Https abus dans un lieu public [fermé]

J'aide mon ami à lutter contre le crime, après avoir utilisé plusieurs fois le wi-fi gratuit dans un pub, elle a eu des abus, elle a en quelque sorte signalé les adresses IP et s'est débarrassée des problèmes, après une dixième fois j'y suis allé installé sur le routeur Open WRT, car il est open source juste pour les modifications futures sur ce problème, heureusement, le routeur pris en charge vient de compiler du code, également une meilleure interface. Bien, ok, normal, je suis juste allé là-bas et je l'ai dit, plus tard, elle m'a demandé si vous pouviez surveiller ces sessions https pour m'aider. J'ai dit non, c'est impossible, c'est crypté! Maintenant, je ne fais que transférer les URLS LOGS sur mon serveur et, plus tard, sur ma boîte aux lettres. Après un autre abus quand quelqu'un au cours de la saison https a volé des objets à eBay, c'est devenu sérieux. Si je désactive HTTPS même si Facebook ne sera pas accessible, nous perdrons quelque chose comme 20% du revenu, en désactivant https ou en bloquant des ports spécifiques, nous sommes maintenant obligés de résoudre ce problème. Nous avons tous accès à tous les routeurs. Cependant, nous ne pouvons pas interagir avec ce qui se passe dans leur "https". Nous avons transmis pour citer tout le code de https://github.com/openwrt/openwrt aux "gourous du secteur informatique", mais ils ont refusé de commencer à travailler sans avances (5K $ / mois, sans résultat connu, mais avec remboursement de 80% sur la recherche après solution non livrée)

Ma question est assez simple, comment avoir de fausses sessions https ou les forcer à avoir sur notre "serveur" non codé pour surmonter cela et nous avons encore un logiciel open source? afin que nous puissions filtrer après le codage du logiciel de routeur, avoir un bloc de capacité dans des mots tels que "pornographie enfantine" et le bloquer, à partir de notre bibliothèque de mots clés que nous avons développée. Je ne peux pas me permettre que des commentaires audacieux aident de telles choses fondamentales pour mon ami, qui va se faire arnaquer avec les 5K initiaux https://github.com/openwrt/openwrt

Nous avons normalement environ 60-90 sessions aux heures de pointe, l'enregistrement par SMS ou une preuve d'identité effraie les agresseurs et les anciens clients qui veulent simplement se calmer ici comme toujours.

Grand merci.

Ma question est assez simple, comment avoir de fausses sessions https ou les forcer à avoir sur notre "serveur" non codé pour surmonter cela et nous avons à nouveau un logiciel open source

Vous ne pouvez pas le faire très bien sans la coopération des clients connectés. Pour ce faire, vous devez obliger les clients à installer un certificat MITM HTTPS, à disposer d'un proxy HTTPS utilisant ce certificat, puis à ce que les clients installent ce certificat pour accéder à HTTPS. Les entreprises peuvent le faire facilement et de manière transparente pour l'utilisateur final, car des éléments tels que les certificats peuvent être expulsés via Windows Active Directory, etc.

afin que nous puissions filtrer après le codage du logiciel de routeur, avoir un bloc de capacité dans des mots tels que "pornographie enfantine" et le bloquer, à partir de notre bibliothèque de mots clés que nous avons développée.

Sur la base de certains des mots de votre question, il semblerait que vous dirigiez une entreprise et proposiez le Wifi comme équipement.

Vous devez vraiment parler à un avocat pour connaître vos responsabilités juridiques en matière d’offre de services Internet publics et agir en conséquence.

Si vous fournissez simplement un accès public à Internet, que vous soyez ou non responsable du trafic qui le traverse, et dans quelle mesure, est une question juridique - et en essayant de bloquer le trafic indésirable, vous pourriez vous exposer à une responsabilité supplémentaire, encore plus. que si vous ne faisiez rien du tout.

Vous voudrez peut-être parler à votre fournisseur de services Internet pour connaître ses options en matière de points d'accès publics publics. Cela peut coûter moins cher que de le faire vous-même et déchargera votre FAI de toute responsabilité et de problèmes tels que la sécurité, etc.

Vous aviez raison la première fois: "Non, c'est impossible, c'est crypté!". Si chaque pub ou restaurant pouvait espionner le trafic HTTPS de ses clients, HTTPS serait terriblement endommagé.

Le mieux que vous puissiez faire est de bloquer l'accès aux sites dont les noms vous déplaisent. Même les en-têtes HTTPS (TLS) divulguent le nom du site Web auquel le client tente de se connecter. Par conséquent, je suis sûr que quelqu'un crée un pare-feu qui examine les chaînes d'identité du serveur dans la négociation TLS et empêche la négociation TLS de se terminer si l'utilisateur tente de se connecter à un site non autorisé.

Toutefois, cela ne vous aide pas lorsque des personnes utilisent votre point d'accès public Wi-Fi pour commettre des actes abusifs sur des sites Web populaires tels que eBay ou Facebook que vous ne voudriez jamais bloquer. Vous ne pouvez vraiment pas voir ce que font les internautes sur ces sites, à moins de demander à tous vos utilisateurs d’installer des certificats de proxy spéciaux et des paramètres comme s’ils travaillaient dans une méga-société qui souhaite espionner tout son trafic. Mais si vous ne voulez pas que vos clients habitués aient à s'authentifier personnellement, vous ne leur demanderez certainement pas d'installer un ensemble de paramètres de proxy et de certificats de confiance.

Si vous devez intercepter le trafic HTTPS, vous menez une bataille difficile et va probablement faire chier vos clients et rompre la confiance. Comme d'autres l'ont mentionné, vous devez obliger les clients à installer un certificat vous permettant de gérer le trafic (ce qui a des effets secondaires et peut entraîner des dégâts) ou de les forcer à utiliser un serveur proxy.

Bien sûr, il existe d'autres moyens de résoudre le problème de la fraude sans que MITM ne modifie la connexion. Vous pouvez demander aux utilisateurs d'enregistrer leur périphérique (l'adresse MAC, par exemple) auprès de vous, puis de garder une trace du moment où cette adresse MAC se connecte à votre réseau et avec quelle adresse IP. Combiné aux journaux de données brutes des sessions (chiffrées), si une fraude vous est signalée, vous pouvez la faire correspondre à l'adresse MAC et donc à l'utilisateur d'origine. Malheureusement, ce n'est pas chose facile à implémenter.

Une autre solution partielle - qui ne vous permet pas de voir ce qui est affiché, mais vous donne quelques petites informations et pourrait vous aider à réduire votre temps d'enregistrement - pourrait consister à renifler des requêtes DNS pour voir à quels sites les utilisateurs se connectent.