roadmax
Goto Top

VPN aus Dubai nicht benutzbar

Guten Morgen,

ein Kollege ist derzeit beruflich in Dubai und möchte per VPN (OpenVPN oder Watchguard IKEv2) auf Netzwerke in Deutschland zugreifen. Das ist aber aktuell unmöglich, da sobald der Tunnel aktiv ist, die Geschwindigkeit radikal reduziert ist. Nachdem ich etwas recherchiert habe, liegt es wohl daran, das UAE das Internet überwachen möchte und somit das VPN in Form der Geschwindigkeitsreduktion regelmentiert . Hat jemand Erfahrung damit?
Der einzige Tunnel der einigermaßen funktioniert, ist der von ExpressVPN, allerdings kann ich da keinen zweiten Tunnel mehr durch schicken.

Gruß,
Roadmax

Content-ID: 4372492786

Url: https://administrator.de/contentid/4372492786

Printed on: October 11, 2024 at 15:10 o'clock

DerWoWusste
DerWoWusste Oct 23, 2022 at 07:48:41 (UTC)
Goto Top
Hi.

Hatten vor vielen Jahren in Dubai das Selbe. Vermutung war auch die selbe, auch wenn unserem Anbieter (Sina VPN) nichts darüber bekannt war.
tech-flare
tech-flare Oct 23, 2022 at 07:50:17 (UTC)
Goto Top
Hallo auf welchen Port habt ihr denn OpenVPN laufen? 443 oder 1194?

Ggf wäre TCP 443 eine Option. Vielleicht funktioniert es damit besser.
MysticFoxDE
MysticFoxDE Oct 23, 2022 at 07:59:04 (UTC)
Goto Top
Moin Roadmax,

ein Kollege ist derzeit beruflich in Dubai und möchte per VPN (OpenVPN oder Watchguard IKEv2) auf Netzwerke in Deutschland zugreifen. Das ist aber aktuell unmöglich, da sobald der Tunnel aktiv ist, die Geschwindigkeit radikal reduziert ist.
Nachdem ich etwas recherchiert habe, liegt es wohl daran, das UAE das Internet überwachen möchte und somit das VPN in Form der Geschwindigkeitsreduktion regelmentiert . Hat jemand Erfahrung damit?

ja, das Problem ist mit durchaus auch schon begegnet und nicht nur in Dubai. ๐Ÿคข๐Ÿคฎ


Der einzige Tunnel der einigermaßen funktioniert, ist der von ExpressVPN, allerdings kann ich da keinen zweiten Tunnel mehr durch schicken.

Nix, Tunnel durch Tunnel, das funktioniert meistens nur noch beschissener.

Der einzige Trick den ich bisher gefunden habe ist es den VPN Server über Port 443 laufen zu lassen, um sich damit quasi hinter allen anderen HTTPS Aufrufen zu "verstecken".
Denn selbst die Great Wall kann nicht alle HTTPS Aufrufe und schon gar nicht in Echtzeit durchschnüffeln. ๐Ÿคช๐Ÿ˜Ž

Gruss Alex
MysticFoxDE
MysticFoxDE Oct 23, 2022 updated at 08:00:36 (UTC)
Goto Top
Moin tech-flare,

Ggf wäre TCP 443 eine Option. Vielleicht funktioniert es damit besser.

๐Ÿ‘๐Ÿ‘๐Ÿ‘

Gruss Alex
cykes
cykes Oct 23, 2022 at 08:27:02 (UTC)
Goto Top
Moin,

siehe z.B. https://www.heise.de/newsticker/meldung/Vereinigte-Arabische-Emirate-Ges ...

Man kann sich sicherlich vortrefflich darüber streiten, aber sollte auch immer im Auge behalten, wer die lokalen Gesetze im Zweifelsfall auslegt.

