Domanda:
In che modo un paese blocca / censura un sito Web crittografato (HTTPS)?
Mars
2014-08-03 15:22:02 UTC
view on stackexchange narkive permalink

Dato che il sito X utilizza HTTPS, come può essere bloccato da un paese?

Il mio browser legge: crittografia a 128 bit | ECDHE_RSA come scambio di chiavi.

Dico che è bloccato da quando uso Tor, funziona bene.

Una cosa importante da sottolineare è che non è bloccato nel tipico senso in cui siamo utilizzato per vedere, che mostra chiaramente una pagina che dice che è bloccata, invece, il sito X è bloccato in un modo che il mio browser non carica la pagina e visualizza l'errore:

Questa pagina web non è disponibile, codice di errore: ERR_CONNECTION_RESET

per la versione HTTPS e quella normale pagina "la pagina è bloccata" quando si richiede la versione HTTP.

Tieni presente che nessun altro sito HTTPS è bloccato ! Solo questo! Presumo che questa sia una prova che esclude il blocco delle porte e il blocco del protocollo. Tuttavia, lascia DPI; ma ci sono altri siti web bloccati da HTTP che hanno la versione HTTPS ancora funzionante! Se possono bloccare tramite DPI il sito X , perché non possono bloccare gli altri siti HTTPS allo stesso modo?

Potresti ottenere una risposta più precisa quando diresti da quale paese vieni. La censura del web viene implementata in modo diverso nei diversi paesi.
Presumo che tu stia utilizzando anche un altro browser quando ti connetti tramite la rete Tor. In questo caso potrebbe effettivamente essere un errore nel tuo browser. Lo hai testato in un altro browser o un altro dispositivo?
No, ho torificato Chrome nel mio PC (l'anonimato non è un problema per questo sito, solo il bypass della censura lo è) quindi funziona con Tor ON e non con Tor OFF, e l'ho anche testato su Android (Next Browser)
Lo bloccheranno tramite IP e nome di dominio. Puoi usarlo usando TOR poiché diversi IP serviranno la pagina per te che non sarà inserita nella lista nera.
Sei risposte:
#1
+48
Kaslai
2014-08-03 18:51:26 UTC
view on stackexchange narkive permalink

TL; DR: TLS protegge solo il contenuto di un messaggio. Non i metadati.

Quando si comunica su una rete chiara, è importante ricordare che ci sono alcune parti di una data comunicazione che non possono essere protette utilizzando le tecnologie standard. A meno che tu non usi qualcosa come TOR, il tuo ISP sarà in grado di determinare con chi stai parlando anche se stai usando TLS.

Per usare un'analogia, immagina di inviare una busta tramite il servizio postale. Il contenuto della busta è completamente inaccessibile a chiunque non sia il destinatario. Anche se un postino dovesse in qualche modo visualizzare il contenuto, non sarebbe in grado di comprenderlo (forse lo hai fatto passare prima attraverso un codice di Cesare? Hehe).

Tuttavia, affinché il servizio postale lo invii all'indirizzo corretto, l'esterno della busta deve essere contrassegnato con una rappresentazione chiaramente leggibile dell'indirizzo di destinazione. Se il servizio postale non voleva che nessuno fosse in grado di inviare lettere a "Joe Schmoe, 123 Fake street", non poteva semplicemente recapitare alcuna lettera con quell'indirizzo.

Poiché il servizio postale può " Non leggono il contenuto del messaggio, non hanno modo di identificare l'intento della lettera. L'unica informazione che hanno è il fatto che il destinatario previsto è Joe Schmoe. Non possono schermare solo le lettere che ritengono dannose; è tutto o niente.

Allo stesso modo, il protocollo IP (il protocollo di instradamento su cui gira TCP) ha chiaramente contrassegnato i campi "mittente" e "destinatario". TLS non può crittografarlo per due motivi:

  • TLS viene eseguito su TCP / IP e quindi non può modificare parti dei pacchetti che appartengono a tali protocolli.
  • Se il La sezione IP è stata crittografata, quindi il servizio di trasporto (router ISP) non sarebbe stato in grado di identificare dove devono andare i pacchetti.

Il firewall attraverso il quale il tuo ISP o paese sta forzando tutto il tuo traffico non può ispezionare il traffico TLS. Conoscono solo i metadati forniti dal protocollo TCP / IP. Hanno anche ritenuto che il sito a cui si desidera accedere sia più cattivo che buono, quindi rilasciano tutto il traffico da e verso il sito indipendentemente dai contenuti.

