Question:
Comment un pays bloque / censure-t-il un site Web chiffré (HTTPS)?
Mars
2014-08-03 15:22:02 UTC
view on stackexchange narkive permalink

Étant donné que le site X utilise HTTPS, comment peut-il être bloqué par un pays?

Mon navigateur lit: cryptage 128 bits | ECDHE_RSA comme échange de clés.

Je dis qu'il est bloqué puisque lorsque j'utilise Tor, cela fonctionne bien.

Une chose importante à souligner est que ce n'est pas bloqué dans le sens typique où nous sommes utilisé pour voir, qui montre clairement une page qui dit qu'elle est bloquée, à la place, le site X est bloqué de telle sorte que mon navigateur ne charge tout simplement pas la page et affiche l'erreur:

Cette page Web n'est pas disponible, Code d'erreur: ERR_CONNECTION_RESET

pour la version HTTPS, et cette page régulière "page est bloquée" lors de la demande de la version HTTP.

Notez que aucun autre site HTTPS n'est bloqué ! Juste celui-là! Je suppose que c'est une preuve qui exclut le blocage de port et le blocage de protocole. Cependant, il laisse DPI; mais il existe d'autres sites Web bloqués par HTTP dont la version HTTPS fonctionne toujours! S'ils peuvent bloquer le site X en DPI, pourquoi ne peuvent-ils pas bloquer les autres sites HTTPS de la même manière?

Vous pourriez obtenir une réponse plus précise en disant de quel pays vous êtes. La censure du Web est mise en œuvre différemment selon les pays.
Je suppose que vous utilisez également un autre navigateur lorsque vous vous connectez via le réseau Tor. Dans ce cas, il peut s'agir en fait d'une erreur dans votre navigateur. L'avez-vous testé dans un autre navigateur ou un autre appareil?
Non, j'ai torifié Chrome sur mon PC (l'anonymat n'est pas un problème avec ce site, seul le contournement de la censure l'est) donc cela fonctionne avec Tor ON, et non avec Tor OFF, et je l'ai également testé sur Android (Next Browser)
Ils le bloqueront via IP et le nom de domaine. Vous pouvez l'utiliser en utilisant TOR car une adresse IP différente servira la page pour vous qui ne sera pas sur liste noire.
Six réponses:
#1
+48
Kaslai
2014-08-03 18:51:26 UTC
view on stackexchange narkive permalink

TL; DR: TLS sécurise uniquement le contenu d'un message. Pas les métadonnées.

Lorsque vous communiquez sur le net net, il est important de se rappeler que certaines parties d'une communication donnée ne peuvent pas être sécurisées à l'aide de technologies standard. À moins que vous n'utilisiez quelque chose comme TOR, votre FAI pourra déterminer à qui vous parlez même si vous utilisez TLS.

Pour utiliser une analogie, imaginez l'envoi d'une enveloppe via le service postal. Le contenu de l'enveloppe est totalement inaccessible à quiconque autre que le destinataire. Même si un facteur visionnait d'une manière ou d'une autre le contenu, il ne serait pas en mesure de le comprendre (peut-être l'avez-vous d'abord fait passer par un chiffre César? Hehe).

Cependant, pour que le service postal l'envoie à la bonne adresse, l'extérieur de l'enveloppe doit être marqué d'une représentation clairement lisible de l'adresse de destination. Si le service postal ne voulait pas que quiconque puisse envoyer des lettres à "Joe Schmoe, 123 Fake street", alors il ne pouvait tout simplement pas livrer de lettres avec cette adresse.

Puisque le service postal peut ' t lire le contenu du message, ils n'ont aucun moyen d'identifier l'intention de la lettre. La seule information dont ils disposent est le fait que le destinataire prévu est Joe Schmoe. Ils ne peuvent pas filtrer uniquement les lettres qu'ils jugent malveillantes; c'est tout ou rien.

De même, le protocole IP (le protocole de routage sur lequel TCP s'exécute) a clairement marqué les champs «expéditeur» et «récepteur». TLS ne peut pas chiffrer cela pour deux raisons:

  • TLS s'exécute au-dessus de TCP / IP, et ne peut donc pas modifier des parties des paquets qui appartiennent à ces protocoles.
  • Si le La section IP a été chiffrée, le service opérateur (routeurs FAI) ne serait pas en mesure d'identifier où les paquets doivent aller.

Le pare-feu par lequel votre FAI ou votre pays force tout votre trafic ne peut pas inspecter le trafic TLS. Ils ne connaissent que les métadonnées fournies par le protocole TCP / IP. Ils ont également estimé que le site auquel vous souhaitez accéder est plus mauvais que bon, ils abandonnent donc tout le trafic vers et depuis le site, quel que soit le contenu.

