jak řešit přesměrování neplatiče při https?

okoun

bohužel se nám v poslední době nedaří přesměrovat neplatiče na naši informativní stránku pomocí web proxy, protože už skoro všechno jede na https. nevíte o nějakém aletranitvním řešení zobrazování informací o nedoplatku?

k3ny

pokud ma uzivatel DNS poskytovatele neni to problem, nesla by taky obracena maskarada ? kdyz vim IP adresu nepatice mohl bych mu JUMP ve filtru predhodit pokadzne stejnou cilovku?

zdeneksvarc

Díky HSTS a hlavně HPKP už přesměrování není cesta.

majklik

IBM M1? Aneb poslední kus HW, co opravdu fungoval, protože ho IBM vyrábělo v licenci (ale lidi od IBM to špatně nesou, pokud se jim to připomene)...

Tak nějak, není problém to spojení unést na portu 443 na svůj server, ať dle DNS nebo dstnat, ale je problém, že pokud neinvestuji XXXXXXXXX USD a certifikci pro intermediate signing certifikát s příslušným HW, tak prohlížeč zařve něco o tom, že nesouhlasí předložený certifikát s cílovou doménou a dneska nedovolí v řadě případů ani ručně to odkliknout a pokračovat dál. A pokud má web nasazeno HPKP, tak ani dynamické vydávání certifikátů nefunguje, pokud už klient jedou na cílovém webu byl a pamatuje si otisk klíče. Nicmémě HPKP má řadu i veldejších nehezkých vlatností, takže na rozdíl od HSTS není tak populární. Ale HSTS v kombinaci s prelod nastavním v pohlížeči zjišťuje, že s prohlížeč o HTTP už ani v řadě případů nesnaží i když ho user zadá, takže s unášením prostého HTTP jakýmkoliv způsobem se toho už moc nedozví. :-(

zdeneksvarc

Je to tak. Čím víc logiky se cpe do prohlížeče, tím míň fungují staré finty. Přesměrování neplatičů je v podstatně MitM útok, byť s dobrým úmyslem.

info_adambalko_cz

Takže prostě zbývá kontaktovat zákazníka, když se to dá nebo zatnout tipec kompletně a počkat si, až se zákazník ozve, že mu to nejede

majklik

Zanout tipec a nechat u toho přesměrování HTTP. Stolní PC/notebook bude mimo, ale spousta lidí používá i něco jako Androidí tablety mobily připojenou na home wifinu a tyto platformy dneska při připojení pomocí HTTP testují, zda je linka volně průchozí nebo číhá něco jako captive portál, takže pokud si to uživatel aktivně nevypnul, tak aspoň tam jim vyskočí, že něco po nich bude něco chtít a pošle je to na stránku "Tlusťochu, zaplať!".

hocimin1

Napadlo me je jeste jestli by neslo , neplaticum udelat redirect udp53 na vlastni dns, ktery by na vsechny dotazy vracel ip adresu serveru kde info o neplaceni.

crazyape

Mame to tak ze vsechen provoz (porty 1-> 65k) z te dane ip adresy odforwardujem na hlavni brane na verejku xx.xx.xx.xx kde je info o neplaceni.

ludvik

Jste nečetli Zdenka a Majklika?

zdeneksvarc

Napadlo me je jeste jestli by neslo , neplaticum udelat redirect udp53 na vlastni dns, ktery by na vsechny dotazy vracel ip adresu serveru kde info o neplaceni.

Bohužel DNSSEC.

ludvik

Teď je otázkou, jak moc současné windows rozumí dnssec (nezkoumal jsem) a zda by to přesměrování DNSky na nevalidující server leccos neřešilo.

franta89

Nepřesměrovat, napsat mu SMS "Vím kde bydlíš. Zaplať nebo ti ojebu mámu." a on už zaplatí.

info_adambalko_cz

Tohle je dost originální řešení, pokud chcete o zákazníka přijít nebo skrytě pracujete pro konkurenci ;)

Nepřesměrovat, napsat mu SMS "Vím kde bydlíš. Zaplať nebo ti ojebu mámu." a on už zaplatí.

ludvik

on franta dnes dal pár příspěvků a všechny v této úrovni.

info_adambalko_cz

Toho jsem si taky všiml

on franta dnes dal pár příspěvků a všechny v této úrovni.

zdeneksvarc

on franta dnes dal pár příspěvků a všechny v této úrovni.

Taky si vysloužil čtrnáctidenní ban za podobné příspěvky v jiném vlákně.

majklik

Teď je otázkou, jak moc současné windows rozumí dnssec (nezkoumal jsem) a zda by to přesměrování DNSky na nevalidující server leccos neřešilo.

Windows od dob Vista obsahují DNSSEC aware forwardující resolver, ale ten je v základu vypnutý. Po zapnutí tak potřebuje spolupráci s nějakým rekurzivním validátorem (což obvykle má dělat doménový řadič). Takže odsud problém nehrozí, pokud uživatel není cvok a neprovozuje router, co obsahuje validující resolver (WRT, Turris, ...).

Jinak DNS možno prznit i na validujícím resolveru, třeba bind má na to volbu response-policy { ... } break-dnssec yes; (asi budeme brzy potřebovat na uspokojení loterijního zákona). Ale stále bych raději to DSTNATnul, než čaroval s DNS. To jen v případě, že mám takové magory, co používají DNS IP tunneling a fungující DNS odpovědi resolvované venku jim sta´čí k protunelování IP provozu (pomalé, ale funkční při spolupráci se správným DNS serverem venku).

rouchi

Lidi nevim jak vy, ale já mám pravidlo udělané následovně:

v Adress listu mám vytvořenou skupinu "Blokovane IP", když chci někoho blokovat přidám tam jenom IP toho klienta...

následně v NAT pravidlech je jako první pravidlo dst-nat, protokol tcp, Any port 80 (druhé pravidlo může být se 443) -> potom v advance v Src Address List vyberu "Blokovane IP" a jako action dst-nat To Addresses "IP WEB serveru s blokační strankou..."

no a neřikam, že to funguje kdykoli na cokoliv, ale každopádně když napíšu do prohlížeče google.com -> Enter nebo seznam.cz-> enter, tak me to na náš web normálně přesměruje a myslím, že to stačí...

zubodravec

To by mohlo byt reseni ?

Misto presmerovani /uneseni spojeni poslat zakaznika do NATu a pak mu podstrcit nejaky dashboard/login/dluh-text , tedy "sekundarni" autorizaci si ma zakaznikovi vynutit?

Lidi nevim jak vy, ale já mám pravidlo udělané následovně:

v Adress listu mám vytvořenou skupinu "Blokovane IP", když chci někoho blokovat přidám tam jenom IP toho klienta...

následně v NAT pravidlech je jako první pravidlo dst-nat, protokol tcp, Any port 80 (druhé pravidlo může být se 443) -> potom v advance v Src Address List vyberu "Blokovane IP" a jako action dst-nat To Addresses "IP WEB serveru s blokační strankou..."

no a neřikam, že to funguje kdykoli na cokoliv, ale každopádně když napíšu do prohlížeče google.com -> Enter nebo seznam.cz-> enter, tak me to na náš web normálně přesměruje a myslím, že to stačí...

Další stránka »