BandaAncha.eu

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

Cómo eSNI y DoH se saltan el bloqueo de webs de las operadoras

Josh
Fortinet bloqueando una web en Movistar

Mientras las operadoras han encontrado en el SNI el talón de Aquiles que les permite bloquear incluso webs HTTPS, los usuarios miran con esperanza la llegada del SNI cifrado y DNS-over-HTTPS como solución que dejará fuera de juego el bloqueo de webs. En este artículo te explicamos en qué consisten y probamos su efectividad frente al sistema de bloqueo FortiGate utilizado por Movistar.

¿Por qué bloquean webs las operadoras?

Son muchas las razones y cada vez más frecuentes los casos por los que las operadoras de internet bloquean a sus abonados el acceso a una web. Puede ser la medida ordenada por un juez, por la Sección Segunda de la Comisión de Propiedad Intelectual del Ministerio de Cultura cuando se están difundiendo contenidos sin los derechos, o por que la División Audiovisual de Telefónica considera que la web es un clon de las que aparecen en un listado de webs IPTV prohibidas.

Aunque el sistema más utilizado hasta la fecha era el bloqueo DNS, haciendo que los DNS resuelvan erróneamente cuando se solicita el dominio bloqueado, algo fácilmente superable tan solo con cambiar los DNS, actualmente la mayoría de operadoras recurre a la inspección de paquetes en busca del SNI. Una vez detectan el acceso a una web prohibida, devuelven un certificado falso e informan del error. Por ejemplo Orange muestra el siguiente texto:

Contenido bloqueado por requerimiento de la Autoridad Competente, comunicado a esta Operadora

¿Qué es DoH, DNS-over-HTTPS?

El primer punto débil aprovechado por los sistemas de bloqueo se encuentra en el proceso para traducir el nombre del dominio en su IP. Normalmente el sistema operativo se encarga de enviar esa petición a los servidores DNS que tengamos configurados, que pueden ser los de nuestra operadora. Incluso si no lo son, pueden ser usurpados o su tráfico inspeccionado.

DNS-over-HTTPS (DoH) hace que el navegador no use los DNS que tenemos configurados, sino que resolverá los dominios mediante peticiones HTTPS a un servidor propio. Así la operadora no tiene forma de diferenciar el tráfico de resolución de nombres de la navegación web normal.

Prácticamente todos los navegadores soportan DoH, aunque ninguno lo trae activado por defecto en España.

¿Qué es eSNI, Encrypted Server Name Indication?

Encrypted SNI

El segundo punto débil es el SNI. Cuando el navegador quiere conectar con una web HTTPS, lo primero que hace es enviar al servidor el nombre de dominio de la web a la que quiere acceder dentro del campo SNI. El servidor responde con el certificado SSL para que el navegador verifique que la web es quien dice ser. SNI es necesario puesto que un mismo servidor e IP puede alojar cientos de webs y no tiene otra forma de saber a cuál de ellas queremos acceder.

A partir de ese momento la comunicación entre el navegador del usuario y el servidor de la web se realizará de manera segura y ni el hotel que nos da el wifi, ni un hacker intentando robar credenciales, un gobierno censurando contenidos o una operadora bloqueando accesos podrá inmiscuirse en la comunicación.

El problema es que justo antes de iniciarse la comunicación segura, cuando se está enviando mediante SNI el nombre del host de la web a la que queremos acceder, aun no se ha protegido la comunicación y por tanto este nombre se envía en texto plano, fácilmente accesible para cualquier nodo intermedio desde nuestro router hasta el destino, incluyendo a los equipos de inspección de paquetes de nuestro operador.

Aunque en principio no se consideraba un gran problema que el nombre de la web sea visible, con el tiempo el SNI se ha convertido el punto más vulnerable de la comunicación a la hora de evitar la censura. Para darle solución empezó a definirse eSNI, o SNI cifrado, con el que el nombre del host ya no se envía en texto plano sino cifrado, por lo que no hay forma de que un tercero conozca su contenido.