Gruß

cykes
Roadmax
Roadmax Oct 23, 2022 at 09:01:24 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Der einzige Trick den ich bisher gefunden habe ist es den VPN Server über Port 443 laufen zu lassen, um sich damit quasi hinter allen anderen HTTPS Aufrufen zu "verstecken".
Denn selbst die Great Wall kann nicht alle HTTPS Aufrufe und schon gar nicht in Echtzeit durchschnüffeln. ๐Ÿคช๐Ÿ˜Ž


Wir haben sowohl 443/8443 auf TCP und UDP versucht. UDP war auf Grund des Protokolls etwes performanter aber auch instabler. Erschwerend kommt bei ihm hinzu, dass er ein Hotel WLAN benutzt. Ich hatte überlegt ihm ein konfigurieten Roaming WLAN Hotspot zu schicken, ob das etwas bringt?
Lochkartenstanzer
Lochkartenstanzer Oct 23, 2022 updated at 09:22:46 (UTC)
Goto Top
Moin,

Bedenke: Die haben dort manchmal drastische Strafen, wenn jemand deren Gesetze bricht. Und körperliche Züchtigung wie z.B. Cat9-Anwendung dort durchaus üblich.

Ansonsten ist es heutzutage leider in vielen Ländern so, daß VPN ungern gesehen sind.

lks

PS: schon probiert, ob ssh-Tunnel gehen?
cykes
cykes Oct 23, 2022 at 10:04:14 (UTC)
Goto Top
Steht im Übrigen auch auf der Informationsseite zu Dubai/VAE des Auswärtigen Amtes:
Die Nutzung von VPN (Virtual Private Network) Software steht unter Strafe, wenn die Software im Zusammenhang mit anderen Rechtsverstößen zum Einsatz kam (z.B. Nutzung illegaler Webseiten oder Download urheberrechtlich geschützter Inhalte).
4091525239
4091525239 Oct 23, 2022 updated at 10:23:15 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Moin tech-flare,

Ggf wäre TCP 443 eine Option. Vielleicht funktioniert es damit besser.

๐Ÿ‘๐Ÿ‘๐Ÿ‘

Gruss Alex
Die sind inzwischen auch nicht mehr ganz so Blöd, VPN Traffic kann mittlerweile auch auf diesen Ports von anderem Traffic unterschieden und so reglementiert werden.
transocean
transocean Oct 23, 2022 at 10:41:52 (UTC)
Goto Top
Moin,

Die VAE zählen zu den sichersten Ländern des Mittleren Ostens mit einer äußerst niedrigen Kriminalitätsrate.

Und Scheich Haschbar al Benzino wird alles dafür tun, dass das auch so bleibt.
Ich war während meiner aktiven Fahrenszeit oft genug da unten am Golf um zu wissen, dass man sich besser an deren Regeln hält.

Gruß

Uwe
MysticFoxDE
MysticFoxDE Oct 23, 2022 at 11:27:18 (UTC)
Goto Top
Moin Roadmax,

Erschwerend kommt bei ihm hinzu, dass er ein Hotel WLAN benutzt.

das ist wahrscheinlich eher das Problem. Die WLAN Zugänge in den Hotels sind dort oft Bandbreitentechnisch sehr eingeschränkt und auch nicht besonders stabil. ๐Ÿ™ƒ

Ich hatte überlegt ihm ein konfigurieten Roaming WLAN Hotspot zu schicken, ob das etwas bringt?

damit kenne ich mich wiederum nicht wirklich aus ... könnte jedoch klappen ... aber bitte die Kosten genau prüfen.

Gruss Alex
MysticFoxDE
MysticFoxDE Oct 23, 2022 at 11:52:05 (UTC)
Goto Top
Main Paddel,

Die sind inzwischen auch nicht mehr ganz so Blöd, VPN Traffic kann mittlerweile auch auf diesen Ports von anderem Traffic unterschieden und so reglementiert werden.

aber nicht auf Port 443, zumindest war das als ich das letzte Mal vor ein paar Jahren drüben war, noch nicht der Fall.
Und auch heute kann ich mir das nicht vorstellen, da du alleine schon wegen der abartigen Datenmenge die über diesen Port fliest, für deren Überwachung/Echtzeitentschlüsselung auch abartig viel und vor allem extremst leistungsfähige Hardware benötigst, die meines Wissens stand Heute zum Glück noch nicht existiert.

