Великий Российский Фаервол и способы обхода

Тема в разделе "СТАТЬИ И УРОКИ ПО ВЗЛОМУ И ОБХОДУ ЗАЩИТЫ", создана пользователем X-Shar, 19 мар 2014.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.807
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Хе вот на хабре наткнулся на классную статью !

    08edb83321c3331cae694af718f9ebbc.
    Как мы все видим, ситуация со свободой интернета в России ухудшается, что было невообразимо вчера, уже вызывает смех сегодня.

    Палка уже на полметра вошла в маршрутизатор, создав ограничение, но есть еще такие же пол метра, до кнопки выключения.

    В данном посте я постараюсь объективно описать с технической точки зрения разные сценарии и последствия после введения Великикого Российского Фаервола.

    Методы блокировок:

    В мире существует не так много способов что бы произвести блокировку, и как вы догадываетесь, чтобы что-то заблокировать, то сначала надо выбрать что мы блокируем.

    Методы могут быть:
    — ACL: на основе Портов / IP адресов
    — DPI: на основе типа трафика
    — Белые списки

    Рассмотрим каждый из них.

    1)ACL:

    В первом случае (ACL) доступ, обычно, блокируется по политикам черных списков (всё, что не запрещено — разрешено) таким образом что можно блокировать:
    — Порты приложений (Например заблокировать весь трафик на все порты кроме 80, 443) но тут есть лазейка, вы можете пускать любой трафик через эти порты, хоть торренты, хоть TOR и никто не сможет заблокировать его при таком типе блокировки.

    Могут быть более гибкие ситуации, например на основе блокировки внешних IP адресов которые не хотят сотрудничать (причем возможны варианты как сайтов, так и просто, любых сетевых ресурсов)

    Как обойти?
    Подключатся через разрешенный порт на разрешенный IP адрес и передавать любые данные, которые вам нужны.

    2)DPI

    DPI — действительно страшная вещь, она страшная тем, что она может определять трафик и маркировать его или направлять в определенный интерфейс в зависимости от политики.

    Главное учтите сам DPI НИЧЕГО не блокирует, а только определяет трафик.

    DPI может определять трафик на основе:
    — Порты
    — Входящий/исходящий адрес (например если skype авторизуется всегда на 10 серверах с 10 IP адресами)
    — По сигнатурам
    — Опережающее подключение

    - Определение трафика по сигнатурам работает следующим образом: Любая компания которая продает DPI обычно предоставляет поддержку на своё оборудование, а в поддержку входит актуальное обновление базы сигнатур.

    Другими словами, если у вас bittorrent, bitcoin, litecoin, twister работает (по очереди) на одном и том же порту связывается с одним и тем же узлом, и использует DHT сеть (все технологии одинаковые) то DPI все равно может определить когда и какой от вас идет трафик на основе анализа пакета вплоть до последнего уровня модели OSI.

    Поддержку у основных вендоров оборудования DPI работает обычно по принципу 10%, как только в сети оператора появляется новый трафик который DPI не может определить и его 10% и более — трафик отправляется на анализ в компанию, которая создает маркер позволяющий идентифицировать его.

    Данный способ анализа трафика можно победить при динамическом изменении протокола на лету, этим могут похвастаться немногие программы, немного Tor, I2P. Другими словами, как только приложение замечает, что трафик не проходит (или просто через N минут) происходит смена алгоритма генерации пакетов, что не позволяет идентифицировать трафик.

    Как обойти?
    Если алгоритмов заложено много, или бесконечно много в особенности без явной закономерности, то производители DPI не будут анализировать такой трафик, т.к потребуется разработать бесконечно много правил, который должны быть всегда загружены в память устройству, что экономически не оправдано или вообще не возможно.

    -Опережающее подключение — это способ который очень популярен в Китае работает следующим образом:
    Когда вы делаете запрос GET предположим к yandex.ru, DPI его перехватывает и делает такой же запрос (ваш висит в ожидании, либо IP назначения меняется на адрес DPI) далее анализируется ответ, и используются политики черных/белых списков, в зависимости от диктатора настроек оборудования.

    Как обойти?
    Практически никак, только очень серьёзная стеганография. (если используются черные списки)

    3)Белые списки

    Политику белых списков я хочу вынести в отдельный пункт по одной простой причине: при белых списках всё что не разрешено — запрещено.

    Другими словами, при введение белых списков и использовании любого метода ограничений можно заблокировать вообще всё что нужно.

