Presmerovani neplaticu

[ludvik]

Odpověděl jsi hezky, dík. Ale na něco jiného

[rsaf]

V tom případě na stavový firewall ideálně ASA, na NAT taky ASA nebo ASR (ty podporují CGNAT ale NAT na ASA se mi líbí více)

[KyberNet]

Vyresit presmerovani z HTTPS nejspis nejde. Prohlizec ceka urcity certifikat dane stranky, kam chtel jit uzivatel a samozrejme zadnej nedostane, nebo dostane jinej. A proto zahlasi chybu. Je to neresitelny problem podle me.

[IpHelper]

Nebo jiná otázka - na jakých mašinách cisco či hp mám možnost stavového firewallu?

Máme přesměrování na Catalystu 6500 a Cisco 7600 pomocí policy routingu. Veškerý traffic směruji na linuxový stroj, kde NAT pravidlem vše co jde na port 80 přesměruju na místní webservedr kde je jen HTTP redirect na URL našeho webu s informační stránkou (třeba infostránku ispadmina). Je tam pár záludností, kdyby jsi k tomu chtěl nějaké detaily tak napiš do SZ.


Jinak ten redirect musí mít nějaké konkrétní vlastnosti aby zafungovala detekce "captive portalu" v moderních operačních systémech a prohlížečích. Pak se zobrazí nějaké upozornění že "je potřeba přihlašovací údaje" a klienta to samo hodí na naši infostránku.

Když jsem ještě byl mladý a hloupý, dělal jsem redirect tak, že se uživateli zobrazila custom 404 stránka (protože na tom webserveru nic nebylo) a v ní byl "meta refresh". To ale fungovalo špatně - detekce "zprávu" 404 považovala za chybu a ne za captive portal. Nyní pokud si to správně pamatuji vracím 302 + "no cache" + "connection close" a detekce funguje výrazně lépe.

konecne nekdo kdo se zabýva internetem a ne penězi

[stivki19]

bol som na jednom školení od spoločnosti zyxel a tam bol jeden veľmi zdatný sieťový technik a ukázal nám presne tento problém s HTTPS redirect. V tom zariadení od zyxel sa dal nastaviť redirect stým že ak nastavujeme redirect na HTTPS tak si ten chlapik nahral vzorku SSL certifikátu a potom to len jednoducho presmeroval na svoj web kde bežala jeho stránka. Som len kukal že ako je to možné. Veľa zákazníkov chodí pravidelne na https://www.google.sk, tak tam nahral vzorku certifikátu. Nerozumiem tomu ako je to možné

[rsaf]

Je to kravina

[Invia]

Osobně si myslím, že se jedná o MITM útok, kdy ti router podvrhuje SSL certifikáty za vlastní. Problém je, že ten tvůj certifikát musíš mít na klientském PC importován ručně, jinak se objeví hláška, že připojení není bezpečné.

[rsaf]

A např. při přístupu z Chrome na Google se to stejně nechytí, protože je tam static key pinning. A čím dál tím více webů zavádí HPKP.
Snahy o nějaké narušení SSL session na legitimích zařízeních už dnes mají jen úplně debilní admini.