Encrypted SNI

Ответить
 

Hanabishi

Старожил

Стаж: 14 лет 8 месяцев

Сообщений: 2640

Hanabishi · 16-Июн-19 20:36 (5 лет 5 месяцев назад)

Почему бы не перевести сайт на Encrypted SNI? https://habr.com/ru/company/globalsign/blog/427563/
При таком подключении все виды DPI бессильны, так как сам заголовок подключения тоже зашифрован.
Технология уже поддерживается в стабильном релизе лисицы, и хром говорят скоро тоже подтянется.
[Профиль]  [ЛС] 

kx77

Стаж: 12 лет

Сообщений: 723


kx77 · 16-Июн-19 22:30 (спустя 1 час 53 мин.)

Да, включал в лисе tls 1.3 и esni. Но FF ввел дурацкое требование.
Если не включен dns-over-tls, tls 1.3 не включится, esni не будет работать.
Ему пофиг, если dns у меня идет через dnscrypt , он требует именно такой dns, который хочет он.
По умолчанию на сервера мозиллы идут запросы dns.
Но можно переназначить.
+ http еще должен держать. не все http сервера поддерживают. lighttpd - нет
nginx - да
[Профиль]  [ЛС] 

true watcher

Хранитель

Стаж: 15 лет 8 месяцев

Сообщений: 562

true watcher · 16-Июн-19 22:34 (спустя 4 мин.)

Hanabishi писал(а):
77540284Почему бы не перевести сайт на Encrypted SNI?
Подключение с зашифрованным sni возможно к rutracker.nl и всем зеркалам проекта Мой.Рутрекер (благодаря проксированию Cloudflare):
скрытый текст
При этом следует учитывать, что для ipv4 на форуме введены региональные ограничения, которые распространяются в том числе и на российские адреса.
Hanabishi писал(а):
77540284все виды DPI бессильны
Но возможна блокировка по IP.
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 8 месяцев

Сообщений: 2640

Hanabishi · 17-Июн-19 00:15 (спустя 1 час 41 мин.)

true watcher писал(а):
77540895Подключение с зашифрованным sni возможно к rutracker.nl и всем зеркалам проекта Мой.Рутрекер (благодаря проксированию Cloudflare)
Не знал, это отлично.
true watcher писал(а):
77540895Но возможна блокировка по IP.
Невозможна, благодаря существованию CDN (тот же Cloudflare например), адрес сайта постоянно меняется, и в принципе разный для людей в разных местах.
[Профиль]  [ЛС] 

true watcher

Хранитель

Стаж: 15 лет 8 месяцев

Сообщений: 562

true watcher · 17-Июн-19 15:02 (спустя 14 часов)

Hanabishi писал(а):
77541463адрес сайта постоянно меняется, и в принципе разный для людей в разных местах
Нет.
скрытый текст
https://www.cloudflare.com/learning/cdn/glossary/anycast-network/
When requests come into a single IP address associated with the Anycast network, the network distributes the data based on some prioritization methodology. The selection process behind choosing a particular data center will typically be optimized to reduce latency by selecting the data center with the shortest distance from the requester.
У Cloudflare обычно 2 ipv4 + 2 ipv6, сопоставленных с именем ресурса (хоть в статье и указано "single"), и эти адреса не меняются - их вносят в реестр и при надобности могут обязать провайдеров блокировать по ip, а не по имени.
Аналогичный пример - Google Public DNS с их 8.8.8.8 и 8.8.4.4, которые не меняются и одинаковы для любого региона в мире.
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 8 месяцев

Сообщений: 2640

Hanabishi · 17-Июн-19 17:42 (спустя 2 часа 39 мин.)

true watcher ну ты как бы сам статью прочитай. Это адреса Anycast, за ними может сидеть много других сайтов. В том же реестре прочекай адрес 104.28.16.16, даже там записи о других доменах найдутся, рутрекер далеко не один через него сидит.

И гугловский DNS это тоже Anycast.
Они конечно могут заблочить весь релей, но тогда параллельно с рутрекером в бан уйдет и куча абсолютно левых ресурсов.
[Профиль]  [ЛС] 

kx77

Стаж: 12 лет

Сообщений: 723


kx77 · 18-Июн-19 10:29 (спустя 16 часов)

Hanabishi писал(а):
Они конечно могут заблочить весь релей, но тогда параллельно с рутрекером в бан уйдет и куча абсолютно левых ресурсов.
Когда это их останавливало ? И сейчас блочится большая часть доменов незаконно.
Когда банили телегу, в бан с легкой руки уходили подсети /16 и больше
Им придется одуматься, только когда "коллеги из братков", имеющих вес, пострадают
сбербанк, вк, госуслуги. на мелюзгу среднего и низшего звена им глубоко наплевать
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 8 месяцев

