Esiste un modo per aggirare il filtraggio https basato su sni?

2

Dal lato del proprietario del sito web, non del client.

Il governo sudcoreano ha annunciato che censurerà internet tramite sni filtering.

Secondo la legge coreana, ogni sito web pornografico verrà bloccato per sempre in Corea.

Fino ad ora, abbiamo aggirato la censura collegandoci con il protocollo https. Ma ora è inutile. Tutti gli uomini coreani lo considerano molto serio.

Sicuramente troverò un modo e lo informerò con tutte le comunità online coreane. Per la libertà di tutti i coreani.

Ho sentito che TLS 1.3 non supporta ancora la crittografia sni.

Quindi, esiste una soluzione in grado di risolvere questo problema in questo momento?

Ci sono modi per fare cose come usare proxy, VPN, tor, ma non penso che sia una soluzione fondamentale. Non è una soluzione fondamentale se non interveniamo sul server.

    
posta hutanara 14.07.2018 - 20:52
fonte

2 risposte

3

Penso che in realtà non capisci cosa fanno TLS e SNI. SNI è una tecnologia che consente a più server Web di essere ospitati sullo stesso IP e di ascoltarli sulla stessa porta ma utilizzare diversi certificati SSL / TLS per la crittografia. Prima di SNI, due server Web in ascolto sulla stessa porta dovevano condividere il certificato, ad esempio avere un proxy inverso che gestiva il canale TLS e reindirizzare il traffico al server web effettivo

Until now, we have bypassed censorship by connecting with the https protocol. But now it is useless. All Korean men consider this very serious.

HTTPS (HTTP con TLS o SSL) non evita la censura, ciò che fa è crittografare - e fornisce l'integrità e l'autenticazione in alcuni schemi - il canale di comunicazione in modo tale che un avversario in grado di guardare il traffico - noto come intercettatore - non sia in grado di sapere quali informazioni vengono trasmesse. Non ha alcuna proprietà anti-censura, un attaccante che è in grado di tagliare il canale di trasmissione non saprà cosa è stato inviato, ma la comunicazione verrà comunque fermata.

Ancora di più, per il caso particolare di HTTPS con SNI, non tutte le informazioni sono criptate. Il nome host a cui ti stai connettendo viene inviato in chiaro quando viene eseguito l'handshake TLS

There are ways to do things like using proxy, VPN, Tor, but I do not think it's a fundamental solution. It is not a fundamental solution unless taking action on the server.

Di solito i governi vietano l'accesso a determinati siti Web tramite DNS. Il DNS è un protocollo per tradurre i nomi degli host in IP a cui un computer può connettersi, questo significa che se hai configurato il tuo resolver DNS per essere x.x.x.x puoi solo accedere a quei nomi host per i quali x.x.x.x conosce l'IP. In alcuni casi la modifica del resolver DNS è sufficiente per ripristinare l'accesso ai siti Web bannati (alcuni popolari resolver DNS sono 8.8.8.8 e 8.8.4.4 di Google o 1.1.1.1 e 1.0.0.1 di Cloudflare). Questo scenario è accaduto in Siria alcuni anni fa, quando il DNS di Google è stato scritto con vernice sui muri per recuperare l'accesso alle informazioni multimediali. Nota che in questo caso, la modifica del resolver DNS non impedirà ad un avversario nella rete locale o in un nodo intermedio di sapere che il client sta comunicando con il server web

Nei casi in cui non vuoi che un avversario sappia a quale server stai collegando una VPN o Tor è obbligatorio. Quando si utilizza una VPN o Tor un avversario nella rete locale del client o in un nodo intermedio fino a quando il punto di ingresso Tor saprà che si sta connettendo a quel nodo di ingresso VPN o Tor ma non sarà in grado di sapere nulla dopo che . In modo simile, il server Web e un avversario nella rete locale sapranno che la connessione proviene da un nodo di uscita Tor. Per le reti VPN e Tor occorre prestare particolare attenzione per evitare perdite DNS

L'utilizzo dei proxy può essere sicuro a seconda del tipo di proxy.

  • Un proxy SOCKS funzionerà in modo simile alla rete Tor ma con un singolo nodo, questo riduce notevolmente la privacy in quanto un avversario che intercetta il traffico in entrata e in uscita del proxy può facilmente identificare quale utente proxy si connette a quale server web , questo non è così semplice in Tor dato che i nodi di entrata e uscita sono diversi e non comunicano direttamente.

  • Se invece viene utilizzato un proxy HTTPS, la connessione viene crittografata tra il client e il proxy utilizzando il certificato proxy, quindi decrittografata e ricodificata utilizzando il certificato del server Web. Ciò significa che il client deve fidarsi del proxy in quanto può vedere tutto il traffico che lo attraversa. Inoltre, il browser del client mostrerà probabilmente degli avvertimenti poiché il certificato proxy non sarà considerato attendibile.

Infine, usando una VPN, Tor o entrambi è la soluzione migliore. Contrariamente a ciò che sembra, la censura viene applicata sul "lato client" della connessione e non sul server web. Ciò che non è consentito è che i client di determinati paesi si connettono al server Web, il server Web non può fare nulla per tale AFAIK

    
risposta data 15.07.2018 - 00:21
fonte
2

Connettersi a un sito usando Tor, una VPN o persino un proxy è il modo standard di bypassare un filtro di rete. Non so perché non lo consideri una soluzione, o perché desideri una soluzione sul server (che probabilmente avrebbe poco incentivo per l'implementazione delle funzionalità di esclusione).

Un modo per nascondere il sito Web al quale ci si connette da TLS consiste nel connettere la richiesta di un dominio nel livello TLS (SNI) ma diverso nel livello HTTP (per questo sarebbe necessario un software non standard), un tecnica chiamata fronting del dominio .

Poiché l'ispezione di rete può vedere solo quella esterna, potresti essere in grado di fornire un dominio innocuo in SNI e far rispondere il server a quello HTTP. Se entrambi i domini sono ospitati allo stesso indirizzo IP (ad esempio, sono in un CDN), poiché l'agente di censura non può distinguere gli accessi al dominio innocuo e quello indesiderato, dovrebbero anche bloccare l'altro. Segnale usato per fare questo , nascondendo le loro connessioni con TLS affermando che dovevano google.com, un sito web troppo grande per bloccare.

    
risposta data 14.07.2018 - 23:54
fonte

Leggi altre domande sui tag