Die meisten Provider in Deutschland können übrigens in ihren Transitroutern nicht mehr wie 1000 ACL-Einträge setzen, weil ansonsten deren Performance wegen unzureichendem CAM-Speicher in die Knie geht. ๐Ÿ™ƒ

Gruss Alex
aqui
aqui Oct 23, 2022 at 12:07:29 (UTC)
Goto Top
Wenn du statt des Default Ports UDP 1194 einen Port aus der Gruppe der Ephemeral Ports verwendest wird die VPN Bremse vermutlich weniger stark zuschlagen weil diese nicht überwacht werden. Oder eben 443 als Alternative. Sagt einem ja auch schon der gesunde Menschenverstand.
Wenn die Scheichs es allerdings richtig machen und nicht nur Standard Ports drosseln sondern eine Content Based Firewall betreiben wird dir das dann auch nix nützen. Dann hilft nur Elon Musk und sein Starlink.
4091525239
4091525239 Oct 23, 2022 updated at 12:37:24 (UTC)
Goto Top
Brauchst du nur mal nach Chinetzien fahren da sieht man das auch das geht ...
NETLeon
NETLeon Oct 23, 2022 at 16:08:06 (UTC)
Goto Top
Wäre eine RDP Verbindung vielleicht eine Option?
Lochkartenstanzer
Lochkartenstanzer Oct 23, 2022 updated at 16:17:14 (UTC)
Goto Top
Zitat von @NETLeon:

Wäre eine RDP Verbindung vielleicht eine Option?

Du scherzest?


Du mußt aufpassen, wenn Du solche Scherze machst. Da könnten manche Admins hier einen Herzkasper bekommen. face-smile


lks
NETLeon
NETLeon Oct 23, 2022 at 17:24:39 (UTC)
Goto Top
Ja das stimmt, sonst vielleicht denn VPN Port ändern, wie oben bereits geschrieben wurde.

WatchGuard hat meine ich auch eine WebVPN, womit man sich übers web per VPN verbindet
tech-flare
tech-flare Oct 23, 2022 at 20:36:15 (UTC)
Goto Top
Alternativ wäre zb VMware Horizon mit 2FA.

Funktioniert über einen Client oder über Web und wird bisher bei unseren MA in verschiedenen Ländern nicht blockiert.
HansDampf06
HansDampf06 Oct 23, 2022 at 20:55:42 (UTC)
Goto Top
Vom Standard abweichende Ports zu benutzen, hat nicht nur im Ausland eine Bedeutung. Mir ist es einmal in einer in Regensburg per AirBNB für kurze Zeit gebuchten Unterkunft passiert, dass der dortige WLAN-Anschluss die für IPSEC erforderlichen Ports nicht freigegeben hatte.

Und dann hat das Abweichen noch einen weiteren Aspekt. Ein Scannen des VPN-Gateway auf Standardports wird dem Schnüffler keine Erkenntnisse über die für VPN geöffnete Ports bringen. Auch hier hatte ich zeitlich vor dem AirBNB-Erlebnis interessante Log-Einträge über erfolgloses Probieren. Er benötigt nunmehr schon einen vollständigen Portscan ...

