Ya se ha hablado mucho del 'Great Firewall' chino, desde su descripción hasta fallos en el sistema, pasando por algunos detalles técnicos.
Sin embargo es un tema que sigue presente, y cada cierto tiempo sale la noticia de que han bloqueado otro servicio más.
Quería ponerme en la piel de los afectados por el firewall, y la forma más asequible de hacerme una idea era ponerme detrás de un proxy chino al que le afecten las restricciones. Vamos a ver qué nos encontramos.
El primer paso es encontrar un proxy chino para navegar a través de él, una tarea fácil.
Una vez preparados y habiendo probado que todo funciona bien, nuestra ardua tarea será intentar conectarnos a Wikileaks, uno de los puntos calientes del firewall (en cuanto a censura se refiere). A partir de ahora deberíamos ser como cualquier ciudadano de China, por lo menos a nivel de conexión (sin "plugins" en nuestro sistema). Puede que la experiencia no sea exactamente la misma, pero podemos hacernos una idea bastante aproximada. Es importante entender que todo lo que hagamos a partir de ahora será pasando por China, sujetos a las restricciones que están impuestas por el firewall chino.
Como esperábamos, en un principio no podemos entrar a Wikileaks, el navegador nos da a entender que el sitio no está disponible (conexión reseteada). Vamos a ver que está pasando por debajo:
El navegador envía la petición al proxy para visualizar Wikileaks, pero el proxy resetea la conexión constantemente. Después de esto se aplica un baneo de unos minutos, en el que todas las peticiones serán reseteadas de igual forma. Parece que el bloqueo se basa en esto, resetear la conexión por el lado del cliente y bloquear las próximas peticiones durante unos minutos (¿a modo de castigo?).
A partir de aquí, mediante diferentes métodos vamos a intentar conectarnos a nuestro objetivo que, no lo olvidemos, es Wikileaks. Vamos a empezar con las soluciones más potentes para después llegar a "trucos" muy simples.
1.- Lo primero que vamos a intentar es llegar a Wikileaks a través de un proxy web al que nos conectaremos mediante HTTPS para que el tráfico no sea legible.
Parece que nuestra primera prueba ha funcionado, ¡hemos conseguido saltarnos la restricción por primera vez!
2.- Vamos a hacer una segunda prueba usando el mismo método pero esta vez sin HTTPS y en otro proxy web diferente, a ver si el firewall detecta ahora el "engaño".
Volvemos a pasar sin problemas.
Según parece, en cuanto al uso de proxies web lo importante es que el host donde está alojado no esté en la lista negra. Es conviene usar HTTPS para que en un análisis de tráfico manual, o mediante la búsqueda de "palabras prohibidas" no nos detecten.
3.- Vamos a probar otra cosa. Wikileaks nos ofrece muchos Cover Domains, nombres alternativos para poder entrar en caso de que nos bloqueen el acceso al sitio original. Vamos a intentar entrar a través de alguno de estos nombres alternativos. Después de probar un par ...
Si intentamos entrar desde el dominio sunshinepress.org se nos permite el acceso, sin ningún tipo de restricción.
4.- Lo último que vamos a probar es algo muy sencillo. Vamos a visitar Wikileaks a través de su dirección IP, de forma que no tengamos que resolver su nombre DNS. Las IPs son 88.80.17.21 y 88.80.17.18, vamos a ver que sucede.
Como podemos ver, no nos resetean la conexión en China (nos responen ACK a la petición), y podemos visitar Wikileaks sin problemas.
Métodos tan sencillos como estos permiten sobrepasar las medidas que pretende implantar El Gran Cortafuegos Chino, sin contar con otros más complejos y efectivos como son el uso de Tor, SSH, VPNs ...
Resumen del artículo:----
- Nos conectamos a un proxy chino para que nos afecten las restricciones del firewall. Desde aquí hasta el final siempre estará el proxy chino por debajo.
- Hacemos una peticion web a pelo a http://wikileaks.org/ -> Denegada (RST).
- A través de proxy web con HTTPS -> Ok.
- A través de proxy web sin HTTPS, es decir, con HTTP -> Ok.
- Conectamos a través de un Cover Domain de Wikileaks -> Ok.
- Conectamos directamente a las IPs de Wikileaks, sin DNS -> Ok.
Publicado por Alberto Ortega en http://www.securitybydefault.com/2010/09/las-debilidades-de-el-gran-cortafuegos.html
Marcadores