Сообщений: 2640

Hanabishi · 19-Июн-19 15:36 (спустя 1 день 5 часов)

kx77 собственно в момент тех банов много инфраструктуры и пострадало. Потому все потом быстренько назад откатили и сделали вид, что ничего не было. И там с телегой у них принципиальный момент был, за трекером вряд ли они будут так гоняться. Хотя в нашем царстве все возможно конечно.
Но да не суть, это все уже отдельная тема. Главное что ESNI обходит DPI, и на rutracker.nl в текущий момент можно заходить без всяких прокси-впнов, чисто включив соответствующую опцию в лисе.
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 14 лет 9 месяцев

Сообщений: 1718

vlad_ns · 19-Июн-19 18:21 (спустя 2 часа 45 мин., ред. 19-Июн-19 18:21)

С одной стороны им чихать, с другой это ведь может быть крупный бизнес, с реальными налогами, от которых кормятся все бюджетники и РКН в том числе.
Мне кажется, скоро будет уже всё равно, блокировать уже будут не по ip или доменному имени, Подготовлены правила изоляции Рунета.
[Профиль]  [ЛС] 

kx77

Стаж: 12 лет

Сообщений: 723


kx77 · 20-Июн-19 12:16 (спустя 17 часов)

vlad_ns писал(а):
77553550С одной стороны им чихать, с другой это ведь может быть крупный бизнес, с реальными налогами, от которых кормятся все бюджетники и РКН в том числе.
Мне кажется, скоро будет уже всё равно, блокировать уже будут не по ip или доменному имени, Подготовлены правила изоляции Рунета.
О чем и сказал. Если кто-то актуальный для них и солидный - подвинутся по звонку от братанов.
А остальные сами пусть изворачиваются. Если вас заблокировали, то это ваши проблемы. Меняйте IP, находите православные хостинги, которые беленькие-беленькие и их не заблочат.
Всем клаудфларщикам давно выдана черная метка. Сами думайте что вам важнее. Че-то там такое или ваш бизнес.
Ваш бизнес у нас только по нашим законам, мы тут крыша, чужую не потерпим, мы тут закон, сами его и пишем, и нам на все плевать.
Это же мафия, вышедшая из 90х. Мафия+КГБ. И логика у них соответствующая
Мне кажется весь инет они не отрежут. А то сами себе на яйца могут наступить. Но запросто могут ввести китае-подобные фильтры
и лицензирование различных действий. Лицензия на сайт, лицензия на vpn. Вывести блокировки на совершенно неподконтрольный обществу уровень.
Че хотят, то и блочат. Че зачесалось, то и почесали. Финалом могут стать белые списки
Тотал контроль и лицензирование
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 14 лет 9 месяцев

Сообщений: 1718

vlad_ns · 21-Июн-19 20:42 (спустя 1 день 8 часов, ред. 21-Июн-19 20:42)

kx77 писал(а):
77556508Ваш бизнес у нас только по нашим законам, мы тут крыша, чужую не потерпим, мы тут закон, сами его и пишем, и нам на все плевать.
Это же мафия, вышедшая из 90х. Мафия+КГБ. И логика у них соответствующая
Ну не всё так однозначно, было не так давно похожее государство, чем кончилось всем известно. И 90-е прошли и это пройдёт, правда и жизнь не резиновая...
Кстати, никто не подскажет, если я использую squid, который может sni, то esni мне не грозит видимо?
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 8 месяцев

Сообщений: 2640

Hanabishi · 21-Июн-19 23:44 (спустя 3 часа)

vlad_ns писал(а):
77558379Кстати, никто не подскажет, если я использую squid, который может sni, то esni мне не грозит видимо?
Да, ESNI руинит любые попытки читать трафик.
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 14 лет 9 месяцев

Сообщений: 1718

vlad_ns · 22-Июн-19 10:54 (спустя 11 часов, ред. 29-Июн-19 22:45)

kx77 писал(а):
77540875Если не включен dns-over-tls, tls 1.3 не включится, esni не будет работать.
К слову, tls 1.3 включить можно,
[URL=http:// СПАМ
kx77 писал(а):
77540875Ему пофиг, если dns у меня идет через dnscrypt
у меня тоже идёт. tls 1.3 заработал после обновления openssl до 1.1.1.
Проверка версии tls, esni: https://www.cloudflare.com/ssl/encrypted-sni/ https://tls13.1d.pw/
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 8 месяцев

Сообщений: 2640

Hanabishi · 22-Июн-19 13:30 (спустя 2 часа 35 мин.)

vlad_ns, я так понял он не хочет DNS-over-HTTPS включать. Это чисто ограничение самой лисы, что без него ESNI не включается.
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 14 лет 9 месяцев

Сообщений: 1718

vlad_ns · 22-Июн-19 14:12 (спустя 42 мин.)

