, с которым вы разговаривали, и мой MAC-адрес». теперь attacker's MAC . " Как только это будет сделано, злоумышленник может прослушать весь трафик (или изменить его!) перед пересылкой реальному получателю.
Удаление предупреждений о самозаверяющих сертификатах - плохая идея, когда могут быть злоумышленники, потому что это сводит на нет весь смысл наличия сертификатов, в частности, что никто не может просто создать сертификат, а затем заставить другие компьютеры поверить, что они Правильный сервер. Если бы я мог просто создать сертификат о том, что я Google, а вы мне поверили, я мог бы перехватить ваш трафик в Google и возиться с ним, а вы бы не узнали, потому что считали мой сертификат законным. TLS (и вся инфраструктура с открытыми ключами, на самом деле) требует наличия надежных центров сертификации.
Если вы уверены, что ни один злоумышленник не сможет подключиться к сети (например, два сервера напрямую подключены и физически защищены), вы можете отправить все, что хотите, в открытом виде. В противном случае безопасность - это хороший план.
