¿Cómo bloquea / censura un país un sitio web encriptado (HTTPS)?

TL; DR: TLS solo protege el contenido de un mensaje. No los metadatos.

Cuando se comunica a través de la red clara, es importante recordar que hay algunas partes de una comunicación dada que no se pueden proteger con tecnologías estándar. A menos que use algo como TOR, su ISP podrá determinar con quién está hablando, incluso si está usando TLS.

Para usar una analogía, imagine enviar un sobre a través del servicio postal. El contenido del sobre es completamente inaccesible para cualquier persona que no sea el destinatario. Incluso si un cartero fuera a ver el contenido de alguna manera, no podrían comprenderlo (¿Tal vez lo hiciste a través de un código César primero? Jeje).

Sin embargo, para que el servicio postal lo envíe a la dirección correcta, el exterior del sobre debe estar marcado con una representación legible de la dirección de destino. Si el servicio postal no quisiera que nadie pudiera enviar cartas a "Joe Schmoe, 123 Fake street", entonces simplemente no podrían entregar ninguna carta con esa dirección.

Como el servicio postal no puede leer el contenido del mensaje, no tienen forma de identificar la intención de la carta. La única información que tienen es el hecho de que el destinatario deseado es Joe Schmoe. No pueden filtrar solo las letras que consideran maliciosas; es todo o nada.

Del mismo modo, el protocolo IP (el protocolo de enrutamiento que TCP ejecuta encima de) ha marcado claramente los campos "remitente" y "receptor". TLS no puede cifrar esto por dos razones:

• TLS se ejecuta sobre TCP / IP y, por lo tanto, no puede modificar partes de los paquetes que pertenecen a esos protocolos.
• Si la sección de IP estaba encriptada, entonces el servicio de portadora (enrutadores ISP) no podría identificar a dónde deben ir los paquetes.

El firewall por el que su ISP o país está forzando todo su tráfico no puede inspeccionar el tráfico TLS. Solo conocen los metadatos suministrados por el protocolo TCP / IP. También han considerado que el sitio al que desea acceder es más malo que bueno, por lo que eliminan todo el tráfico hacia y desde el sitio, independientemente del contenido.

Existe un método para asegurar incluso los metadatos de las comunicaciones en línea, pero es lento y no muy escalable. Los servicios ocultos de TOR son un intento de implementar esto. Por supuesto, los servicios ocultos solo funcionan dentro de la red TOR, a los que solo se puede acceder conectándose primero a una máquina a través de la red transparente. Esto significa que el ISP o el servidor de seguridad aún sabe que está procesando sus datos a través de la cebolla. No importa cómo lo intente, siempre filtrará algunos metadatos. Si quisieran, podrían restablecer todas las conexiones a los nodos TOR además del sitio que están bloqueando actualmente.

Si está intentando establecer una conexión directa a una IP específica a través de un firewall, y el firewall tiene reglas explícitas para eliminar cualquier tráfico hacia o desde esa IP dada, entonces la conexión a esa IP directamente siempre será infructuosa. Tendrá que conectarse a él de manera indirecta, ya sea a través de TOR, una VPN o algún otro servicio de proxy.

Muchos filtros web del gobierno se implementan a través del filtrado de DNS.

Para conectarse a https://www.example.com , su navegador se conecta primero al servidor DNS de su proveedor de servicios de Internet y solicita la dirección IP de www.example.com . Luego construye una conexión encriptada a la IP que recibe. Así que el gobierno instruye a los ISP para que configuren sus servidores DNS para que devuelvan no o una dirección IP falsa para los sitios web que desean bloquear.

Para probar esto, puedes configurar tus ajustes de red para usar un servidor DNS diferente, como 8.8.8.8 de Google. La forma de hacerlo depende de su sistema operativo, pero una guía debería ser fácil de encontrar.

