Mikrotik HOTSPOT https ( SSL ) Login

[puntomania]

Ανοίγω νέο θέμα εδώ... για να δούμε την διαδικασία... και το τι επιλογές υπάρχουν, ώστε να έχουμε στο hotspot https login με ασφαλή σύνδεση και πράσινη μπάρα.

η μικροτικ μας λέει αυτά...

για δώστε τα φώτα σας οι ειδικοί!

[teodor_ch]

Για ποιό λόγο το κάνεις?
Μόνο για την πράσινη μπάρα ή για να μήν μπορεί κάποιος να κλέψει τον κωδικό?

Νομίζω απο άποψη ασφάλειας το hotspot με ελεύθερο ασύρματο (χωρίς WPA2/AES) είναι πολύ τρύπιο.
Είχα κάνει λίγο google "mikrotik hotspot hack" και βρήκα πολλά αποτελέσματα.

[puntomania]

Για ποιό λόγο το κάνεις?
Μόνο για την πράσινη μπάρα ή για να μήν μπορεί κάποιος να κλέψει τον κωδικό?

Νομίζω απο άποψη ασφάλειας το hotspot με ελεύθερο ασύρματο (χωρίς WPA2/AES) είναι πολύ τρύπιο.
Είχα κάνει λίγο google "mikrotik hotspot hack" και βρήκα πολλά αποτελέσματα.

γιατί αν το κάνεις με κωδικό WPA2/AES... τον έχει όλοι η γειτονιά σου... σε χρόνο τετε... ενώ με το hotspot έχει ο κάθε χρήστης τον δικό του... και γενικά ελέγχεις ποιος μπαίνει!

πιο πολύ για να ξέρεις ποιος είναι μέσα...τρέχεις το hotspot. τιποτα άλλο!

[teodor_ch]

Εμ αυτό σου λέω.
Με hotspot κάνεις 5-6 βήματα και μπήκες

Με wpa2 πρέπει να στον πεί κάποιος.

Και τουλάχιστον με wpa2 αλλάζεις τον κωδικό και δεν μπαίνει κανένας αν δε θέλεις. Με hotspot ότι και να κάνεις θα μπούν!

Το https γιατί το θές?

[puntomania]

Εμ αυτό σου λέω.
Με hotspot κάνεις 5-6 βήματα και μπήκες

Με wpa2 πρέπει να στον πεί κάποιος.

Και τουλάχιστον με wpa2 αλλάζεις τον κωδικό και δεν μπαίνει κανένας αν δε θέλεις. Με hotspot ότι και να κάνεις θα μπούν!

Το https γιατί το θές?

γιατί σε κάποιες συσκευές... δεν ανοίγει αυτόματα η login page λόγο ότι έχουν αρχική κάποια με https... και πρέπει να βάλεις κάποια χωρίς... ώστε να σου την εμφανίσει!

εκτός αν κάνω κάτι λάθος!

[teodor_ch]

γιατί σε κάποιες συσκευές... δεν ανοίγει αυτόματα η login page λόγο ότι έχουν αρχική κάποια με https... και πρέπει να βάλεις κάποια χωρίς... ώστε να σου την εμφανίσει!

εκτός αν κάνω κάτι λάθος!

δε νομίζω να ισχύει αφού στο dstnat έχει redirect για 80 και 443

[puntomania]

δε νομίζω να ισχύει αφού στο dstnat έχει redirect για 80 και 443

ξανα έτυχε χτες... σε κινητό samsung... που δεν μπορούσε να συνδεθεί...

στο ΝΑΤ αυτά έχει μέσα...

[teodor_ch]

φαίνεται να δουλεύει σωστά
ο redirect 443 μετράει κανονικά

η συσκευή πρώτη φορά προσπαθούσε?
(όχι ότι γνωρίζω τίποτα απο hotspot!)

[puntomania]

φαίνεται να δουλεύει σωστά
ο redirect 443 μετράει κανονικά

η συσκευή πρώτη φορά προσπαθούσε?
(όχι ότι γνωρίζω τίποτα απο hotspot!)