Hanabishi писал(а):
77565495я так понял он не хочет DNS-over-HTTPS включать. Это чисто ограничение самой лисы
Так я тоже не включал, в том смысле что:
kx77 писал(а):
77540875Если не включен dns-over-tls, tls 1.3 не включится, esni не будет работать.
Ему пофиг, если dns у меня идет через dnscrypt , он требует именно такой dns, который хочет он.
По умолчанию на сервера мозиллы идут запросы dns.
dns-over-https и dns-over-tls у меня исключительно в dnscrypt, при этом в firefox tls 1.3 работает. Как я понял tls 1.3 и esni а так же dns-over-tls должна быть в firefox настроена (по словам kx77)?
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 8 месяцев

Сообщений: 2640

Hanabishi · 22-Июн-19 15:39 (спустя 1 час 26 мин., ред. 22-Июн-19 15:39)

vlad_ns, да, в лисе если не включен DoH (именно опция прям в самом браузере, то что у тебя уже где-то сторонним методом включено ее не волнует), то ESNI тоже отключается. Зачем так сделали хз. Надо идти шатать их багтрекер просто.
[Профиль]  [ЛС] 

kx77

Стаж: 12 лет

Сообщений: 723


kx77 · 29-Июн-19 10:35 (спустя 6 дней, ред. 29-Июн-19 10:35)

Hanabishi писал(а):
77563458
vlad_ns писал(а):
77558379Кстати, никто не подскажет, если я использую squid, который может sni, то esni мне не грозит видимо?
Да, ESNI руинит любые попытки читать трафик.
esni руинит только возможность читать sni. то есть имя домена, к которому идет подключение.
так ли много "подозрительных сайтов", сидящих на домейн фронтинге ? чтобы там было не 1-2-3 хоста за ip,
а очень много. и не станут ли банить такие ip порталы, чтобы вынуждать "хороших" уходить в белый ip
да и сама система сертификации https это большой вопрос
у меня лично нет никаких сомнений, что у спецслужб , особенно американских, есть приват ключи CA,
которые могут быть использованы для mitm. но используются они не массово, а таргетировано,
чтобы избежать компрометации, а то их мгновенно заблэклистят
certificate pinning, dane и тому подобное не прижилось, к сожалению
поэтому мы доверяем дядям васям, которых сотни, и круг которых не ограничен, и среди них обязательно найдутся шкуры
Hanabishi писал(а):
77566056vlad_ns, да, в лисе если не включен DoH (именно опция прям в самом браузере, то что у тебя уже где-то сторонним методом включено ее не волнует), то ESNI тоже отключается. Зачем так сделали хз. Надо идти шатать их багтрекер просто.
уже шатали. вроде это фича, а не баг, хотя и спорная
я считаю у юзера должна быть возможность самому решать насколько безопасен их dns
и тем более не ограничивать понятие безопасного dns лишь одним протоколом, по умолчанию настроенным на их сервера
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 8 месяцев

Сообщений: 2640

Hanabishi · 29-Июн-19 20:44 (спустя 10 часов)

kx77, http://rkn.gov.ru/news/rsoc/news24880.htm
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 14 лет 9 месяцев

Сообщений: 1718

vlad_ns · 02-Июл-19 00:11 (спустя 2 дня 3 часа, ред. 02-Июл-19 00:11)

Судя по данному сообщению, esni в dnscrypt таки поддерживается, но проверить нельзя, так как всё заточено на firefox и 1.1.1.1 от Cloudflare. А отсюда я понял что всё равно, есть ли у меня в системе прокси с sni, т.к. всё общение идёт только через dns (в моём случае через dnscrypt) сервер с серверами снаружи?
[Профиль]  [ЛС] 

kx77

Стаж: 12 лет

Сообщений: 723


kx77 · 02-Июл-19 09:15 (спустя 9 часов)

dnscrypt или doh - это всего лишь альтернативные транспорты одной и той же системы DNS
через них прогоняются любые типы записей DNS
но firefox же намертво заставил нас использовать его собственную внутреннюю реализацию только одного такого транспорта, что считаю решением глубоко ошибочным. это могло было быть сделано 'по умолчанию', но никак не заставлять
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 14 лет 9 месяцев

Сообщений: 1718

vlad_ns · 08-Сен-19 10:43 (спустя 2 месяца 6 дней)

Mozilla переходит к включению по умолчанию DNS-over-HTTPS в Firefox
[Профиль]  [ЛС] 

ValdikSS

Стаж: 17 лет

Сообщений: 525


ValdikSS · 09-Сен-19 04:10 (спустя 17 часов)

При применении ESNI возникает другая проблема: отсутствие SNI. DPI многих провайдеров настроены так, что когда они не может определить, к какому домену производится доступ, они блокируют соединение, и фактически получается блокировка по IP.
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 8 месяцев