Was ich damit sagen will:
1. Bei SSH und FTP gehört es durchaus zu den Standardmaßnahmen, für die Ports abweichende Einstellungen zu nehmen. Warum nicht auch bei anderen Protokollen generell genauso verfahren?!
2. Das Abweichen von Standardports erhöht in einem gewissen Umfang zugleich die Sicherheit. Jedoch bin ich nicht so naiv zu glauben, dass staatliche oder ähnlich ressourcenstarke Akteure nicht in der Lage sein würden, meine auf einen abweichenden Port ausgerichtete Kommunikation zu erkennen und sich darauf einzustellen (freilich abhängig davon, wie aussagekräftig die Header-Inhalte sind, um hinreichend Auskunft geben zu können). Hierbei gehe ich für den Stand des Jahres 2022 und die Zukunft davon aus, dass die von @aqui benannte Art von Content-Firewall längst hohe und höchste Verkehrszahlen locker schafft. Ähnliches dürfte für den Anschluss-Provider gelten. Indes ist nicht jeder potenzielle Angreifer derart ressourcenstark oder sitzt gar an den notwendigen Kontrollpunkten. Insoweit ist es ein effektiver, aber gleichwohl begrenzter Sicherheitsgewinn.
3. Dem Ausweichen auf den Standardport eines anderen Protokolls stehe ich eher skeptisch gegenüber, weil das im Zweifel diejenigen Ports sind, die von potenziellen Angreifern jedweder Art als erstes in den Fokus genommen werden. Immerhin wird die Einrichtung von abweichenden Ports eine gewisse Beständigkeit haben. Zudem erscheint es mir fraglich, dass dann noch auf diesen Ports die üblicherweise etablierten Dienste betrieben werden könnten; werden ohnehin unterschiedliche IP-Adressen für die einzelnen Dienste benutzt, wäre das natürlich kein Problem. Andererseits liegt es auf der Hand, dass bei umfangreichen Portsperren oder dann, wenn nur ganz wenige Ports (wie 80 und 443) überhaupt zugelassen sind, ein Ausweichen darauf die einzige Möglichkeit sein kann (oder eben Starlink & Co. mit allen Vor- und Nachteilen).

All das betrifft freilich nur den technischen Teil. Der juristische Teil ist eine ganz andere Liga. Wie hier bereits zutreffend angemerkt wurde, richtet sich die Beantwortung relevanter Rechtsfragen immer nach der lex fori (also dem Recht des jeweiligen Ortes). Und dass im arabischen Raum nach deren Rechtsverständnis und -tradition unsere "westlich-freiheitlichen Worthülsen-Mantras" nicht wirklich geteilt werden und sie dort auch nicht viel Federlesen machen, ist eine Binsenweisheit. Das ist auch legitim, denn wir haben ja ebenfalls das grundsätzliche Verständnis, dass sich ein Fremder bei uns nach unseren Regeln richtet ...

Viele Grüße
HansDampf06
HansDampf06
HansDampf06 Oct 23, 2022 at 21:06:50 (UTC)
Goto Top
Der einzige Tunnel der einigermaßen funktioniert, ist der von ExpressVPN, allerdings kann ich da keinen zweiten Tunnel mehr durch schicken.

Warum keinen zweiten Tunnel?
Mit dem Notebook allein wohl eher nicht. Aber mit einem Reise-Router wäre das durchaus sehr gut denkbar. Der Reise-Router wird so konfiguriert, dass er das erste / äußere VPN (z.B. ExpressVPN) aufbaut. Der Traffic des Notebooks wird vom Reise-Router über dieses erste / äußere VPN geschickt. Dabei kann der Traffic des Notebooks selbst wieder eine VPN-Verbindung sein.

Ist der Reise-Router (z.B. der GL-M1300 (Beryl)) so gestrickt, dass er sowohl per LAN als auch per WLAN vom Notebook angesprochen werden kann, besteht sogar im betreffenden "Arbeits-"Zimmer eine hohe Flexibilität der Aufstellungsorte für den Reise-Router und das Notebook.

Auf die gleiche Art und Weise können dann andere Geräte wie Smartphone, Tablet etc. agieren.

Vorteil: Nach außen ist sogar zunächst nur der Reise-Router sichtbar. Überdies lässt sich ein solcher Reise-Router wohl noch ganz anders als Firewall administrieren als ein Notebook etc.

Viele Grüße
HansDampf06
MysticFoxDE
MysticFoxDE Oct 24, 2022 at 06:44:53 (UTC)
Goto Top
Moin HansDampf06,

Hierbei gehe ich für den Stand des Jahres 2022 und die Zukunft davon aus, dass die von @aqui benannte Art von Content-Firewall längst hohe und höchste Verkehrszahlen locker schafft.

https://www.de-cix.net/en/locations/frankfurt/statistics

und jetzt such mal bitte eine "Content-Firewall", die 13,65 Tbit/s in Echtzeit zu durchschnüffeln schafft. ๐Ÿ˜‰

Gruss Alex
aqui
aqui Oct 24, 2022 at 08:20:54 (UTC)
Goto Top
Die chinesische Content Firewall schüttelt sich noch nicht einmal bei so wenig Traffic....!!
Lochkartenstanzer
Lochkartenstanzer Oct 24, 2022 at 08:52:12 (UTC)
Goto Top
Zitat von @MysticFoxDE:

und jetzt such mal bitte eine "Content-Firewall", die 13,65 Tbit/s in Echtzeit zu durchschnüffeln schafft. ๐Ÿ˜‰


Die gibt es nicht frei zu kaufen. Die habben nur die Dreibuchstabenorganisationen, die genug Geld in den Ring werfen können. Und dei Chinesen.

