¿Por qué no se enmascaran los túneles seguros (como VPN) como una transmisión HTTPS? ¿No sería esto imposible bloquearlos?

0

Países como China son conocidos por bloquear las conexiones VPN, lo que causa mucha frustración para los residentes y visitantes temporales por igual. Sin embargo, China (todavía) no aplica un modo de lista blanca al tráfico saliente, por lo que es posible conectarse a cualquier sitio web normal que no esté en la lista de prohibición.

Entonces, ¿por qué el software VPN no se enmascara simplemente como paquetes HTTPS? Esto obligaría a entidades como China a bloquear todo el tráfico HTTPS o emplear un análisis de patrones extremadamente poco confiable en todo el tráfico HTTPS. El tráfico podría incluso enmascararse como paquetes HTTP, con los datos seguros codificados en archivos de imagen o video falsos, lo que dificultaría aún más el bloqueo.

    
pregunta JonathanReez 29.01.2017 - 14:29
fuente

3 respuestas

3

En realidad tenemos este tipo de protocolos y funcionan bastante bien. Un ejemplo se llama "shadowsocks". La especificación se puede encontrar aquí: enlace . Su objetivo principal es simplemente ofuscar paquetes TCP / UDP en tráfico aleatorio mediante un cifrado muy simple, de modo que el GFW no pueda reconocer ningún patrón, sino algunos bytes aleatorios. Es muy flexible con muchos "conjuntos de cifrado" para elegir.

Una variante de shadowsocks se llama shadowsocks-rss, que permite un mecanismo de ofuscación más, que incluye el tráfico de TLS. Shadowsocks y shadowsocks-rss son los muy pocos protocolos que se pueden usar de manera eficiente en China para evitar el GFW. Además, estos protocolos y sus implementaciones son de código abierto en Github.

    
respondido por el 9f241e21 29.01.2017 - 15:04
fuente
1

Porque una de las bases de las redes modernas (bueno, al menos durante 30 años) es el concepto de capas . La función de una VPN es encapsular el tráfico de la red para permitir que las subredes remotas conectadas a través de una red no controlada se comporten como si estuvieran conectadas localmente. No más ni menos.

Pero hay otros proyectos que permiten ocultar un flujo de red en un túnel encapsulado en una conversación HTTP. Se ha analizado algún ejemplo de estos en esa pregunta del SO .

Técnicamente, es posible encapsular un flujo VPN completo dentro de un túnel HTTP (S). Pero debo admitir que no conozco una solución completa lista para usar. Tal vez porque no hay muchos casos de uso aceptables para el mismo: las redes privadas virtuales (VPN, por sus siglas en inglés) son muy utilizadas para unir redes corporativas, por lo que puede encontrar muchas referencias de eso. Pero el túnel HTTP suena como Sé que no quieres que haga eso, así que solo lo esconderé . Y luego el problema pasa instantáneamente del lado técnico al legal ...

E incluso si el tráfico pudiera usar solicitudes y respuestas HTTP (S) correctas, es probable que tenga pequeñas diferencias en el tamaño de las solicitudes y los retrasos que permiten que los métodos heurísticos lo descubran. Una vez que se detecta, puede ser cuestión de horas para que llegue la policía. ¡Nunca usaría eso en un país como China!

Para residentes temporales, una solución sería configurar una VPN privada antes de ir a China y luego usarla. Si solo transporta poco tráfico, no debe ser prohibido.

    
respondido por el Serge Ballesta 29.01.2017 - 16:33
fuente
0

Cualquier protocolo debe ser comprensible en ambos lados. Podría envolver todos los protocolos en cualquier otro, pero la VPN a la que se está conectando debe saberlo. ¿Cómo lo dirías? Esto tal vez podría resolverse con TLS (https), está bien. Solo necesita alguien que quiera desarrollar y difundir dicho protocolo. Ah, y hay una sobrecarga adicional: en la CPU y en el ancho de banda

    
respondido por el Miroka 29.01.2017 - 15:12
fuente

Lea otras preguntas en las etiquetas