Unifi Cloudkey SSL certificate + ssllabs score A

unifi logo


De Unifi cloudkey heeft standaard de mogelijkheid om gebruik te maken van cloud access via unifi.ubnt.com om zo je cloudkey vanaf een andere locatie te kunnen beheren. Echter ben je dan afhankelijk van de services van ubnt en dat wil niet iedereen. Wil je je Unifi cloudkey zelf via het web kunnen benaderen dan is dat uiteraard ook mogelijk. In deze blog kijk in naar de SSL settings welke gebruikt worden door de CK

Mijn configuratie thuis ziet er als volgt uit:

– Ziggo modem in bridge
– Unifi USG 3P
– Unifi 8P Switch 60w
– Unifi AP-LR
– Unifi Cloudkey

SSL Certificate:
Als je er voor kiest om je Controller naar buiten open te zetten zorg dan voor een geldig SSL Certificaat zodat de verbinding tussen je browser en de webserver (CK) gecodeerd is.Citaat van: Digicert.com

What is Secure Sockets Layer (SSL)?

Secure Sockets Layer (SSL) is a standard security technology for establishing an encrypted link between a server and a client—typically a web server (website) and a browser, or a mail server and a mail client (e.g., Outlook).

SSL allows sensitive information such as credit card numbers, social security numbers, and login credentials to be transmitted securely. Normally, data sent between browsers and web servers is sent in plain text—leaving you vulnerable to eavesdropping. If an attacker is able to intercept all data being sent between a browser and a web server, they can see and use that information.

More specifically, SSL is a security protocol. Protocols describe how algorithms should be used. In this case, the SSL protocol determines variables of the encryption for both the link and the data being transmitted.

All browsers have the capability to interact with secured web servers using the SSL protocol. However, the browser and the server need what is called an SSL Certificate to be able to establish a secure connection.SSL Certificate op je CK:
De Unifi Cloudkey draait op Debian en heeft ook ondersteuning voor SSL certificaten. Willie Howe heeft hier een video tutorial van gemaakt (zie hieronder)

Cloudkey Updates:
Ubnt geeft doormiddel van firmware updates ondersteuning op de CK als je de controller naar buiten open zet is het belangrijk om regelmatig te checken welke firmware versie je draait en te controlleren of er een update beschikbaar is. Dit kun je doen in de controller of op de firmware pagina van ubnt.

Security Updates
Ubnt geeft aan dat er dagelijks een controlle is of er nieuwe security updates zijn voor het OS (Debian)UniFi Cloud Key system checks and security update installs from upstream Debian source daily.ssllabs.com Citaat van: Ivan Ristić, Qualys

About SSL Labs
SSL Labs is a collection of documents, tools and thoughts related to SSL. It’s an attempt to better understand how SSL is deployed, and an attempt to make it better. I hope that, in time, SSL Labs will grow into a forum where SSL will be discussed and improved.

SSL Labs is a non-commercial research effort, and we welcome participation from any individual and organization interested in SSL.ssllabs geeft scans een score tussen A+ en F- waarbij A beter is dan F.A+ – exceptional configuration
A – strong commercial security
B – adequate security with modern clients, with older and potentially obsolete crypto used with older clients; potentially smaller configuration problems
C – obsolete configuration, uses obsolete crypto with modern clients; potentially bigger configuration problems
D – configuration with security issues that are typically difficult or unlikely to be exploited, but can and should be addressed
E – unused
F – exploitable and/or patchable problems, misconfigured server, insecure protocols, etc.Ik heb ssllabs een scan/report laten maken van mijn cloudkey configuratie en ubnt heeft het met een A score prima op orde.

Firmware: V0.11.5
Controller: 5.8.28
Valid Certificate: Ja (Comodo PositiveSSL)

Unifi CK SSLLABS 1

Unifi CK SSLLABS 2

Protocols: De Cloudkey maakt gebruik van TLS 1.1 en 1.2. TLS 1.0 en SSL3 & SSL2 zijn uitgeschakeld wat je in deze tijd ook wel mag verwachten.

Is het 100% veilig om mijn cloudkey naar buiten open te zetten met een SSL certificate en A score?

NEE Het naar buiten openzetten van servers heeft altijd een risico. Het gebruik van SSL certificaten en een goed update beleid zorgen er voor dat het risico iets minder groot is maar je moet dit altijd bijhouden en controleren. De CK (Controller) heeft helaas nog geen beschikking over 2FA. Zorg daarom dat je een andere user name kiest dan root of admin (Administrator) en zorg voor een sterk password in de vorm van een password zin. Tevens is goed om te checken of je remote SSH wel of niet wilt toestaan en hier ook een beveiliging voor op te zetten als je dit toch wilt.

Wil je toch meer security dan zou ik gebruik maken van de ubnt cloud service welke wel 2FA heeft of gebruik maken van openvpn of L2TP/Ipsec vpn welke je makkelijk kunt opzetten op een USG,PI of ander device.

Next:
In mijn volgende blog wil ik checken of het mogelijk is om een A+ score te halen door HTTP Strict Transport Security te gaan gebruiken op de CK.