公共场所滥用https

公共场所滥用https

我正在帮助我的朋友打击犯罪,在酒吧使用免费 Wi-Fi 几次后,她遭到了虐待,她不知怎么地报告了 IP 并摆脱了问题,第十次之后,我去那里安装了路由器 Open WRT,因为它是开源的,只是为了将来解决此问题,幸运的是路由器支持只编译的代码,而且界面更好。好吧,正常,我只是去那里把它放进去,后来她问你能监控 https 会话来帮助我吗?我说不,不可能,它是加密的!现在我只是将 URLS LOGS 传输到我的服务器,然后传输到我的邮箱。在另一次虐待之后,当有人通过 https 季节从 ebay 偷了一些东西,事情变得严重了。我只有 IP,仅此而已,如果我们关闭 HTTPS,甚至无法访问 Facebook,我们将损失大约 20% 的收入,只是关闭 https 或阻止特定端口,我们现在被迫解决这个问题。我们可以访问所有路由器,但是我们无法交互它们的“https”中发生的事情,我们需要将其以明文形式显示!我们已转发所有代码以供引用https://github.com/openwrt/openwrt给“IT 行业专家”,但他们拒绝在没有预付款的情况下开始工作(每月 5000 美元,甚至不知道结果,但在未提供解决方案后退还 80% 的研究费用)

我的问题很简单,如何伪造 https 会话或强制它们在我们的“服务器”上未编码以克服这个问题,而且我们还有开源软件?所以我们可以在编码路由器软件后进行过滤,以便能够阻止“儿童色情”等内容词并将其从我们开发的关键字库中阻止。我不能承担没有任何大胆的人评论帮助我的朋友做这些基本事情的费用,他将被最初的 5K 撕毁 https://github.com/openwrt/openwrt

我们通常在高峰期有大约 60-90 场会议,短信注册或身份证明只会吓跑那些只想像往常一样在这里平静下来的滥用者和老客户。

十分感谢。

答案1

我的问题很简单,如何建立伪造的 https 会话或强制它们在我们的“服务器”上未编码以克服这个问题,而且我们再次拥有开源软件

如果没有连接客户端的配合,您无法很好地完成这项工作。正确的做法是要求客户端安装 MITM HTTPS 证书,拥有使用此证书的 HTTPS 代理,然后要求客户端安装此证书才能访问 HTTPS。公司可以轻松透明地向最终用户执行此操作,因为可以通过 Windows Active Directory 等推送证书等内容。

所以我们可以在对路由器软件进行编码后,从我们开发的关键字库中过滤掉能够屏蔽“儿童色情”之类的内容词。

根据您问题中的某些词语,听起来您正在经营一家企业并提供 Wifi 作为便利设施。

你确实需要和律师谈谈,了解提供公共互联网服务的法律责任,并采取相应的行动。

如果您只是提供公共互联网接入,那么您是否需要对流经该接入的流量负责,以及在多大程度上负责,是一个法律问题 - 而通过试图阻止不必要的流量,您可能会承担额外的责任,比什么都不做更严重。

您可能需要与您的 ISP 联系,了解他们有哪些适合企业级公共热点的选择。这可能比自己安装更便宜,而且可以将责任和其他问题(如安全等)转嫁给您的 ISP。

答案2

您第一次说对了:“不可能,这是加密的!”如果每个酒吧或餐厅都能窥探客户的 HTTPS 流量,那么 HTTPS 就会被严重破坏。

您能做的最好的事情就是阻止访问您不喜欢的网站名称。即使是 HTTPS (TLS) 标头也会泄露客户端尝试连接的网站名称,因此我确信有人会制作防火墙,查看 TLS 握手中的服务器身份字符串,并在用户尝试连接到未经授权的网站时阻止 TLS 握手完成。

但是,当有人使用您的公共 Wi-Fi 热点在 eBay 或 Facebook 等热门网站上进行恶意操作时,这对您没有任何帮助,而您永远不想阻止这些网站。您真的没有办法看到人们在这些网站上做什么,除非让所有用户都安装特殊的代理证书和设置,就好像他们在一家想要监视所有流量的大型公司工作一样。但如果您不想让常客进行个人身份验证,您绝对不会要求他们安装一堆代理设置和受信任的证书。

答案3

如果您必须拦截 HTTPS 流量,那么您将面临一场艰苦的战斗,并且可能会激怒您的客户并破坏信任。正如其他人提到的那样,您需要让客户安装一个证书,以便您可以对流量进行 MITM(这会产生副作用并可能破坏系统),或者强迫他们使用代理服务器。

当然,还有其他方法可以解决欺诈问题,而无需对连接进行 MITM。您可以要求用户向您注册他们的设备(即 MAC 地址),然后跟踪该 MAC 地址何时连接到您的网络以及使用哪个 IP 地址。结合(加密)会话的原始数据日志,如果欺诈行为报告给您,您可以将其与 MAC 地址匹配,从而匹配原始用户 - 不幸的是,这并不容易实现。

另一个部分解决方案 - 它不允许您查看正在查看的内容,但会为您提供一些小的网站并可以帮助您减少日志记录内容 - 可以是嗅探 DNS 查询以查看用户正在连接的网站。

相关内容