Esiste un metodo per proteggere anche i metadati delle comunicazioni in linea, ma è lento e poco scalabile. I servizi nascosti TOR sono un tentativo di implementarlo. Ovviamente, i servizi nascosti funzionano solo all'interno della rete TOR, a cui è possibile accedere solo connettendosi prima a una macchina su una rete non crittografata. Ciò significa che l'ISP o il firewall sa ancora che stai inviando i tuoi dati tramite proxy. Non importa come ci provi, perderai sempre alcuni metadati. Se lo volessero, potrebbero reimpostare tutte le connessioni ai nodi TOR oltre al sito che stanno attualmente bloccando.

Se stai tentando di stabilire una connessione diretta a un IP specifico tramite un firewall, e il il firewall ha regole esplicite per eliminare qualsiasi traffico verso o da quel dato IP, quindi connettersi direttamente a quell'IP sarà sempre inutile. Dovrai connetterti ad esso indirettamente, tramite TOR, una VPN o qualche altro servizio proxy.

Non vedo come questo risponda alla domanda. Per rinfrescarti la memoria: la domanda era: come stanno bloccando la mia connessione? Non vedo una risposta qui. (Tangenzialmente, la risposta è abbastanza ovvia: blocco DNS o ispezione dei pacchetti.)
Sono abbastanza sicuro di aver reso la risposta molto chiara. Mentre TLS protegge il contenuto del traffico da e verso il sito, i livelli di trasporto TCP / IP sono ancora aperti all'ispezione. Qualsiasi firewall attraverso il quale passa la connessione dell'OP può facilmente scartare qualsiasi pacchetto inviato ao da un IP indesiderato.
Non mi era chiaro. Suggerisco di modificare la tua risposta per indicare esplicitamente la risposta alla domanda. Un modo sarebbe iniziare con la risposta alla domanda e poi elaborare i dettagli.
C'è un [articolo su Tor e HTTPS] (https://www.eff.org/pages/tor-and-https) da EFF che spiega cosa viene trapelato quando si utilizza HTTPS
Ma conosco anche alcuni proxy che possono aggirare le restrizioni, ad esempio al liceo hanno bloccato la maggior parte dei proxy Web ma non potevano bloccare quelli che iniziano con https e ho pensato che fosse perché https: // crittografa le intestazioni? Immagino che forse ne crittografa solo alcuni.
Molti firewall impiegati da luoghi come le scuole superiori spesso si affidano alla scansione del traffico per le parole chiave. Se il traffico è su TLS, il firewall non può eseguire la scansione delle parole chiave. Al mio liceo, l'unica cosa che faceva il nostro filtro era controllare il nome host dei siti. Questo ha annullato la tua soluzione HTTPS, ma potresti ancora inviare DNS all'URL e connetterti utilizzando l'IP. Credo che la maggior parte dei firewall messi in atto dalle scuole siano lì per aumentare la produttività, non per censurare i contenuti. Ecco perché sono incredibilmente facili da aggirare.
@Celeritas crittografa le intestazioni. Non crittografa l'indirizzo di destinazione. (Pensaci: se l'indirizzo di destinazione fosse crittografato, come potrebbe sapere dove inviare i tuoi pacchetti?). Non so perché la tua scuola non blocchi i proxy https, ma potrebbe avere a che fare con amministratori di scarsa qualità.
@immibis perché ciò comporterebbe il blocco di TUTTO il traffico https. Non è possibile ispezionare il traffico https senza interrompere la crittografia. Senza farlo, non è possibile stabilire se la richiesta è una richiesta proxy o standard.
@Aron come è stato già affermato molte volte, https non nasconde l'indirizzo IP del server. Se awesomeproxy.com ha un indirizzo IP di 1.2.3.4, (e non c'è nessun altro sito importante su 1.2.3.4, che probabilmente sarà il caso), allora è facile bloccare tutto il traffico da e verso 1.2.3.4.
@immibis è necessario identificare il server https COME proxy. Devi sapere che quell'ip esegue un proxy. È difficile.
@Aron Non è così difficile, ci sono tonnellate di elenchi di URL, che dividono quasi tutti gli indirizzi utilizzati pubblicamente in categorie come commerciale, malware, proxy ... È utilizzato nella maggior parte delle aziende, quindi una scuola potrebbe farlo facilmente. Potrebbero usare la whitelist e sarebbe assolutamente a prova di proiettile, a meno che tu non possa ospitare un proxy su un dominio autorizzato ...
@Aron devi solo corrompere uno studente per dirti l'IP. Inoltre, la maggior parte dei proxy che probabilmente gli studenti useranno eseguirà anche un server web che dice di essere un proxy: basta connettersi all'IP, vedere le istruzioni di configurazione del proxy, inserire l'IP nella lista nera.
@immibis Dimmi come funziona questa tattica per impedire che l'erba venga venduta nelle scuole.
@Aron Non ho mai detto nulla sull'erba, solo sui server proxy.
@immibis Sto dicendo che le scuole in genere trovano abbastanza difficile impedire agli studenti di fare le cose peggiori usando le liste nere. Ma mantenere un elenco globale di proxy https è difficile. Ci vuole un'enorme quantità di risorse per controllare ogni server a cui vanno gli studenti. Pagare informatori funziona così bene per la polizia che non esiste alcun crimine. La lista nera per sua natura è una corsa agli armamenti e ci sono molti più studenti che amministratori.
#2
+34
Philipp
2014-08-03 16:11:17 UTC
view on stackexchange narkive permalink

