Lạm dụng Https ở nơi công cộng [đóng cửa]

Tôi đang giúp bạn tôi chống lại tội phạm, sau khi ở quán rượu sử dụng wi-fi miễn phí nhiều lần cô ấy bị lạm dụng, bằng cách nào đó cô ấy đã báo cáo ip và thoát khỏi các vấn đề, sau lần thứ 10 tôi đến đó cài đặt trên bộ định tuyến Mở WRT kể từ khi nó mở Chỉ cần sửa đổi trong tương lai về vấn đề này, may mắn là bộ định tuyến chỉ hỗ trợ mã được biên dịch, đó cũng là giao diện tốt hơn. Vâng, bình thường, tôi chỉ đến đó và đặt nó, sau đó cô ấy hỏi bạn có thể theo dõi các phiên https đó để giúp tôi không? Tôi nói không, nó không thể được mã hóa! Bây giờ tôi chỉ chuyển URLS LOGS sang máy chủ của mình và sau đó vào hộp thư của mình. Sau một vụ lạm dụng khác khi ai đó qua mùa https đã đánh cắp một số thứ từ ebay, nó trở nên nghiêm trọng. Tất cả tôi có ip, và đó là tất cả, Nếu chúng tôi tắt HTTPS, thậm chí Facebook sẽ không thể truy cập được, chúng tôi sẽ mất khoảng 20% ​​thu nhập, chỉ cần tắt https hoặc chặn các cổng cụ thể, giờ đây chúng tôi buộc phải giải quyết vấn đề này. Chúng tôi có tất cả quyền truy cập vào tất cả các bộ định tuyến tuy nhiên chúng tôi không thể tương tác những gì xảy ra trong "https" của chúng tôi, chúng tôi cần phải có nó rõ ràng! Chúng tôi đã chuyển tiếp để trích dẫn tất cả các mã từ https://github.com/openwrt/openwrt đến một "chuyên gia trong lĩnh vực CNTT", tuy nhiên họ đã từ chối bắt đầu công việc mà không trả trước (5K $ / tháng, thậm chí không biết kết quả, nhưng hoàn lại 80% cho nghiên cứu sau khi giải pháp không được giao

Câu hỏi của tôi khá đơn giản, làm thế nào để có các phiên https giả mạo hoặc buộc chúng phải có trên "máy chủ" không được mã hóa để khắc phục điều này và một lần nữa chúng ta có phần mềm nguồn mở? vì vậy chúng tôi có thể lọc ra sau khi mã hóa phần mềm bộ định tuyến, để có khả năng chặn các từ nội dung như "khiêu dâm trẻ em" và chặn nó, từ thư viện từ khóa mà chúng tôi phát triển. Tôi không đủ khả năng nếu không có bất kỳ người nào táo bạo nhận xét trợ giúp cho những điều cơ bản như vậy cho bạn tôi, người sẽ bị gạt ra với 5K ban đầu https://github.com/openwrt/openwrt

Chúng tôi thường có khoảng 60-90 phiên vào lúc cao điểm, đăng ký SMS hoặc bằng chứng id sẽ khiến cả những kẻ lạm dụng và khách hàng cũ muốn bình tĩnh ở đây như mọi khi.

Cảm ơn nhiều.

Câu hỏi của tôi khá đơn giản, làm thế nào để có các phiên https giả hoặc buộc chúng phải có trên "máy chủ" của chúng tôi chưa được mã hóa để khắc phục điều này và một lần nữa chúng tôi có phần mềm nguồn mở

Bạn không thể làm điều này thực sự tốt mà không cần sự hợp tác từ việc kết nối khách hàng. Cách đúng đắn để làm điều này là yêu cầu khách hàng cài đặt chứng chỉ HTTPS MITM, có proxy HTTPS sử dụng chứng chỉ này và sau đó yêu cầu khách hàng cài đặt chứng chỉ này để truy cập HTTPS. Các công ty có thể thực hiện việc này một cách dễ dàng và minh bạch cho người dùng cuối vì những thứ như chứng chỉ có thể được đẩy ra thông qua Windows Active Directory, v.v.

vì vậy chúng tôi có thể lọc ra sau khi mã hóa phần mềm bộ định tuyến, để có khả năng chặn các từ nội dung như "khiêu dâm trẻ em" và chặn nó, từ thư viện từ khóa mà chúng tôi phát triển.