Abgesehen davon, die westlichen Dreibuchstabenorganisation müssen den Content eigentlich gar nicht filtern. Die greaifen an den Endpunkten ab, im Gegensatz zu chinesen und Arabern, die "an der Grenze" filtern.

lks
MysticFoxDE
MysticFoxDE Oct 24, 2022 at 09:15:39 (UTC)
Goto Top
Moin Aqui,

Die chinesische Content Firewall schüttelt sich noch nicht einmal bei so wenig Traffic....!!

selbst die würde dabei gewaltig in die Knie gehen.
Ausserdem blockt die Greate Wall nicht wirklich den Conten selbst, sondern lediglich die DNS Auflösung zu diesem,
was in den meisten Fällen jedoch auf dasselbe Ergebnis hinausläuft.

Gruss Alex
MysticFoxDE
MysticFoxDE Oct 24, 2022 at 09:18:27 (UTC)
Goto Top
Moin lsk,

Die gibt es nicht frei zu kaufen. Die habben nur die Dreibuchstabenorganisationen, die genug Geld in den Ring werfen können. Und dei Chinesen.

Das eine ist CSI Miami & Co und etwas anderes ist das was technisch wirklich möglich ist.

Gruss Alex
aqui
aqui Oct 24, 2022 at 12:24:54 (UTC)
Goto Top
selbst die würde dabei gewaltig in die Knie gehen.
Zeigt leider deutlich deine Unkenntniss in diesem Bereich. Sticwort CSI...aber egal.
C.R.S.
C.R.S. Oct 24, 2022 at 14:34:57 (UTC)
Goto Top
Hallo,

versuch es mal mit WireGuard. OpenVPN wird auf allen Ports erkannt, hinsichtlich WireGuard hinkt die Infrastruktur noch hinterher (dürfte aber 2023 kommen).

Grüße
Richard
HansDampf06
HansDampf06 Oct 24, 2022 at 15:01:32 (UTC)
Goto Top
Zitat von @MysticFoxDE:
und jetzt such mal bitte eine "Content-Firewall", die 13,65 Tbit/s in Echtzeit zu durchschnüffeln schafft. ๐Ÿ˜‰

Zitat von @aqui:
Die chinesische Content Firewall schüttelt sich noch nicht einmal bei so wenig Traffic....!!

Ich verfüge nicht über die notwendigen Fakten / Tatsachen, um beurteilen zu können, was für eine Content-Firewall durch eine staatliche oder Dreibuchstabeninstitution betrieben werden kann. Führe ich mir aber vor Augen, was Snowden 2013 in Bezug auf das weltweite Abhörprogramm der NSA offenbarte, und ziehe dann in Betracht, dass sich die Welt mittlerweile neun Jahre weiter gedreht hat, so erscheint es mir nicht mehr als Sience-Fiction, dass die von einem ressourcenstarken Akteur betriebene Content-Firewall heute (oder in unmittelbar nächster Zukunft) den relevanten Traffic in jeder Verkehrslage detailliert filtern kann. Da ist für mich eher derjenige in der Darlegungslast, der diese Leistungsfähigkeit in Abrede stellt.

Zitat von @Lochkartenstanzer:
Abgesehen davon, die westlichen Dreibuchstabenorganisation müssen den Content eigentlich gar nicht filtern. Die greaifen an den Endpunkten ab, im Gegensatz zu chinesen und Arabern, die "an der Grenze" filtern.

Und wenn ich das noch hinzunehmen (was ich übrigens zuvor übergreifenden unter anderem mit der Wortwahl "Kontrollpunkten" meinte), dann bin ich frei jeglicher Illusion, es könnte anders sein. Alles andere wäre naives Wunschdenken.

