BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Funcionamiento del bloqueo ISP por orden judicial

BocaDePez
BocaDePez

Con el bloqueo realizado a las páginas web relacionadas con el referéndum catalán me ha surgido una duda: ¿cómo funciona técnicamente? Cojamos el caso del dominio ref1oct.eu para Movistar, que redirige a una página de bloqueo de la Guardia Civil y está hecho a nivel de ISP (con otros proveedores se puede acceder): no es un bloqueo de DNS, ya que una consulta a los servidores DNS de Movistar devuelve las direcciones IP de CloudFlare (104.20.55.157 y 104.20.44.157), y tampoco es a nivel de dirección IP, porque el acceso directo a las IP de CloudFlare no está bloqueado. Sin embargo, no solamente falla la conexión mediante HTTP, también lo hace bajo protocolo cifrado.

¿Cómo detectan el tráfico? ¿Están haciendo algún man in the middle? Seguro que esto está ya explicado por algún sitio de cuando ha habido los bloqueos a las páginas de descargas, pero no he sido capaz de encontrarlo.

sierpinski

En el caso de Movistar parece que hacen un man in the middle para comprobar la cabecera "Host" de las peticiones HTTP que van a esas IPs y mostrar otro mensaje. Por eso falla por https: no tienen certificado para esa web así que cortan la conexión en seco.

🗨️ 15
BocaDePez
BocaDePez

En el caso de Firefox, más que cortar la conexión, con https el navegador dice que ha bloqueado una redirección. ¿Significa esto que están interceptando una conexión cifrada?

🗨️ 14
sierpinski

A mí me dice "The connection to the server was reset while the page was loading.", lo cual quiere decir que han leído el SNI (que como han dicho más abajo es texto en claro) y han reiniciado la conexión.

Aunque quisieran no podrían interceptar la conexión tal cual porque no tienen el certificado.

🗨️ 13
rbetancor

Por poder ... podrían perfectamente, solo necesitan un certificado * como usan los antivirus.

🗨️ 8
sierpinski
🗨️ 7
rbetancor
🗨️ 6
pepejil
🗨️ 1
rbetancor
sierpinski
🗨️ 3
rbetancor
🗨️ 2
sierpinski
🗨️ 1
rbetancor
BocaDePez
BocaDePez

Cierto, dice que la conexión fue reiniciada. Al decir eso de memoria confundí "reiniciada" con "redirigida". Por otro lado, me parece curioso que SNI viaje sin cifrar, pero ese es otro tema y tendrá sus razones técnicas.

Es muy interesante también el enlace que ha compartido yud445. ¡Muchas gracias por las respuestas!

🗨️ 3
sierpinski
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Vodafone es así (link roto) ,luego Orange he seguido unas cuantas rutas y se ve que hace algo similar a movistar.

🗨️ 1
sierpinski

Ahora mismo desde la red de ONO parece que el DNS se niega a resolver los dominios, pero si cambias el DNS en tu ordenador, las páginas cargan correctamente. No sé si Vodafone y ONO usan sistemas distintos o lo han cambiado de manera general.

BocaDePez
BocaDePez
-2
pepejil

Pues no entiendo como ha logrado Movistar interceptar una conexión HTTPS. Que yo sepa, una conexión HTTPS cifra hasta las cabeceras. El ISP solo sabe origen y destino en base a IP. De hecho, Castor de Vodafone que ya se ha mencionado por aquí, es incapaz de funcionar si el tráfico es HTTPS.

Dicho todo esto, desde Jazztel, ref1oct.eu funciona perfectamente (al menos en HTTPS y con DNS de Opennic, no las suyas).

🗨️ 5
yud445

Movistar en HTTPS espera a observar la cabecera SNI, que va en claro, y tan pronto ve "ref1oct" envía un RST.

Vodafone simplemente bloquea por DNS, no se matan mucho.

🗨️ 4
BocaDePez
BocaDePez

Jazztel es por DNS también.

BocaDePez
BocaDePez

Vodafone usa Castor, no bloquea por DNS.

🗨️ 2
pepejil
1

Como ya dije antes, Castor no funciona en https.

🗨️ 1
rbetancor
BocaDePez
BocaDePez

En la red MásMóvil basta con cambiar el DNS.

Spyd

Ya se que esto es un poco offtopic, pero si queréis acceder a cualquier página bloqueada de esta forma, lo más fácil es usar el Tor Browser.

🗨️ 1
rachmaninov

Otra opción es utilizar Opera y activar el vpn que trae incorporado.

pepejil

Pues si. Desde red Movistar, accediendo a la web por HTTPS y con otras DNS, salta un connection reset by peer y por el status que muestra Firefox, intervienen en el handshake TLS tal y como dijo yud445 (Sabia que era el SNI pero no sabia que también iba en claro hasta en HTTPS).

Lo curioso es que Castor de Vodafone no llegue a estos niveles de filtrado.