Dựa trên một số từ trong câu hỏi của bạn, có vẻ như bạn đang điều hành một doanh nghiệp và cung cấp Wifi như một tiện ích.

Bạn thực sự cần nói chuyện với một luật sư và tìm hiểu những trách nhiệm pháp lý của bạn với việc cung cấp dịch vụ Internet công cộng và hành động phù hợp.

Nếu bạn chỉ đơn giản là cung cấp truy cập Internet công cộng, cho dù bạn có chịu trách nhiệm về lưu lượng truy cập qua nó hay không, và ở mức độ nào, là vấn đề pháp lý - và bằng cách cố gắng chặn lưu lượng truy cập không mong muốn, bạn có thể phải chịu trách nhiệm bổ sung hơn là nếu bạn không làm gì cả

Bạn có thể muốn nói chuyện với ISP của bạn và xem họ có những lựa chọn nào cho các điểm nóng công cộng cấp doanh nghiệp. Nó có thể rẻ hơn so với tự làm và sẽ giảm trách nhiệm và các vấn đề khác như bảo mật, vv cho ISP của bạn.

Bạn đã đúng ngay lần đầu tiên: "Không, không thể, nó được mã hóa!". Nếu mọi quán rượu hoặc nhà hàng ngẫu nhiên có thể rình mò lưu lượng HTTPS của khách hàng, HTTPS sẽ bị phá vỡ khủng khiếp.

Điều tốt nhất bạn có thể làm là chặn truy cập vào các trang web có tên bạn không thích. Ngay cả các tiêu đề HTTPS (TLS) cũng rò rỉ tên của trang web mà khách hàng đang cố gắng kết nối, vì vậy tôi chắc chắn ai đó sẽ tạo một tường lửa nhìn vào các chuỗi nhận dạng máy chủ trong bắt tay TLS và chặn bắt tay TLS người dùng đang cố gắng kết nối với một trang web trái phép.

Tuy nhiên, điều này không giúp ích gì cho bạn khi mọi người đang sử dụng điểm truy cập Wi-Fi công cộng của bạn để thực hiện những việc lạm dụng trên các trang web phổ biến như eBay hoặc Facebook mà bạn không bao giờ muốn chặn. Thực sự không có cách nào để bạn thấy mọi người đang làm gì trên các trang web đó, thiếu việc khiến tất cả người dùng của bạn cài đặt chứng chỉ và cài đặt proxy đặc biệt như thể họ đang làm việc trong một tập đoàn lớn muốn theo dõi tất cả lưu lượng truy cập của họ. Nhưng nếu bạn không muốn các cơ quan quản lý của mình phải xác thực cá nhân, bạn chắc chắn sẽ không yêu cầu họ cài đặt một loạt các cài đặt proxy và chứng chỉ tin cậy.

Nếu bạn phải chặn lưu lượng HTTPS, bạn đang chiến đấu trong một trận chiến khó khăn và có thể sẽ chọc giận khách hàng của bạn và vi phạm niềm tin. Như những người khác đã đề cập, bạn sẽ cần phải yêu cầu khách hàng cài đặt chứng chỉ cho phép bạn MITM lưu lượng (có tác dụng phụ và có thể phá vỡ mọi thứ) hoặc buộc họ sử dụng máy chủ proxy.

Tất nhiên, có nhiều cách khác để giải quyết vấn đề gian lận mà không cần kết nối với MITM. Bạn có thể yêu cầu người dùng đăng ký thiết bị của họ (tức là địa chỉ MAC) với bạn và sau đó theo dõi khi nào địa chỉ MAC đó kết nối với mạng của bạn và với địa chỉ IP nào. Kết hợp với nhật ký dữ liệu thô của các phiên (được mã hóa), nếu gian lận được báo cáo lại cho bạn, bạn có thể khớp nó lại với địa chỉ MAC và do đó người dùng khởi tạo - Thật không may, điều này không tầm thường để thực hiện.

Một giải pháp một phần khác - sẽ không cho phép bạn xem những gì đang được xem, nhưng sẽ cung cấp cho bạn một số thông tin nhỏ và có thể giúp bạn giảm những gì bạn đăng nhập - có thể là đánh hơi các truy vấn DNS để xem những gì người dùng đang kết nối.