redirect HTTPS

[ciccioprofumato]

ciao a tutti, qualcuno di voi si e' spaccato la testa per vedere come fare un redirect di una pag https su una pag interna a un server locale ? precisamente facebook, il fine sarebbe di fare uscire una pag personalizzata ogni volta che un utente tenta di andare su facebook, ora con i semplici siti normali tutto va bene, ma se si tenta di andare su face, non funziona appunto il redirect, esssendo in https, in teoria e' lostesso problema che ha l'hs quando si tenta di aprire una pag appunto https. qualcuno puo' suggerirmi una soluzione ? ho provato anche a fare un address list , ma non funziona, posso droppare, ma non reindirizzare..

[uniconnect]

ummmmm.... carina sta cosa...mo ci provo e ti faccio sapere

Ciao

[ciccioprofumato]

chiaramente ho anche provato con il proxy ma nulla da fare anche con quello.

[xanio]

Non dovrebbe essere complicato, devi rediriggere il traffico https verso una chain di filtraggio, se questo triggera facebbok, allora fai il redirect, altrimenti lasci passare.

Provo cmq a fare una prova pure io, la cosa mi ha incuriosito, in quanto io di solito demando tutto ad un proxy esterno per fare ste cose, mo provo con RouterOS.

[ciccioprofumato]

ti posso assicurare che e' + difficile di quanto sembra, mi spiego.

mettiamo caso di voler reindirizzare tutto il traffico su di una pag di un server locale, con la classica regola
/ip/firewall/nat
chain=dstnat
scr.address=192.168.1.0/24
protocol=tcp

action=dst-nat
to-addresses=10.10.10.1
to-port=80

cosi' facendo tutto il traffico viene indirizzato su 10.10.10.1 almeno dovrebbe,
ma se l'utente digita per esempio www.facebook.it niente da fare pagina vuota, come il resto dei siti https.

ho provato anche io a reindirizzare il tutto sul proxy ma stesso problema,
/ip/firewall/nat
chain=dstnat
scr.address=192.168.1.0/24
protocol=tcp

action=redirect
to-port=8080

le pagine con https non ne vuole sapere di reindirizzarle.

[ibm]

E' normale che non funzioni, per come è stato concepito l'https non è possibile effettuare un redirect per evitare attacchi man in the middle.

[ciccioprofumato]

si, infatti l'https e' stato generato appunto per questo, ma possibile che non si riesce a trovare un modo per fare cio', cioe' essendo noi gestori della rete locale intendo, non c'e propio modo secondo voi ?

quindi in teoria se volessimo far passare tutto il traffico da un proxy trasparente ??

[uniconnect]

Ciao Ciccio, in effetti ho qualche dubbio, penso anche io che si possa in qualche modo infinocchiare l'HTTPS in rete locale ... dopo aver fatto diverse prove (configurato proxy e regola NAT con protocollo L7) con scarsi risultati ho provato a fare la stessa cosa su di un firewall zyxel zywall 200 ed in effetti lui lo fa!!! .... quindi in linea teorica dovrebbe farlo anche mikrorik .... ummmmmm...

Ciao a tutti e buona giornata

[ciccioprofumato]

ciao, che regole hai usato sul zyxel zywall 200 per fare il redirect ? cioe' presumo hai reindirizzato tutto il traffico ? o questo firewall ha una voce dedicata propio all'https ?

[uniconnect]

Ciao, in realtà lo Zywall ha un sessione del firewall dedicata al "content filter" ... ho solo impostato la parola chiave "*.facebook.*$" con una regola di redirect verso un indirizzo interno (un server http che ho nella rete)... tutto qui... Ergo, dal punto di vista tecnico dovrebbe essere fattibile anche su mikrotik!!!! ...
Ma ammetto di avere nozioni basic sul protocollo https (so un po quello che sanno tutti ) e questa potrebbe essere una buona occasione per approfondire la mia conoscenza del protocollo ...

Fammi sapere se hai news!!!

Ciao