Https ругань в общественном месте

Question

Я помогаю своей подруге бороться с преступностью, после того, как в пабе несколько раз она пользовалась бесплатным Wi-Fi, она как-то сообщила о ip и избавилась от проблем, после того как в 10-й раз я зашла туда, установила на роутер Open WRT, так как он с открытым исходным кодом только для будущих модификаций этой проблемы, к счастью, маршрутизатор поддерживал только скомпилированный код, а также это был лучший интерфейс. Ну, ладно, нормально, я просто пошел туда и поставил, позже она спросила, можете ли вы следить за этими сеансами https, чтобы помочь мне? Я сказал нет, это невозможно, это зашифровано! Теперь я просто передаю ЛОГИКИ URLS на мой сервер, а затем и на мой почтовый ящик. После очередного оскорбления, когда кто-то в течение сезона https украл что-то у ebay, это стало серьезным. Все, что у меня есть ip, и это все, если мы отключим HTTPS, даже если Facebook не будет доступен, мы потеряем примерно 20% дохода, просто отключив https или заблокировав определенные порты, мы теперь вынуждены решить эту проблему. У нас есть доступ ко всем маршрутизаторам, но мы не можем взаимодействовать с тем, что происходит в их "https", нам нужно, чтобы это было просто! Мы отправили для цитаты весь код из https://github.com/openwrt/openwrt «гуру ИТ-сектора», однако они отказались начать работу без предварительной оплаты (5K $/ ежемесячно, даже без известного результата, но с возвратом на 80 % на исследования после недоставленного решения)

Мой вопрос довольно прост: как создать поддельные сеансы https или заставить их на нашем "сервере" не кодироваться, чтобы преодолеть это, и снова у нас есть программное обеспечение с открытым исходным кодом? поэтому мы можем отфильтровать после кодирования программного обеспечения маршрутизатора, чтобы иметь способность блок в содержательных словах, как "детское порно" и блокировать его, от нашей ключевого слова библиотеки, которую мы разрабатываем. Я не могу позволить себе без каких-либо смелых комментариев людей помощь в таких элементарных вещах для моего друга, которого вырвут с начальными 5K https://github.com/openwrt/openwrt

У нас обычно около 60-90 сессий в пиковое время, регистрация по SMS или подтверждение личности просто отпугнет как злоумышленников, так и старых клиентов, которые хотят просто успокоиться здесь, как всегда.

Большое спасибо.

Answer 1

Мой вопрос довольно прост: как создать поддельные сеансы https или заставить их иметь на нашем "сервере" незашифрованные, чтобы преодолеть это, и снова у нас есть программное обеспечение с открытым исходным кодом

Вы не можете сделать это действительно хорошо без сотрудничества с подключением клиентов. Правильный способ сделать это - потребовать, чтобы клиенты установили сертификат HTTPS MITM, имели прокси HTTPS, использующий этот сертификат, а затем потребовали, чтобы клиенты установили этот сертификат для доступа к HTTPS. Компании могут сделать это легко и прозрачно для конечного пользователя, потому что такие вещи, как сертификаты, могут распространяться через Windows Active Directory и так далее.

поэтому мы можем отфильтровать после кодирования программного обеспечения маршрутизатора, чтобы иметь способность блок в содержательных словах, как "детское порно" и блокировать его, от нашей ключевого слова библиотеки, которую мы разрабатываем.

Исходя из некоторых слов вашего вопроса, похоже, что вы управляете бизнесом и предлагаете Wi-Fi в качестве удобства.

Вам действительно нужно поговорить с юристом и выяснить, каковы ваши юридические обязательства в отношении предоставления общедоступных услуг Интернета, и действовать соответствующим образом.

Если вы просто предоставляете общедоступный доступ в Интернет, независимо от того, несете ли вы ответственность за трафик, проходящий через него, и в какой степени это юридический вопрос - и, пытаясь заблокировать нежелательный трафик, вы можете подвергнуть себя дополнительной ответственности, тем более чем если бы ты вообще ничего не делал.

Возможно, вы захотите поговорить с вашим провайдером и посмотреть, какие у них есть варианты для общественных точек доступа бизнес-класса. Это может быть дешевле, чем делать это самостоятельно, и перекладывать ответственность и другие вопросы, такие как безопасность и т.д., На вашего интернет-провайдера.

Answer 2

Вы были правы в первый раз: «Нет, это невозможно, это зашифровано!». Если бы каждый случайный паб или ресторан мог отслеживать трафик HTTPS своих клиентов, HTTPS был бы ужасно сломан.

Лучшее, что вы можете сделать, это заблокировать доступ к сайтам с именами, которые вам не нравятся. Даже заголовки HTTPS (TLS) пропускают имя веб-сайта, к которому пытается подключиться клиент, так что я уверен, что кто-то создает брандмауэр, который просматривает эти строки идентификации сервера в рукопожатии TLS и блокирует завершение рукопожатия TLS, если пользователь пытается подключиться к неавторизованному сайту.

Однако это не поможет вам, когда люди используют вашу общедоступную точку доступа Wi-Fi для совершения оскорбительных действий на популярных веб-сайтах, таких как eBay или Facebook, которые вы никогда не захотите заблокировать. На самом деле у вас нет возможности увидеть, что люди делают на этих сайтах, если не заставлять всех ваших пользователей устанавливать специальные прокси-сертификаты и настройки, как если бы они работали в мегакорпорации, которая хочет следить за всем своим трафиком. Но если вы не хотите, чтобы ваши постоянные клиенты имели личную аутентификацию, вы определенно не будете просить их установить кучу параметров прокси и доверенных сертификатов.

Answer 3

Если вам нужно перехватить трафик HTTPS, вы вступаете в тяжелую битву и, вероятно, разозлите своих клиентов и нарушите доверие. Как уже упоминали другие, вам нужно будет заставить клиентов установить сертификат, который позволит вам MITM-трафик (который имеет побочные эффекты и может сломать вещи), или заставить их использовать прокси-сервер.

Конечно, есть и другие способы решения проблемы мошенничества без MITM-связи. Вы можете попросить пользователей зарегистрировать свое устройство (то есть MAC-адрес) у вас, а затем отслеживать, когда этот MAC-адрес подключается к вашей сети и с каким IP-адресом. В сочетании с необработанными журналами данных (зашифрованных) сеансов, если вам сообщают о мошенничестве, вы можете сопоставить его с MAC-адресом и, следовательно, с исходным пользователем. К сожалению, это не тривиально.

Другое частичное решение - которое не позволит вам увидеть то, что просматривается, но даст вам несколько небольших инсайтов и может помочь вам сократить объемы, которые вы регистрируете, - это прослушивание DNS-запросов, чтобы увидеть, к каким сайтам подключаются пользователи.