Great Firewall of China e semplice connessione SSL

Naviga le tue risposte
6

Ho un'app che usa una connessione SSL per interagire con i server collocati in Europa / USA. L'app utilizza un protocollo personalizzato costruito su TCP / IP. L'app utilizza certificati autofirmati per controllare il server durante l'handshake SSL (l'app client ha il certificato di origine sul server di controllo, nessuna terza parte è necessaria per controllare i certificati).

Il GFC blocca tali connessioni o no?

UPD

  • Server collocati in Europa / USA
  • Clienti collocati in Cina
  • Creazione di protocolli binari personalizzati su TCP-IP crittografati con TLS1.2. Non HTTPS o qualsiasi altro protocollo conosciuto.
  • Certificato autofirmato utilizzato per autenticare i server. Cioè i client hanno un certificato di root (diversi KB) utilizzato per verificare il certificato del server. Se il controllo è passato - connessione TLS1.2 stabilita.
  • le porte del server utilizzate sono comprese nell'intervallo: 10000-20000. Cioè porte non conosciute come 443 ecc. (La risposta cambia se vengono usate porte nell'intervallo 1-1000?)
  • Non ho regioni obiettivo in Cina. In genere l'app dovrebbe essere in grado di connettersi al server da qualsiasi regione della Cina
posta Victor Mezrin 12.08.2016 - 14:28
fonte

1 risposta

3

Non sono sicuro che tu possa avere delle rassicurazioni qui perché il problema non è solo il firewall. Il vero problema è che ti occupi di un ambiente che è strongmente controllato a tutti i livelli e il firewall è solo un componente. È molto probabilmente il firewall potrebbe semplicemente bloccare connessioni che non può ispezionare o ha qualche preoccupazione, ma probabilmente è ancora più probabile che loro possano insiste che i clienti scarichino e installino un certificato governativo che potrebbero utilizzare in uno scenario MItM 'Comodo Style'.

La mia ipotesi sarebbe che dipenderà dal fatto che le tue connessioni siano effettivamente notato e considerato di essere una vera preoccupazione. Quando si considera la dimensione di popolazione con cui si ha a che fare e la quantità di dati / connessioni del governo avrebbe bisogno di monitorare, è probabile che a meno che qualcosa porti ciò che sei facendo attenzione alle persone giuste, il tuo schema sarebbe ragionevole sicuro. Comunque se e quando le tue connessioni sono notate e c'è un desiderio per guardare più da vicino, quindi tutte le scommesse sono spente.

In un ambiente in cui un'autorità ha il controllo su tutti gli strati del rete e può probabilmente insistere sui client che installano o eseguono un'azione prima che sia permesso l'accesso alla rete, penso che tu abbia poche speranze essere in grado di proteggere la connessione. Se il governo vuole vederlo, loro sarà in grado di trovare un modo.

La vera domanda dipenderà dal livello di interesse atteso. Anche il governo cinese ha risorse limitate. Ad un certo livello deve essere una decisione fatto su quello che otterrà il maggior numero di risultati per le risorse che hanno. Se tu fossi parlando di un servizio che sarebbe stato utilizzato da un ampio settore del popolazione e si è ritenuto che l'uso sarebbe stato dannoso per la sentenza potere e quel potere controlla tutta l'infrastruttura, puoi essere abbastanza sicuro troveranno un modo per accedere ai dati. D'altra parte, se questo è qualcosa usato solo da un piccolo numero di persone o se l'uso è considerato di bassa qualità minaccia, quindi è probabile che non farebbero nulla.

Tutto si riduce a un'analisi rischio / beneficio da entrambe le parti. Il vero il problema è che una parte controlla tutta l'infrastruttura lato client. se essi vuoi dentro, troveranno un modo.

    
risposta data 19.08.2016 - 01:06
fonte

Leggi altre domande sui tag

hash nome utente e password nel ricordarmi il token? Restringe l'utente all'esecuzione dei comandi della shell usando PHP