Il existe une méthode pour sécuriser même les métadonnées des communications en ligne, mais il est lent et peu évolutif. Les services cachés TOR sont une tentative d'implémentation de cela. Bien sûr, les services cachés ne fonctionnent que dans le réseau TOR, qui ne peut être accédé qu'en se connectant d'abord à une machine sur le net net. Cela signifie que le FAI ou le pare-feu sait toujours que vous transmettez vos données par proxy via l'oignon. Quelle que soit la manière dont vous essayez, vous perdrez toujours certaines métadonnées. S'ils le voulaient, ils pourraient réinitialiser toutes les connexions aux nœuds TOR en plus du site qu'ils bloquent actuellement.

Si vous essayez d'établir une connexion directe à une adresse IP spécifique via un pare-feu, et le le pare-feu a des règles explicites pour tuer tout trafic vers ou depuis cette adresse IP donnée, alors la connexion directe à cette IP sera toujours infructueuse. Vous devrez vous y connecter indirectement, soit via TOR, un VPN ou un autre service proxy.

Je ne vois pas comment cela répond à la question. Pour vous rafraîchir la mémoire: la question était, comment bloquent-ils ma connexion? Je ne vois pas de réponse ici. (Tangentiellement, la réponse est assez évidente: blocage DNS ou inspection des paquets.)
Je suis à peu près sûr d'avoir donné une réponse très claire. Alors que TLS sécurise le contenu du trafic vers et depuis le site, les couches de transport TCP / IP sont toujours ouvertes à l'inspection. Tout pare-feu traversé par la connexion de l'OP peut facilement rejeter les paquets envoyés vers ou depuis une adresse IP indésirable.
Ce n'était pas clair pour moi. Je suggère de modifier votre réponse pour énoncer explicitement la réponse à la question. Une façon serait de commencer par la réponse à la question, puis d'élaborer sur les détails.
Il y a un [article Tor et HTTPS] (https://www.eff.org/pages/tor-and-https) d'EFF expliquant ce qui est divulgué lors de l'utilisation de HTTPS
Mais je connais aussi des proxies qui peuvent contourner les restrictions, par exemple au lycée, ils ont bloqué la plupart des proxies Web, mais ils ne pouvaient pas bloquer ceux commençant par https et je pensais que c'était parce que https: // crypte les en-têtes? Je suppose que cela n'en crypte que certains.
De nombreux pare-feu utilisés par des endroits tels que les lycées reposent souvent sur l'analyse du trafic à la recherche de mots-clés. Si le trafic passe par TLS, le pare-feu ne peut pas rechercher de mots clés. Dans mon lycée, la seule chose que notre filtre a fait était de vérifier le nom d'hôte des sites. Cela a vaincu votre solution de contournement HTTPS, mais vous pouvez toujours DNS l'URL et vous connecter en utilisant l'adresse IP. Je pense que la plupart des pare-feu mis en place par les écoles sont là pour aider à augmenter la productivité, pas pour censurer le contenu. C'est pourquoi ils sont extrêmement faciles à contourner.
@Celeritas il crypte les en-têtes. Il ne crypte pas l'adresse de destination. (Pensez-y - si l'adresse de destination était cryptée, comment saurait-elle où envoyer vos paquets?). Je ne sais pas pourquoi votre école ne bloquerait pas les proxys https, mais cela pourrait être dû à des administrateurs de mauvaise qualité.
@immibis car cela impliquerait de bloquer TOUT le trafic https. Il n'est pas possible d'inspecter le trafic https sans casser le chiffrement. Sans cela, vous ne pouvez pas dire si la requête est une requête proxy ou une requête standard.
@Aron comme cela a déjà été dit à plusieurs reprises, https ne cache pas l'adresse IP du serveur. Si awesomeproxy.com a une adresse IP de 1.2.3.4, (et qu'il n'y a pas d'autre site important sur 1.2.3.4, ce qui est probablement le cas), alors il est facile de bloquer tout le trafic vers et depuis 1.2.3.4.
@immibis, vous devez identifier le serveur https en tant que proxy. Vous devez savoir que cette adresse IP exécute un proxy. C'est dur.
@Aron Ce n'est pas si difficile, il existe des tonnes de listes d'url, qui divisent presque toutes les adresses publiques en catégories telles que commerciale, malware, proxy ... Il est utilisé dans la plupart des entreprises, donc une école pourrait facilement le faire. Ils pourraient utiliser la liste blanche et ce serait à toute épreuve, à moins que vous ne puissiez héberger un proxy sur un domaine en liste blanche ...
@Aron vous avez juste besoin de soudoyer un étudiant pour vous dire l'IP. Mais aussi, la plupart des proxys que les étudiants sont susceptibles d'utiliser exécuteront également un serveur Web indiquant qu'ils sont un proxy - connectez-vous simplement à l'adresse IP, consultez les instructions de configuration du proxy, mettez l'adresse IP sur la liste noire.
@immibis Dites-moi comment cette tactique fonctionne pour empêcher la vente d'herbe dans les écoles.
@Aron Je n'ai jamais rien dit sur les mauvaises herbes, seulement les serveurs proxy.
@immibis Je dis que les écoles ont généralement du mal à empêcher les élèves de faire les pires choses en utilisant des listes noires. Mais il est difficile de maintenir une liste globale de proxys https. Il faut énormément de ressources pour vérifier chacun des serveurs sur lesquels les étudiants se rendent. Payer les informateurs fonctionne si bien pour la police qu'aucun crime n'existe. De par sa nature même, la liste noire est une course aux armements, et il y a beaucoup plus d'étudiants que d'administrateurs.
#2
+34
Philipp
2014-08-03 16:11:17 UTC
view on stackexchange narkive permalink