ESNI suena prometedor, el problema es que es un estándar en desarrollo. Solo hay un navegador que se ha atrevido a implementar uno de sus borradores: Firefox.

DoH y eSNI en acción

Para probar la efectividad de eSNI accedemos a una de las webs IPTV prohibidas, pirlotvonline.net. Si accedemos desde Chrome el sistema FortiGate de Movistar entra en funcionamiento y nos presenta un mensaje ERROR 404 - File not found, impidiendonos el acceso. Si activamos eSNI y DoH en Firefox, el primer navegador que ya lo soporta, vemos como el bloqueo se queda ciego y no puede actuar.

pirlotvonline.net
pirlotvonline.net tras activar DoH y eSNI en Firefox desde Movistar / O2

Pero no todo son buenas noticias. eSNI requiere que tanto navegador como servidor lo soporten, así que aunque nuestro ejemplo funciona, ya que se encuentra alojado en los servidores de Cloudflare con eSNI activo por defecto, la amplia mayoría de webs aún no lo soportan y habrá que esperar a que se popularice para dejar inútil cualquier esfuerzo de filtrar contenidos.

rbetancor
1

Se empeñan en poner puertas al campo … y el campo les sigue demostrando una y otra vez que "mira como se me pone tieso el dedo corazón"

Ganas de complicarse la vida … habiendo cosas muchísimo más importantes que tener controladas.

🗨️ 10
BocaDePez
BocaDePez

EL ESNI igual que se usa para pirateo se utiliza tambien para otras cosas muchísimo más importantes.

Los chinos ya han hecho un upgrade en su GFW y ya bloquea el trafico ESNI tanto entrante como saliente. Si el trafico ESNI solo lo acaban utilizando unas paginas muy determinadas, no le costaría mucho a un juez pedir que se bloquee ese tipo de conexiones.

🗨️ 6
rbetancor
1

No iba por ahí mi comentario.

En un país como China, sí, pueden establecer un GFW y filtrar todo lo que no "les guste", en un país como España, no pueden instaurar un GFW (¡ya les gustaría!), así que intentan usar otro tipo de medios más peregrinos para bloquear, haciendo gastarse pastizales a los operadores (a ver si te crees que los pedazo de FortiGates que ha tenido que montar Movistar para cumplir con la normativa valen 2 duros), que quedan obsoletos en dos telediarios.

Si Movistar empieza a bloquear sitios que usen eSNI, solo quedan dos opciones … o "razonan" porque los usuarios se cambian de operador o el gobierno legisla y prohíbe el eSNI. Como tenemos unos zoquetes absolutos por gobernantes … a saber por donde quieren tirar para seguir complaciendo a los amos del dinero.

🗨️ 5
BocaDePez
BocaDePez

La UE prohibira el eSNI cuando vea que el unico uso es el de proteger el pirateo. O de como una buena idea se ve arruinada por un mal uso

🗨️ 4
rbetancor

La UE no ha prohibido la ingenería inversa y está claro el objetivo para el que se la usa en el 90% de las ocasiones, y ¿va ha prohibir el eSNI porque se puede usar para que no bloqueen sitios pirata? … ¡buena suerte!

🗨️ 3
el-brujo
🗨️ 2
rbetancor
1
🗨️ 1
Aeri
KirO

Puertas al campo es también lo que está haciendo Movistar con su IPTV, que está codificando los canales de forma que no se pueden ver sin su decodificador.

Con el satélite pues lo entiendo, pero con IPTV la señal sólo llega a casa si pagas por ella… Al final nos ponen la valla en el camino a los que pagamos legalmente por el servicio mientras que los que piratean tienen barra libre a una fracción del coste.

🗨️ 2
rbetancor

Lo del NAGRA3 en el IPTV tiene 2 motivaciones:

1-Le obligan los Mayors

2-Me parece una forma perfecta de evitar que los piratas le roben la señal.

