Cómo proteger los datos de texto sin cifrar que se transmiten a través de la conexión LAN / LAN inalámbrica y PPTP VPN sin un nombre de dominio (solo dirección IP)

Ir a HTTPS.

Aparte de todo lo demás, es probable que su VPN no termine en su Odoo, por lo que posiblemente sería posible rastrear las credenciales mientras transitan entre el sistema que ejecuta su servidor VPN y el que ejecuta Odoo.

La implementación de HTTPS garantizaría que la comunicación (y las credenciales) se cifren hasta el servidor Odoo.

Como punto de partida, puede generar un certificado autofirmado utilizando openssl con:

openssl req -newkey rsa:2048 -keyout server.key -out server.pem -subj "/CN=myserver/O=myCorp"

También puede buscar en algo como cfssl ( enlace ) para generar una PKI "adecuada" con una CA y un servidor / cliente certificados.

Honestamente, el FQDN sería bueno (y podría facilitarlo editando su / etc / hosts, o su equivalente específico del sistema), pero no es necesario. Aparte de eso, puede agregar direcciones IP a los certificados (como SAN - Nombre alternativo del sujeto) que se considerarán "válidos".

El problema principal es que, a menos que importe su cadena CA en el almacén de certificados de su navegador / dispositivo, seguirá recibiendo advertencias sobre certificados autofirmados. Debes intentarlo y evitarlo: acostumbrar a las personas a ignorar las advertencias de seguridad es una cosa mala ©.

Parece que sería mejor utilizar su VPN solo para fines de enrutamiento (básicamente, para que siempre pueda hablar con su sistema en la misma dirección RFC1918), y evite exponer todo esto a Internet hasta que sepa. Lo tienes todo bien y encerrado.

¿Qué tan segura es la contraseña en este contexto? Inseguro

¿Por qué?

• Se sabe que PPTP es inseguro desde una perspectiva MITM.
• HTTPS es seguro si se configura correctamente. En este caso, parece que el certificado se emite a un nombre de host pero los usuarios acceden al sitio mediante una IP. Es muy probable que el navegador marque la conexión como insegura. Esta es otra oportunidad MITM.

¿Por qué no usar HTTPS con un FQDN y un certificado emitido por una CA pública?

Hay otras soluciones al problema.

Usando (por ejemplo) stunnel, es posible vincular la autenticación al certificado presentado (más específicamente, su hash) en lugar de la combinación de ca cert, firma cert, cn record y dns record.

En efecto, el modelo de confianza es el mismo que para ssh, que también podría usarse para proteger el tráfico.

Pero si ya tiene una configuración de https convencional, simplemente use una conexión vpn completamente tunelizada y apunte la resolución a su archivo de hosts, o un servidor al que se accede a través de la vpn. PPTP no es lo suficientemente bueno; use ipsec, openvpn o similar.