Сообщений: 2640

Hanabishi · 09-Сен-19 12:11 (спустя 8 часов)

ValdikSS, как-то бредово. Существует куча других протоколов, помимо HTTP. Включая даже свои собственные протоколы у каких-нибудь сетевых игр. Это не обязательно вообще даже TCP/UDP может быть. Естественно трафик не распознается никак. У такого горе-провайдера все клиенты посбегают.
[Профиль]  [ЛС] 

ValdikSS

Стаж: 17 лет

Сообщений: 525


ValdikSS · 09-Сен-19 15:15 (спустя 3 часа)

Hanabishi
Таких провайдеров очень много, если не большинство. У меня нет свежей статистики, но я навскидку даже не скажу, у кого DPI настроен иначе.
А, полагаю, вы меня неправильно поняли. Объясню.
Есть в реестре заблокированный домен w1.mobgo1azino.site, с IP-адресами 104.28.26.13 | 104.28.27.13. Он заблокирован по доменному имени.
Вы хотите найти на незаблокированный сайт bo0om.ru, у которого те же IP-адреса, потому что оба сайта находятся за Cloudflare.
Если вы используете браузер без ESNI, то DPI провайдера увидит, что вы пытаетесь зайти на bo0om.ru по этим IP-адресам, и разрешит соединение.
Если вы будете использовать ESNI, то в TLS ClientHello-пакете не будет поля SNI, и DPI заблокирует ваше соединение.
[Профиль]  [ЛС] 

kx77

Стаж: 12 лет

Сообщений: 723


kx77 · 09-Сен-19 15:46 (спустя 30 мин., ред. 09-Сен-19 15:46)

ValdikSS писал(а):
в TLS ClientHello-пакете не будет поля SNI, и DPI заблокирует ваше соединение.
Это проблема из серии "критической массы".
Пока еще TLS 1.3 и ESNI - редкость. Всем_пока_пофигу
Но когда оно будет в 1/3 сайтов, пошевелиться придется Прекрасно, у 99.98% юзеров мозиллы все запросы пойдут через сервер мозиллы
какая замечательная точка наблюдения и отказа
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 8 месяцев

Сообщений: 2640

Hanabishi · 09-Сен-19 16:09 (спустя 22 мин.)

ValdikSS, так IP адреса же не заблокированы, с какой стати DPI заблокирует соединение? Мало ли что это за подключение, трафик-то зашифрован. Да и в скором времени протокол распространится, по такой логике получится массированный бан всего и вся.
kx77, кстати говоря они сменили стандартные настройки. Свой сервер убрали и сделали cloudflare по-умолчанию.
[Профиль]  [ЛС] 

ValdikSS

Стаж: 17 лет

Сообщений: 525


ValdikSS · 09-Сен-19 16:20 (спустя 11 мин.)

Hanabishi
Цитата:
по такой логике получится массированный бан всего и вся.
Очнитесь и оглянитесь вокруг.
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 14 лет 9 месяцев

Сообщений: 1718

vlad_ns · 09-Сен-19 16:26 (спустя 6 мин.)

kx77 писал(а):
77942576Прекрасно, у 99.98% юзеров мозиллы все запросы пойдут через сервер мозиллы
какая замечательная точка наблюдения и отказа
Мозилла пишет что там всё надёжно и протестировано :), а так конечно соглашусь.
Hanabishi писал(а):
77942667так IP адреса же не заблокированы
Х.з. может у этого dpi какое-то более пристальное внимание к парам ip+домен? А так, я например планшетом подключаюсь к своему "домрушному маршрутизатору" через stunnel и спокойно пользуюсь интернетом без ограничений. Пока Теле2 ничего не подозревает, хотя забавно наверно у них в логах на меня шифрованый трафик идёт только к одному ip, от домру.
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 8 месяцев

Сообщений: 2640

Hanabishi · 09-Сен-19 16:54 (спустя 28 мин., ред. 09-Сен-19 16:54)

ValdikSS, это уже другой отдельный разговор. Если будет масс бан, то тут уже ничего не поделать.
vlad_ns, так бан идет из реестра. А в реестре записи простые, либо какой-то url, либо айпишник. У провайдеров явно нет желания заниматься какими-то хитрыми фильтрациями сверх положенного.
[Профиль]  [ЛС] 

ValdikSS

Стаж: 17 лет

Сообщений: 525


ValdikSS · 09-Сен-19 17:05 (спустя 10 мин.)

Hanabishi писал(а):
77942832У провайдеров явно нет желания заниматься какими-то хитрыми фильтрациями сверх положенного.
До сих пор есть приличное количество провайдеров, применяющих блокировки только по IP-адресам, без DPI.
[Профиль]  [ЛС] 
 
Ответить
Loading...
Error