Molti filtri web governativi vengono implementati tramite filtri DNS.

Per connettersi a https://www.example.com , il browser si collega prima al server DNS del provider di servizi Internet e richiede l'indirizzo IP di www.example.com . Quindi crea una connessione crittografata all'IP che ottiene. Quindi il governo ordina agli ISP di configurare i loro server DNS in modo che non restituiscano un indirizzo IP falso o falso per i siti web che vogliono bloccare.

Per verificarlo, puoi configurare le impostazioni di rete per utilizzare un server DNS diverso , come 8.8.8.8 di Google. Come farlo dipende dal tuo sistema operativo, ma dovrebbe essere facile trovare una guida.

Un altro metodo di filtraggio web è tramite l'indirizzo IP stesso. Gli ISP configurano semplicemente i loro firewall per bloccare tutto il traffico verso l'indirizzo IP di example.com . Un tale filtro è più difficile da aggirare di un filtro DNS, ma causa molti più danni collaterali. Gli hoster web di grandi dimensioni spesso ospitano migliaia o addirittura milioni di siti Web completamente non correlati sullo stesso indirizzo IP. Quando gli ISP bloccano tramite IP, non possono bloccare un sito specifico senza bloccare anche tutti gli altri che condividono l'IP.

No, è impossibile nel mio caso. Sto usando DNS crittografato. Ci scusiamo per non aver fornito queste informazioni prima.
@Mars Encrypted DNS non fa molto quando il server DNS stesso è compromesso dalla censura.
Non è. Il DNS è pulito e ho anche appena testato altri 5 DNS pubblici (Google (2), OpenDNS, Swiss Foundation e Local ISP)
Bene, questo suggerirebbe l'applicazione del blocco IP. Hai già provato un semplice proxy fuori dal tuo paese? Questo potrebbe farti capire meglio cosa sta succedendo ...
Non dimenticare che gli indirizzi di quei server DNS pubblici possono anche essere reindirizzati a un server DNS non autorizzato funzionante per il tuo paese. Assicurati di testarli anche tramite Tor, per convalidare i risultati, altrimenti non sarai in grado di valutare la correttezza delle risposte che stai ricevendo.
#3
+20
zwol
2014-08-04 00:48:23 UTC
view on stackexchange narkive permalink

Quando ti connetti a un sito web HTTPS, il nome host del sito web a cui ti stai connettendo viene trasmesso sulla rete in chiaro come parte dell ' handshake TLS. Il certificato del server contiene sempre il nome host, perché è così che il server si autentica al client: "Sono il server autorizzato a fornire contenuti per www. foo.example , secondo Bait Shop e Certificate Authority di Jim-Bob. " I browser moderni 1 inviano anche il nome host in chiaro dal client al server , in " Indicazione nome server "messaggio che rende possibile ospitare molti siti web HTTPS su un indirizzo IPv4.

Ciò è necessario a causa del modo in cui funziona la matematica per impostare un canale sicuro. Fondamentalmente, il server deve fare un'asserzione crittograficamente imperdonabile del suo nome host (e alcune altre cose, soprattutto la sua "chiave pubblica"), in chiaro, prima che inizi il processo di "accordo sulla chiave", altrimenti il ​​client non può essere sicuro che non c'è nessun uomo al centro che intercetta le comunicazioni.

