web-dev-qa-db-fra.com

Grand pare-feu de Chine et connexion SSL simple

J'ai une application qui utilise une connexion SSL pour interagir avec les serveurs placés en Europe/États-Unis. L'application utilise un protocole personnalisé construit sur TCP/IP. L'application utilise des certificats auto-signés pour vérifier le serveur pendant la poignée de main SSL (l'application cliente a le certificat racine au serveur de chèques, aucune tierce partie n'est nécessaire pour vérifier les certificats).

Le GFC bloque-t-il de telles connexions ou non?

UPD

  • Serveurs placés en Europe/USA
  • Clients placés en Chine
  • Protocole binaire personnalisé Builée sur TCP-IP qui crypté avec TLS1.2. Pas https ou aucun autre protocole connu.
  • Certificat auto-signé utilisé pour authentifier les serveurs. C'est à dire. Les clients ont un certificat root (plusieurs KB) qui utilisaient le certificat du serveur. Si le chèque est passé - la connexion TLS1.2 établie.
  • les ports de serveur utilisés sont compris entre: 10000-20000. C'est à dire. Des ports non connus comme 443, etc. (la réponse change-t-elle si les ports de la plage 1-1000 seront utilisés?)
  • Je n'ai aucune région cible en Chine. En règle générale, l'application devrait pouvoir se connecter au serveur de n'importe quelle région de Chine
tlsfirewalls
6
Victor Mezrin

Je ne suis pas sûr que vous puissiez avoir de vraies assurances ici parce que la question n'est pas que le pare-feu. Le vrai problème est que vous traitez avec un environnement fortement contrôlé à toutes les couches et que le pare-feu n'est qu'un seul composant. Il est fort probable que le pare-feu peut simplement bloquer les connexions qu'il ne peut pas inspecter ni préoccuper, mais il est probablement encore plus probable qu'ils pouvaient insister sur les clients télécharger et installer un certificat gouvernemental qu'ils pouvaient utiliser dans un scénario de MITM "Comodo Style". .

Je suppose que cela dépendra de si vos connexions sont réellement remarquées et considérées comme une préoccupation réelle. Lorsque vous envisagez de la taille de la population et de la quantité de données/connexions que le gouvernement aurait besoin de surveiller, il est probable que, à moins que quelque chose apporte ce que vous faites de l'attention des bonnes personnes, votre système serait raisonnablement sécurisé. Toutefois, si et lorsque vos connexions sont remarquées et qu'il y a un désir de regarder de plus près, tous les paris sont désactivés.

Dans un environnement où une autorité contrôle sur toutes les couches du réseau et peut probablement insister sur les clients d'installer ou d'effectuer certaines mesures avant qu'ils ne soient même autorisés à accéder au réseau, je pense que vous avez peu d'espoir d'être capable de pouvoir sécuriser la connexion. Si le gouvernement veut le voir, ils pourront trouver un moyen.

La vraie question sera réduite à quel est le niveau attendu d'intérêt. Même le gouvernement chinois a des ressources limitées. À une certaine mesure, une décision doit être prise sur ce qui aura le plus de résultats pour les ressources qu'ils ont. Si vous parliez de certains services qui allaient être utilisés par un grand secteur de la population et qu'il a été estimé que l'utilisation serait préjudiciable au pouvoir dirigé et que le pouvoir contrôle toutes les infrastructures, vous pouvez être assez certain qu'ils seront trouver un moyen d'accéder aux données. D'autre part, si cela est quelque chose utilisé uniquement par un petit nombre de personnes ou si l'utilisation est considérée comme une faible menace, elle ne ferait probablement rien.

Tout dépendra vraiment d'une analyse des risques/avantages des deux côtés. Le vrai problème est qu'un côté contrôle toute l'infrastructure latérale du client. S'ils veulent dans, ils trouveront un moyen.

3
Tim X