Gran Firewall de China y conexión SSL simple

Navega tus respuestas
6

Tengo una aplicación que utiliza una conexión SSL para interactuar con los servidores ubicados en Europa / EE. UU. La aplicación utiliza un protocolo personalizado construido sobre TCP / IP. La aplicación utiliza certificados autofirmados para verificar el servidor durante el protocolo de enlace SSL (la aplicación cliente tiene el certificado raíz en el servidor de verificación, no se necesitan terceros para verificar los certificados).

¿El GFC bloquea tales conexiones o no?

UPD

  • Servidores colocados en Europa / EE. UU.
  • Clientes colocados en China
  • Compilación de protocolo binario personalizado sobre TCP-IP que se cifró con TLS1.2. No HTTPS o cualquier otro protocolo conocido.
  • Certificado autofirmado utilizado para autenticar servidores. Es decir. los clientes tienen un certificado raíz (varios KB) que se utiliza para verificar el certificado del servidor. Si se aprobó la verificación, se estableció la conexión TLS1.2.
  • los puertos de servidor utilizados están en el rango: 10000-20000. Es decir. puertos no conocidos como 443, etc. (¿Cambia la respuesta si se usarán puertos en el rango 1-1000?)
  • No tengo una región objetivo en China. En general, la aplicación debe poder conectarse al servidor desde cualquier región de China
pregunta Victor Mezrin 12.08.2016 - 14:28
fuente

1 respuesta

3

No estoy seguro de que pueda tener garantías reales aquí porque el problema no es solo el firewall El problema real es que su trato con un entorno que es fuertemente controlado en todas las capas y el firewall es solo un componente. Es Es muy probable que el firewall simplemente bloquee las conexiones que no puede inspeccionar o tiene alguna preocupación, pero es probablemente más probable que puedan insisten en que los clientes descarguen e instalen un certificado del gobierno que podrían utilizar en un escenario MItM 'Estilo Comodo'.

Supongo que dependerá de si sus conexiones son realmente notado y considerado de verdadera preocupación. Cuando consideras el tamaño de población con la que trata y la cantidad de datos / conexiones con el gobierno necesitaría monitorear, es probable que a menos que algo traiga lo que usted es haciendo la atención de las personas adecuadas, su esquema sería razonablemente seguro. Sin embargo si y cuando se notan sus conexiones y hay un deseo Para mirar más de cerca, entonces todas las apuestas están apagadas.

En un entorno donde una autoridad tiene control sobre todas las capas de la red y probablemente pueda insistir en que los clientes instalen o realicen alguna acción incluso antes de que se les permita el acceso a la red, creo que tiene pocas esperanzas de pudiendo asegurar la conexión. Si el gobierno quiere verlo, Podrás encontrar un camino.

La verdadera pregunta se reducirá a cuál es el nivel de interés esperado. Incluso El gobierno chino tiene recursos limitados. En algún nivel una decisión tiene que ser hecho en lo que obtendrá los mejores resultados para los recursos que tienen. Si usted fuera hablando de algún servicio que iba a ser utilizado por un gran sector de la población y se consideró que el uso iba a ser perjudicial para el fallo poder y que el poder controla toda la infraestructura, puede estar bastante seguro Encontrarán una forma de acceder a los datos. Por otro lado, si esto es algo. solo es utilizado por un pequeño número de personas o si el uso se considera de baja amenaza, entonces es probable que no hagan nada.

Todo se reduce a un análisis de riesgo / beneficio de ambas partes. El Real El problema es que un lado controla toda la infraestructura del lado del cliente. si ellos quieren entrar, encontrarán un camino.

    
respondido por el Tim X 19.08.2016 - 01:06
fuente

Lea otras preguntas en las etiquetas

Restrinja al usuario de ejecutar comandos de shell usando PHP El usuario malicioso que inflige ataques XSS parece estar en mi propia red