Funcionamiento del bloqueo ISP por orden judicial

BocaDePez 20 septiembre 2017 23:03 ✎

⋮

Con el bloqueo realizado a las páginas web relacionadas con el referéndum catalán me ha surgido una duda: ¿cómo funciona técnicamente? Cojamos el caso del dominio ref1oct.eu para Movistar, que redirige a una página de bloqueo de la Guardia Civil y está hecho a nivel de ISP (con otros proveedores se puede acceder): no es un bloqueo de DNS, ya que una consulta a los servidores DNS de Movistar devuelve las direcciones IP de CloudFlare (104.20.55.157 y 104.20.44.157), y tampoco es a nivel de dirección IP, porque el acceso directo a las IP de CloudFlare no está bloqueado. Sin embargo, no solamente falla la conexión mediante HTTP, también lo hace bajo protocolo cifrado.

¿Cómo detectan el tráfico? ¿Están haciendo algún man in the middle? Seguro que esto está ya explicado por algún sitio de cuando ha habido los bloqueos a las páginas de descargas, pero no he sido capaz de encontrarlo.

sierpinski 20 septiembre 2017 23:12

⋮

En el caso de Movistar parece que hacen un man in the middle para comprobar la cabecera "Host" de las peticiones HTTP que van a esas IPs y mostrar otro mensaje. Por eso falla por https: no tienen certificado para esa web así que cortan la conexión en seco.

✖

BocaDePez 20 septiembre 2017 23:41

⋮

En el caso de Firefox, más que cortar la conexión, con https el navegador dice que ha bloqueado una redirección. ¿Significa esto que están interceptando una conexión cifrada?

✖

sierpinski 21 septiembre 2017 08:10

⋮

A mí me dice "The connection to the server was reset while the page was loading.", lo cual quiere decir que han leído el SNI (que como han dicho más abajo es texto en claro) y han reiniciado la conexión.

Aunque quisieran no podrían interceptar la conexión tal cual porque no tienen el certificado.

✖

rbetancor 21 septiembre 2017 10:03

⋮

Por poder ... podrían perfectamente, solo necesitan un certificado * como usan los antivirus.

✖

sierpinski 21 septiembre 2017 14:10

⋮

✖

rbetancor 21 septiembre 2017 14:18

⋮

✖

pepejil 21 septiembre 2017 17:25

⋮

✖

rbetancor 21 septiembre 2017 17:55

⋮

sierpinski 21 septiembre 2017 17:38

⋮

✖

rbetancor 21 septiembre 2017 17:54

⋮

✖

sierpinski 21 septiembre 2017 18:06

⋮

✖

rbetancor 21 septiembre 2017 18:13

⋮

BocaDePez 23 septiembre 2017 13:28

⋮

Cierto, dice que la conexión fue reiniciada. Al decir eso de memoria confundí "reiniciada" con "redirigida". Por otro lado, me parece curioso que SNI viaje sin cifrar, pero ese es otro tema y tendrá sus razones técnicas.

Es muy interesante también el enlace que ha compartido yud445. ¡Muchas gracias por las respuestas!

✖

sierpinski 23 septiembre 2017 13:34

⋮

✖

BocaDePez 23 septiembre 2017 15:48

⋮

✖

BocaDePez 1 octubre 2017 00:28

⋮

BocaDePez 20 septiembre 2017 23:20

⋮

Vodafone es así (link roto) ,luego Orange he seguido unas cuantas rutas y se ve que hace algo similar a movistar.

✖

sierpinski 20 septiembre 2017 23:34

⋮

Ahora mismo desde la red de ONO parece que el DNS se niega a resolver los dominios, pero si cambias el DNS en tu ordenador, las páginas cargan correctamente. No sé si Vodafone y ONO usan sistemas distintos o lo han cambiado de manera general.

BocaDePez 20 septiembre 2017 23:56

-2

⋮

pepejil 21 septiembre 2017 00:33

⋮

Pues no entiendo como ha logrado Movistar interceptar una conexión HTTPS. Que yo sepa, una conexión HTTPS cifra hasta las cabeceras. El ISP solo sabe origen y destino en base a IP. De hecho, Castor de Vodafone que ya se ha mencionado por aquí, es incapaz de funcionar si el tráfico es HTTPS.

Dicho todo esto, desde Jazztel, ref1oct.eu funciona perfectamente (al menos en HTTPS y con DNS de Opennic, no las suyas).

✖

yud445 21 septiembre 2017 01:41

⋮

Movistar en HTTPS espera a observar la cabecera SNI, que va en claro, y tan pronto ve "ref1oct" envía un RST.

Vodafone simplemente bloquea por DNS, no se matan mucho.

✖

BocaDePez 21 septiembre 2017 02:00

⋮

Jazztel es por DNS también.

BocaDePez 21 septiembre 2017 04:54

⋮

Vodafone usa Castor, no bloquea por DNS.

✖

pepejil 21 septiembre 2017 06:32

⋮

Como ya dije antes, Castor no funciona en https.

✖

rbetancor 21 septiembre 2017 10:04

⋮

BocaDePez 21 septiembre 2017 00:53

⋮

En la red MásMóvil basta con cambiar el DNS.

yud445 21 septiembre 2017 01:42

⋮

Alguien lo ha investigado por aquí y siguientes.

Spyd 21 septiembre 2017 10:27

⋮

Ya se que esto es un poco offtopic, pero si queréis acceder a cualquier página bloqueada de esta forma, lo más fácil es usar el Tor Browser.

✖

rachmaninov 21 septiembre 2017 12:27

⋮

Otra opción es utilizar Opera y activar el vpn que trae incorporado.

pepejil 21 septiembre 2017 17:22

⋮

Pues si. Desde red Movistar, accediendo a la web por HTTPS y con otras DNS, salta un connection reset by peer y por el status que muestra Firefox, intervienen en el handshake TLS tal y como dijo yud445 (Sabia que era el SNI pero no sabia que también iba en claro hasta en HTTPS).

Lo curioso es que Castor de Vodafone no llegue a estos niveles de filtrado.