De nombreux filtres Web gouvernementaux sont mis en œuvre via le filtrage DNS.

Afin de se connecter à https://www.example.com , votre navigateur se connecte d'abord au serveur DNS de votre fournisseur d'accès Internet et demande l'adresse IP de www.example.com . Il établit ensuite une connexion cryptée à l'adresse IP qu'il obtient. Le gouvernement demande donc aux FAI de configurer leurs serveurs DNS pour qu'ils ne renvoient aucune adresse IP ou une fausse adresse IP pour les sites Web qu'ils souhaitent bloquer.

Pour tester cela, vous pouvez configurer vos paramètres réseau pour utiliser un autre serveur DNS , comme le 8.8.8.8 de Google. La manière de procéder dépend de votre système d'exploitation, mais un guide doit être facile à trouver.

Une autre méthode de filtrage Web consiste à utiliser l'adresse IP elle-même. Les FAI configurent simplement leurs pare-feu pour bloquer tout le trafic vers l'adresse IP de example.com . Un tel filtre est plus difficile à contourner qu'un filtre DNS, mais cause beaucoup plus de dommages collatéraux. Les grands hébergeurs hébergent souvent des milliers, voire des millions de sites Web totalement indépendants sur la même adresse IP. Lorsque les FAI bloquent par IP, ils ne peuvent pas bloquer un site spécifique sans bloquer également tous les autres qui partagent l'IP.

Non, c'est impossible dans mon cas. J'utilise un DNS crypté. Désolé de ne pas avoir fourni cette information plus tôt.
Le DNS chiffré @Mars ne fait pas grand-chose lorsque le serveur DNS lui-même est compromis par la censure.
Ce n'est pas. Le DNS est propre et je viens de tester 5 autres DNS publics (Google (2), OpenDNS, Fondation suisse et FAI local)
Eh bien, cela indiquerait que le blocage IP est appliqué. Avez-vous déjà essayé un proxy simple en dehors de votre pays? Cela pourrait vous permettre de mieux comprendre ce qui se passe ...
N'oubliez pas que les adresses de ces serveurs DNS publics peuvent également être redirigées vers un serveur DNS non autorisé travaillant pour votre pays. Assurez-vous de les tester également via Tor, pour contre-valider les résultats, sinon vous ne pourrez pas évaluer l'exactitude des réponses que vous obtenez.
#3
+20
zwol
2014-08-04 00:48:23 UTC
view on stackexchange narkive permalink

Lorsque vous vous connectez à un site Web HTTPS, le nom d'hôte du site Web auquel vous vous connectez est transmis sur le réseau en texte clair dans le cadre de la négociation TLS. Le certificat du serveur contient toujours le nom d'hôte, car c'est ainsi que le serveur s'authentifie auprès du client: "Je suis le serveur qui est autorisé à diffuser du contenu pour www. foo.example , selon Jim-Bob's Bait Shop and Certificate Authority. " Les navigateurs modernes 1 envoient également le nom d'hôte en texte clair du client au serveur , dans le champ " Indication du nom du serveur "message qui permet d'héberger de nombreux sites Web HTTPS sur une seule adresse IPv4.

Ceci est nécessaire en raison de la façon dont les calculs de configuration d'un canal sécurisé fonctionnent. Fondamentalement, le serveur doit faire une déclaration cryptographiquement infalsifiable de son nom d'hôte (et d'autres éléments, surtout sa "clé publique"), en texte clair, avant que le processus de "contrat de clé" ne commence, sinon le client ne peut pas être sûr que il n'y a aucun homme au milieu qui intercepte les communications.