Hasta ahora, un pirata IPTV, podía contratar una FTTH+TV y sacarle a MV hacia un server de redistribución 5-10 streams de canales, sin ninguna dificultad. Ahora … no pueden. Y total, la plataforma de TV la tienen diseñada para ser usada con sus decos. Lo que toca un poco los pinrreles, es que te cobren extra mensual por cada deco que quieras tener, porque el servicio no es precisamente barato, como para que anden rateando con eso.

🗨️ 1
KirO

Ni idea de donde sacan la señal los piratas porque por mucho NAGRA3 que pongan, siguen teniendo los canales codificados y en muy buena calidad (calidad que muchas veces no está disponible en el satélite).

Y si sacas 5-10 streams entiendo que Movistar se da cuenta enseguida. A la gente que saca algún canal para su segunda residencia la suelen pillar…si sacas 5-10 entiendo que te cortan la tele al día siguiente.

Otra cosa es sacar un par e ir variandolos… Pero incluso así diría que el pirata tiene que poner otra fibra de otro proveedor para hacer el upstream sin que Movistar sospeche.

Que por cierto, la app de Movistar de Android TV me huele que usa los streams multicast y no le han puesto la clave del NAGRA, porque le faltan bastantes canales. La app de Samsung va por OTT.

Yo prefiero usar app a usar el decodificador pero es que son un cuadro. Hay veces que dan ganas de pagar una lista y olvidarse de Movistar, que para que me empeoren el servicio tachandome de delincuente, pues me hago delincuente y dejo de tener esos problemas y me ahorro un buen dinero.

BocaDePez
BocaDePez

Tambien se puede usar warp de cloudflare que tambien impide los bloqueos al hacer una VPN con la resolucion DNS

🗨️ 1
BocaDePez
BocaDePez

Cloudfare está en el punto de mira como ya lo estaba las operadoras hace tiempo y ya ves los resultados actuales. Yo no me fiaria mucho de usar algo de un CDN que puede verse obligado a bloquear cierto trafico

BocaDePez
BocaDePez
-1
🗨️ 2
el-brujo

Son cosas diferentes. Gente que no sabe, ni quiere cambiar las DNS de la operador y ¿les pides que se instalen el navegador Tor? Pensará que es para navegar por la "dark web" y no les aporta ningún beneficio. No están por la labor en temas de privacidad… Mejor que DoH y ESNI vengan por defecto activados en el navegador (especialmente Google Chrome que es el navegador más usado, y de largo)

🗨️ 1
BocaDePez
BocaDePez

Tor browser también es para poder ver pág bloquedas no solo para hacer a lo que dices

Schezard

A mi lo que me jode es más el corte regional de algunos sitios, que con una VPN se logra, pero me fastidia un tanto, ver el monopolio de la F1 en Movistar y que resulte que le obliguen a revender el fútbol por "monopolio", cuando la propia F1 tiene servicio de TV mejor, más barato y con información extra adicional.

Y entiendo que eso seguirá así…

BocaDePez
BocaDePez

Hola.

¿Ha habido algún cambio reciente por algún sitio, no sé donde, en esto del ESNI y DOH en Firefox?Tengo la versión 85, x64 con fibra O2.

Cuando hago el test de cloudflare que antes me salía todo en verde y ok, me sale ahora que:

Your browser did not encrypt the SNI when visiting this page.

Si hago la prueba a pirlotvonline.net ERROR 404 - File not found

¿Podría ser algún fallo de la página del test? Gracias.

🗨️ 4
BocaDePez
BocaDePez

Hola acabo de comprobar en otro PC que el problema ha llegado al actualizar a Firefox 85. Ya no funciona la encriptación SNI y no se puede acceder a las páginas.

¿Es un fallo de Firefox v85 solo?

BocaDePez
BocaDePez

El problema ha sido registrado por más usuarios de Firefox v85

"ESNI is superseded by ECH. We can do nothing about that until the server is updated to support ECH".

bugzilla.mozilla.org/show_bug.cgi?id=1689249

Josh

Por favor, abrid tema en el foro ya que esta noticia es de hace un tiempo y así le dais visibilidad al caso.