Otro método de filtrado web es por la propia dirección IP. Los ISP simplemente configuran sus cortafuegos para bloquear todo el tráfico a la dirección IP de example.com . Tal filtro es más difícil de eludir que un filtro DNS, pero causa mucho más daño colateral. Los hospedadores web grandes a menudo alojan miles o incluso millones de sitios web completamente no relacionados en la misma dirección IP. Cuando los ISP bloquean por IP, no pueden bloquear un sitio específico sin bloquear también todos los demás que comparten la IP.

Cuando te conectas a un sitio web HTTPS, el nombre de host del sitio al que te estás conectando se transmite a través de la red en texto claro como parte de TLS handshake . El certificado del servidor siempre contiene el nombre de host, porque así es como el servidor se autentica a sí mismo cliente: "Soy el servidor que está autorizado para servir contenido para www.foo.example , según Jim-Bob's Bait Shop and Certificate Authority". Los navegadores modernos ¹ también envían el nombre de host en texto sin cifrar desde cliente al servidor , en " Indicación del nombre del servidor " mensaje que hace posible alojar muchos sitios web HTTPS en una dirección IPv4.

Esto es necesario debido a la forma en que funciona la matemática de configurar un canal seguro. Básicamente, el servidor tiene que hacer una afirmación criptográficamente imperdonable de su nombre de host (y algunas otras cosas, sobre todo su "clave pública"), en texto claro, antes de que comience el proceso de "acuerdo clave", o bien el cliente no puede estar seguro de que no hay un hombre en el medio que intercepta las comunicaciones.

Pero el inconveniente es que un firewall de "inspección profunda de paquetes" puede descubrir que está intentando conectarse a un sitio web específico y bloquear el acceso (por ejemplo, falsificando paquetes TCP RST) aunque no pudo haber escuchado a escondidas el < em> contenido de sus comunicaciones con ese sitio, e incluso si nunca revela el nombre de host del sitio con el que desea comunicarse de otra manera.

¹ en este caso, "todo lo que es probable que encuentre hoy en día, con las notorias excepciones de IE en Windows XP y el navegador de Android anterior a la 3.0; desafortunadamente, ambos son más común de lo que nos gustaría ".

HTTPS no oculta ni puede ocultar la IP y el nombre de host de un sitio web o el hecho de que se está conectando a él. Solo cifra el tráfico enviado a través de esa conexión una vez que se haya establecido .

Dado que, es trivial para alguien que controla la línea terminar las conexiones de un sitio en particular. Lo que HTTPS (con suerte) les impide hacer es monitorear o modificar la información intercambiada con el sitio, pero el hecho de que se está conectando a él siempre está visible.

Instituciones y empresas [ej. los proveedores de puntos de acceso] generalmente tratan esto de dos maneras:

• Indicar a los servidores DNS que apunten a otras direcciones IP: este es un obstáculo débil, ya que los usuarios con conocimientos técnicos pueden cambiar fácilmente su servicio DNS, y se utilizan cuando no es realmente importante bloquear un sitio. Creo que esto es lo que, por ejemplo, hace el gobierno italiano: a los ISP nacionales se les pide que cambien sus servidores DNS para que las solicitudes de sitios prohibidos se redirijan a una página alojada por el gobierno.
• Bloquear conexiones en una base de IP, en lugar de en una base de dominio: esto normalmente requiere un proxy transparente (especialmente utilizado por proveedores de puntos de acceso y similares) o un firewall con inspección profunda de paquetes (por ejemplo, el firewall chino). Para evitar que el usuario se conecte a direcciones IP prohibidas, se utilizan algunas técnicas, entre ellas, inyectar paquetes de reinicio de TCP, redirigir paquetes o simplemente eliminarlos.

Es posible que el sitio de destino no le permita acceder al rango de IP de origen en cuestión.

Sé de primera mano que muchas organizaciones grandes que bloquean países no son más que para minimizar la exposición a piratas informáticos provenientes de esa región.