Https abuse em lugar público [closed]

Navegue suas respostas
0

Estou ajudando minha amiga a combater o crime, depois em pub usando wi-fi grátis várias vezes ela sofreu abusos, ela de alguma forma relatou ip's e se livrou de problemas, depois de uma 10ª vez fui lá instalado no roteador Open WRT ele open source apenas para futuras modificações sobre este problema, felizmente roteador suportado apenas código compilado, também que era melhor interface. Bem ok normal, eu só fui lá e coloquei, depois ela pediu para você monitorar essas sessões https para me ajudar? Eu disse que não é impossível, é criptografado! Agora eu estou apenas transferindo URLs LOGS para o meu servidor e depois para minha caixa de correio. Depois de outro abuso, quando alguém na temporada https roubou algumas coisas do ebay, ficou sério. Tudo o que eu tenho ip's, e isso é tudo, Se desligarmos o HTTPS mesmo o Facebook não estará acessível, vamos perder algo como 20% da receita, apenas desligando https ou bloqueando portas específicas, agora somos obrigados a resolver esse problema. Temos todo o acesso a todos os roteadores, mas não podemos interagir com o que acontece em seus "https", precisamos tê-lo na planície! Encaminhamos para citar todo o código do link para um "gurus do setor de TI", no entanto eles recusaram iniciar o trabalho sem antecipação (5K $ / mensalmente, sem resultado conhecido, mas com reembolso de 80% em pesquisa após solução não entregue)

Minha pergunta é bem simples, como ter sessões https falsas ou forçá-las a usar nosso "servidor" sem codificação para superar isso e, novamente, temos software de código aberto? para que possamos filtrar depois de codificar o software do roteador, para bloquear em termos de conteúdo palavras como "pornografia infantil" e bloqueá-lo, da nossa biblioteca de palavras-chave que desenvolvemos. Eu não posso pagar sem comentários de pessoas corajosas ajudar para tais coisas básicas para o meu amigo, que vai ser arrancado com 5K inicial link

Normalmente, temos cerca de 60 a 90 sessões no pico, o registro do SMS ou a prova de identidade apenas assustam os usuários abusivos e antigos que querem apenas se acalmar, como sempre.

Muito obrigado.

    
por Albert non Einstein 15.08.2017 / 00:50

3 respostas

3

My question is pretty simple , how to have fake https sessions or force them to have on our "server" unencoded to overcome this and again we have open source software

Você não pode fazer isso muito bem sem a cooperação de conectar clientes. A maneira correta de fazer isso é exigir que os clientes instalem um certificado HTTPS do MITM, tenham um proxy HTTPS que use esse certificado e solicitem que os clientes instalem esse certificado para acessar o HTTPS. As empresas podem fazer isso com facilidade e transparência para o usuário final, porque coisas como os certificados podem ser eliminados por meio do Windows Active Directory e assim por diante.

so we can filter out after coding router software , to have ability block in content words like "child porn" and block it , from our keyword library which we develope.

Com base em algumas das palavras da sua pergunta, parece que você está administrando uma empresa e oferecendo Wi-Fi como cortesia.

Você realmente precisa falar com um advogado e descobrir quais são suas responsabilidades legais ao oferecer serviço público de Internet e agir de acordo.

Se você está simplesmente fornecendo acesso público à Internet, se você é ou não responsável pelo tráfego que passa por ele e até que ponto é uma questão legal - e ao tentar bloquear o tráfego indesejado, você pode se expor a responsabilidades adicionais , mais do que se você não fizesse nada.

Você pode conversar com seu ISP e ver quais opções eles têm para pontos de acesso públicos de classe empresarial. Pode ser mais barato do que fazê-lo sozinho e vai descarregar a responsabilidade e outras questões como segurança, etc. para o seu ISP.

    
por 15.08.2017 / 02:02
0

Você estava certo na primeira vez: "Não, é impossível, está criptografado!". Se cada pub ou restaurante aleatório pudesse bisbilhotar o tráfego HTTPS de seus clientes, o HTTPS estaria terrivelmente quebrado.

O melhor que você pode fazer é bloquear o acesso a sites com nomes que você não gosta. Mesmo os cabeçalhos HTTPS (TLS) vazam o nome do site ao qual o cliente está tentando se conectar, por isso tenho certeza de que alguém cria um firewall que examine essas cadeias de identidade do servidor no handshake TLS e bloqueie o handshake TLS. o usuário está tentando se conectar a um site não autorizado.

No entanto, isso não ajuda quando as pessoas estão usando seu ponto de acesso público Wi-Fi para fazer coisas abusivas em sites populares como o eBay ou o Facebook que você nunca deseja bloquear. Realmente não há como você ver o que as pessoas estão fazendo nesses sites, além de fazer com que todos os usuários instalem certificados de proxy e configurações especiais como se estivessem trabalhando em uma megacorporação que deseja espionar todo o tráfego. Mas se você não quer que seus clientes regulares tenham que se autenticar pessoalmente, você definitivamente não vai pedir para eles instalarem um monte de configurações de proxy e certificados confiáveis.

    
por 15.08.2017 / 01:38
0

Se você tiver que interceptar o tráfego HTTPS, estará enfrentando uma batalha difícil e, provavelmente, irritará seus clientes e violará a confiança. Como outros já mencionaram, você precisaria fazer com que os clientes instalassem um certificado que permitiria ao MITM o tráfego (que tem efeitos colaterais e pode quebrar coisas), ou forçá-los a usar um servidor proxy.

Claro que existem outras maneiras de lidar com o problema de fraude sem MITM'ing a conexão. Você pode exigir que os usuários registrem seu dispositivo (ou seja, endereço MAC) com você e, em seguida, manter um controle de quando esse endereço MAC se conecta à sua rede e com qual endereço IP. Combinado com logs de dados brutos de sessões (criptografadas), se a fraude for informada a você, você poderá associá-la ao endereço MAC e, assim, ao usuário originário - Infelizmente isso não é trivial de implementar.

Outra solução parcial - que não permite que você veja o que está sendo visualizado, mas que lhe dará alguns insites pequenos e pode ajudar a reduzir o que você registra - poderia rastrear consultas DNS para ver a quais sites os usuários estão se conectando .

    
por 15.08.2017 / 08:54

Tags

Diretórios contendo colchetes [] no nome que está sendo excluído no Powershell Prioridade de resolução de endereço IP (IPv4)