Mais l'inconvénient est qu'un pare-feu "d'inspection approfondie des paquets" peut apprendre que vous essayez de vous connecter à un site Web spécifique, et bloquer l'accès (par exemple en forgeant des paquets TCP RST) même s'il n'a pas pu écouter le contenu de vos communications avec ce site, et même si vous ne révélez jamais le nom d'hôte du site que vous souhaitez communiquer avec de toute autre manière.

1 dans ce cas, "tout ce que vous êtes susceptible de rencontrer de nos jours, à l'exception flagrante d'IE sous Windows XP, et du navigateur Android d'origine avant à 3.0; malheureusement, ces deux éléments sont plus courants que nous ne le souhaiterions.

#4
+4
Boann
2014-08-03 22:37:42 UTC
view on stackexchange narkive permalink

HTTPS ne masque pas et ne peut pas masquer l'adresse IP et le nom d'hôte d'un site Web ou le fait que vous vous y connectez. Il crypte uniquement le trafic envoyé sur cette connexion une fois qu'elle est établie .

Compte tenu de cela, il est trivial pour quelqu'un contrôlant la ligne de mettre fin à toute connexion pour un site particulier. Ce que HTTPS (espérons-le) les empêche de faire, c'est de surveiller ou de modifier les informations échangées avec le site, mais le fait que vous vous y connectez est toujours visible.

#5
+2
Giulio Muscarello
2014-08-03 18:57:28 UTC
view on stackexchange narkive permalink

Institutions et entreprises [par exemple. fournisseurs de points d'accès] traitent généralement cela de deux manières:

  • Demander aux serveurs DNS de pointer vers d'autres IP: c'est un faible obstacle, car les utilisateurs techniquement avertis peuvent facilement changer leur service DNS, et utilisé lorsque ce n'est pas vraiment important de bloquer un site. Je pense que c'est ce que fait, par exemple, le gouvernement italien: les FAI nationaux sont invités à changer leurs serveurs DNS afin que les demandes de sites interdits soient redirigées vers une page hébergée par le gouvernement.
  • Blocage des connexions sur une base IP, plutôt que sur une base de domaine: cela nécessite normalement un proxy transparent (surtout utilisé par les fournisseurs de hotspots et autres) ou un pare-feu avec une inspection approfondie des paquets (par exemple le pare-feu chinois). Pour empêcher l'utilisateur de se connecter à des adresses IP interdites, quelques techniques sont alors utilisées - parmi elles, l'injection de paquets de réinitialisation TCP, la redirection de paquets ou simplement leur suppression.
> Bloquer les connexions sur une base IP, plutôt que sur une base de domaine: cela nécessite normalement un proxy transparent (d'où la raison pour laquelle il est généralement utilisé par les fournisseurs de hotspots et autres) qui abandonne les paquets envoyés à des IP interdites, ou arrête les connexions (par exemple, le Le pare-feu chinois injecte des paquets de réinitialisation TCP). Ordures. Vous n'avez pas besoin de proxy, d'inspection de paquets ou de tout autre élément L4 si tout ce que vous voulez faire est de bloquer l'accès aux adresses IP. Des techniques de routage L3 simples (BGP, etc.) sont tout ce dont vous avez besoin .... et vous pouvez l'appliquer à n'importe quel niveau que vous voulez ... niveau FAI, par abonné etc.
#6
  0
goodguys_activate
2014-08-03 17:17:17 UTC
view on stackexchange narkive permalink

Il est possible que le site cible lui-même vous empêche d'y accéder à partir de la plage d'adresses IP source en question.

Je connais de première main de nombreuses grandes organisations qui bloquent des pays pour une autre raison que pour minimiser l'exposition aux pirates informatiques venant de cette région.

Nan. C'est The Pirate Bay.
S'il s'agit de TPB, vous pouvez aussi bien l'utiliser sur TOR. Ce n'est pas exactement un gros utilisateur de bande passante, et il est même accessible en tant que service caché (http://uj3wazyk5u4hnvtk.onion/). Ils ne font probablement que tuer tout le trafic vers les adresses IP connues pour TPB.
Je peux déjà y accéder. Je suis plus intéressé de savoir comment ils peuvent le bloquer car il utilise SSL! C'est pourquoi je n'ai pas mentionné le nom du site, ce n'est pas pertinent du point de vue des connaissances
@Mars Certains sites sont hébergés à partir d'adresses IP dynamiques, mais je ne pense pas que TPB le soit.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...