Ma lo svantaggio è che un firewall di "ispezione approfondita dei pacchetti" può apprendere che stai tentando di connetterti a un sito web specifico e bloccare l'accesso (ad esempio falsificando i pacchetti TCP RST) anche se non avrebbe potuto intercettare il contenuto delle tue comunicazioni con quel sito, e anche se non riveli mai il nome host del sito che desideri comunicare con in qualsiasi altro modo.

1 in questo caso, "tutto ciò che probabilmente incontrerai al giorno d'oggi, con le clamorose eccezioni di IE su Windows XP e il browser Android di serie precedente a 3.0; sfortunatamente, entrambi sono più comuni di quanto vorremmo ".

#4
+4
Boann
2014-08-03 22:37:42 UTC
view on stackexchange narkive permalink

HTTPS non nasconde e non può nascondere l'IP e il nome host di un sito web o il fatto che ti stai connettendo ad esso. Cripta solo il traffico inviato su quella connessione una volta stabilita .

Detto questo, è banale per qualcuno che controlla la linea terminare qualsiasi connessione per un particolare sito. Ciò che HTTPS (si spera) impedisce loro di fare è monitorare o modificare le informazioni scambiate con il sito, ma il fatto che ti stai connettendo ad esso è sempre visibile.

#5
+2
Giulio Muscarello
2014-08-03 18:57:28 UTC
view on stackexchange narkive permalink

Istituzioni e aziende [es. fornitori di hotspot] generalmente affrontano questo problema in due modi:

  • Istruire i server DNS a puntare ad altri IP: questo è un ostacolo debole, poiché gli utenti tecnicamente esperti possono facilmente cambiare il loro servizio DNS e viene utilizzato quando non è molto importante bloccare un sito. Credo che questo sia ciò che, ad esempio, fa il governo italiano: agli ISP nazionali viene chiesto di cambiare i loro server DNS in modo che le richieste al sito vietato vengano invece reindirizzate a una pagina ospitata dal governo.
  • Blocco delle connessioni su su base IP, piuttosto che su base dominio: questo normalmente richiede un proxy trasparente (utilizzato soprattutto dai provider di hotspot e simili) o un firewall con ispezione approfondita dei pacchetti (es. il firewall cinese). Per impedire all'utente di connettersi a IP vietati, vengono quindi utilizzate alcune tecniche, tra cui l'iniezione di pacchetti di ripristino TCP, il reindirizzamento dei pacchetti o semplicemente la loro eliminazione.
> Blocco delle connessioni su base IP, piuttosto che su base di dominio: questo normalmente richiede un proxy trasparente (ecco perché questo è generalmente utilizzato dai provider di hotspot e simili) che rilascia i pacchetti inviati a IP bannati, o altrimenti interrompe le connessioni (es. Il firewall cinese inietta i pacchetti di ripristino TCP). Sciocchezze. Non hai bisogno di proxy o ispezione dei pacchetti o qualsiasi cosa L4 se tutto ciò che vuoi fare è bloccare l'accesso agli indirizzi IP. Semplici tecniche di routing L3 (BGP ecc.) Sono tutto ciò di cui hai bisogno ... e puoi applicarle a qualsiasi livello tu voglia ... livello ISP, per abbonato ecc
#6
  0
goodguys_activate
2014-08-03 17:17:17 UTC
view on stackexchange narkive permalink

È possibile che il sito di destinazione stesso ti stia impedendo di accedervi dall'intervallo IP di origine in questione.

Conosco in prima persona molte grandi organizzazioni che bloccano i paesi per nessun altro motivo se non per ridurre al minimo l'esposizione agli hacker provenienti da quella regione.

No. È The Pirate Bay ..
Se è TPB, allora potresti anche usarlo su TOR. Non è esattamente un utente con una larghezza di banda pesante e può persino essere acceduto come servizio nascosto (http://uj3wazyk5u4hnvtk.onion/). Probabilmente stanno solo uccidendo tutto il traffico verso gli indirizzi IP noti per TPB.
Posso già accedervi. Sono più interessato a sapere COME possono bloccarlo poiché utilizza SSL! Ecco perché non ho menzionato il nome del sito, è irrilevante dal punto di vista della conoscenza
@Mars Alcuni siti sono ospitati da IP dinamici, ma non credo che TPB lo sia.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...