μα για να δουλέψει ο redirect 443 θα πρέπει να είναι και τσεκαρισμένο το https στο hotspot!

η συσκευή έκανε αρκετές προσπάθειες... μέχρι που το κάνα χειροκίνητα.

- - - Updated - - -

νταξει για μένα... θα έπρεπε να έχει βρει τρόπο η μικροτικ... ώστε να υπάρχει έτοιμο... χωρίς extra domain κτλ.

[kostas2911]

μα για να δουλέψει ο redirect 443 θα πρέπει να είναι και τσεκαρισμένο το https στο hotspot!

η συσκευή έκανε αρκετές προσπάθειες... μέχρι που το κάνα χειροκίνητα.

- - - Updated - - -

νταξει για μένα... θα έπρεπε να έχει βρει τρόπο η μικροτικ... ώστε να υπάρχει έτοιμο... χωρίς extra domain κτλ.

ότι και να κάνεις αν δεν ανοίξει ο mini browser του κινητού για να σε πάει κατευθείαν στο hotspot, θα πρέπει να ζητήσεις http σελίδα για να σε κάνει redirect.
και αυτό δεν είναι θέμα Mikrotik ούτε οποιουδήποτε vendor, είναι θέμα του πρωτοκόλου https και των browsers.
Σε https είτε δεν θα κάνει καθόλου redirect είτε θα βγάλει warning για πιθανό man in the middle attack.
Και ssl να έχεις αν εγώ ζητάω https://facebook.com ο browser περιμένει ένα πιστοποιητικό για το facebook.com, αν του έρθει ένα για το mydomain.gr θα μπλοκάρει τη σύνδεση.

[jimmanni]

Καλημέρα σε όλους.
Επειδή και εμένα με απασχολεί πολύ το θέμα, και μετά από έρευνα, κατέλειξα ότι πρέπει να εκδοθεί ένα πιστοιποιήτικό από έναν Trusted CA στην IP του hotspot, βέβαια, δεν το έχω δοκιμάσει.
Σίγουρα δεν παίζει με self signed. - Ο browser ενημερώνει με Warning αν και η ανακατεύθυνση γίνεται σωστά (δοκιμασμένο).
Επείσης υπάρχουν προτάσεις που αναφέρουν άνοιγμα στο Walledgarden τις υπηρεσίες της google, αν και δεν μου φαίνεται πολύ αποδοτικό.
To redirect, γίνεται σωστά και με https.
Αν κάποιος μπορεί να δοκιμάσει το trusted CA cert για να μας πει αν γίνεται και σωστά ο εντοπισμός captive portal απο συσκευές;

[alefgr]

Επειδή το έχω ψάξει το θέμα, σου λέω πως τα πράγματα δεν είναι και τόσο απλά στο θέμα του hotspot με ssl ανακατεύθυνση.

1ο) Τι διεύθυνση θα έχεις στο hotspot gateway; Υποθέτω όπως όλοι μας private. Σε private διεύθυνση πως θα πάρεις πιστοποίηση;

2o) Ακόμα και να έχεις πιστοποίηση για την σελίδα που κάνει redirect ο hotspot gateway, τι νομίζεις ότι θα συμβεί όταν ένας χρήστης που ακόμα δεν έχει κάνει login και καλέσει τον google με https; Ο browser του χρήστη ενώ θα περιμένει να πάρει το πιστοποιητικό του google, εσύ θα του στέλνεις το δικό σου...

[kostas2911]

Μπορείς να ορίσεις στο hotspot dns name πχ hotspot.mydomain.gr και να αγοράσεις πιστοποιητικό για αυτό. Και πάλι όμως σε σελίδες που έχουν HSTS δεν θα γίνει redirect.

[puntomania]

Εγώ πιστεύω ότι θα έπρεπε να το λύσει η μικροτικ αυτό το θέμα... εφόσον το παρέχει.

[kostas2911]

Τι να λύσει ρε συ; Είναι θέμα ασφαλείας που προέρχεται από το https. Δεν έχει καμία σχέση η όποια MikroTik με αυτό.