    Например можно заблокировать все IP адреса кроме адреса первого канала, НТВ и Почты России, причем только 80 порт.
    При такой ACL у вас все соединения будут сразу же обрубаться и будет невозможно обойти данную блокировку никаким способом шифрования.

    Какой метод будет использоваться в России ?

    Теперь давайте подумаем: Крупнейшие магистральные операторы в России это:
    1) Ростелеком
    2) Вымпелком
    3) Транстелеком
    4) Центральный телеграф
    5) МТС/МГТС
    6) Комкор / Акадо

    Оборудование DPI есть только у Вымпелкома, транстелекома, и МГТС.
    Да да, у Ростелекома нет DPI.

    Как проверить есть ли у моего провайдера DPI ?
    Позвонить и спросить
    Если ваш провайдер блокирует ссылки из реестра запрещенных ресурсов по IP — нету, если по URL — есть.

    Другими словами, у государственного монополиста нет DPI — значит возможны два варианта событий:
    1) Закупка DPI на миллионы долларов
    2) Использование ACL

    К сожалению оба варианта одинаково возможны по разным причинам, но при оперативном решении, блокировку можно осуществить только через ACL политики.

    Что будет в день Х?

    Если предположить, что блокировка осуществляется через ACL и будут заблокированы все неверные и подозрительные ресурсы, то:
    — Из социальных сетей будет работать только ВКонтакте/Одноклассники
    — Из мессенджеров только Skype / ICQ
    — Почта не будет доходить до внешних почтовых ящиков

    А как же P2P?

    А вот он будет работать, причем весь.
    Что бы заблокировать P2P сети нужно спускать DPI прямо к пользователям с это будет стоит огромного количества денег.

    Другими словами, что бы у нас с вами осталась связь без прослушки нужно:
    — Активно использовать любые P2P средства
    — НЕ пользоваться любыми отечественными сервисами (даже если компания зарегистрирована заграницей — то все равно ей управляет скорее всего кто-то от сюда) пример — Яндекс и золотая акция.
    — Установить ПО которое будет работать локально внутри оператора/страны сети БЕЗ внешних серверов.

    Источник:http://habrahabr.ru/post/215975/

    P/S: Подумываю выложить статью про P2P, но не знаю интересно-ли это будет здесь, также подумываю вынести часть форума, либо вообще весь форум в P2P, пока не зню можно-ли это зделать и как ?

    Хотя пока такой потребности нет, вроде никто не обижает !My mind
     
    • Мне нравится Мне нравится x 9
  2. Denis27 Уважаемый пользователь
    Denis27
    Ответить в чате

    Форумчанин

    Регистрация:
    04.03.2014
    Сообщения:
    887
    Симпатии:
    3.419
    Пол:
    Мужской
    Репа:
    +3.420 / 0 / -0
    лично я за , за других же сказать не могу
    X-Shar , а можно специально для таких суперчайников как яblush1 чуть больше информации по этим пунктам:
    а то не совсем понятно ((
     
    • Мне нравится Мне нравится x 6
  3. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.178
    Симпатии:
    11.093
    Пол:
    Мужской
    Репа:
    +11.241 / 47 / -6
    Jabber:
    Skype:
    А вот тебе ещё чуток информации об альтернативном интернете и тут.Сколько люди всего напридумывали :Mem1: .
     
    • Мне нравится Мне нравится x 6
  4. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.807
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    В целом ссылки у Антохи ответят на все вопросы !

    Единственное хочу сказать про почту, конечно такие сервисы как mail, yandex, google анализируют переписку пользователей и далее будут передовать, да боюсь, что уже передают данные всяким рекламным агенствам, спец. службам и т.д., защитится от этого можно двумя способами:

    1)Первый способ, это и просто и сложно, тупо свой почтовый сервер...

    2)Второй способ, это шифровать личные и конфиденциальные данные, рекомендую бесплатную программу TrueCrypt, если защита нужна не от спец. служб, то достаточно алгоритма шифрования AES, если защита от спец. служб, тут нужно использовать уже связки алгоритмов и различную маскировку, вот например можно использовать такую связку в TrueCrypt:AES-Twofish-Serpent !

    Но помните чем круче алгоритм, тем медленнее работа и расшифровка, комп нужен мощный !WinkSmile
     
    • Мне нравится Мне нравится x 6

Поделиться этой страницей