Viele Grüße
HansDampf06
aqui
aqui Oct 24, 2022 at 15:29:07 (UTC)
Goto Top
Es ist ja auch nicht nur eine einzige Firewall. Der Fakt wird auch meistens übersehen...
MysticFoxDE
MysticFoxDE Oct 24, 2022 at 17:33:13 (UTC)
Goto Top
Moin aqui,

selbst die würde dabei gewaltig in die Knie gehen.
Zeigt leider deutlich deine Unkenntniss in diesem Bereich. Sticwort CSI...aber egal.

ich glaube du hast das mit den weichen Pfoten und den Krallen für mehr Gripp schon wieder vergessen. ๐Ÿ™ƒ

Es ist ja auch nicht nur eine einzige Firewall. Der Fakt wird auch meistens übersehen...

๐Ÿ˜ฎ... echt ... ich dachte eine Mauer wäre immer nur aus einem Stein gebaut.

Gruss Alex
MysticFoxDE
MysticFoxDE Oct 25, 2022 at 05:41:56 (UTC)
Goto Top
Moin HansDampf06,

Ich verfüge nicht über die notwendigen Fakten / Tatsachen, um beurteilen zu können, was für eine Content-Firewall durch eine staatliche oder Dreibuchstabeninstitution betrieben werden kann. Führe ich mir aber vor Augen, was Snowden 2013 in Bezug auf das weltweite Abhörprogramm der NSA offenbarte

und an welcher Stelle seiner Offenbarungen hat Snowden zugegeben, dass wer auch immer in der Lage gewesen wäre, sämtlichen Datenverkehr eines CIX auf Inhaltsebene und in Echtzeit überwachen zu können?

Einen Teil dieses Datenverkehrs aufzuzeichnen und nachträglich versuchen zu entschlüsseln ist das eine, den gesamten Datenverkehr, vor allem den verschlüsselten in Echtzeit auf der Inhaltsebene zu prüfen ist jedoch etwas vollkommen anderes!

Und weist du auch warum die drei Buchstaben, übrigens auch die bei uns, den geheimen und verschlüsselten Datenverkehr so einfach knacken konnten?

Wenn nicht, kleiner Tipp ... "Crypro AG". ๐Ÿ˜‰๐Ÿ˜Ž

und ziehe dann in Betracht, dass sich die Welt mittlerweile neun Jahre weiter gedreht hat, so erscheint es mir nicht mehr als Sience-Fiction, dass die von einem ressourcenstarken Akteur betriebene Content-Firewall heute (oder in unmittelbar nächster Zukunft) den relevanten Traffic in jeder Verkehrslage detailliert filtern kann.

Natürlich hat sich die Technik in den letzten Jahren weiterentwickelt, aber nicht nur die Technik hat sich weiterentwickelt sondern auch die Datenmenge die durch die CIX wandern und das nicht linear sondern eher exponentiell.

Da ist für mich eher derjenige in der Darlegungslast, der diese Leistungsfähigkeit in Abrede stellt.

Beschäftig dich einfach mal damit, was es an Ressourcen kostet das zu tun wovon du sprichst, dann kommst du auch alleine auf die richtige Antwort. ๐Ÿ˜‰
Frag mal bei einem CIX nach, was alleine das durchrouten von 10 Tbit/s an Strom kosten.
Eine Content-Basiertes Filterung kostet übrigens einen mehrfachen Faktor davon und benötigt zudem auch um Welten leistungsfähigere Hardware.
Dabei kratzen die CIX schon heute nicht selten, und wie gesagt alleine nur beim Durchrouten, sehr oft an ihren Leistungsgrenzen.

Merkst du übrigens sehr einfach daran, wenn die Latenzen über den grossen Teich oder auch in das Reich der Mitte mal wieder in den Keller gehen.

Zitat von @Lochkartenstanzer:
Abgesehen davon, die westlichen Dreibuchstabenorganisation müssen den Content eigentlich gar nicht filtern. Die greaifen an den Endpunkten ab, im Gegensatz zu chinesen und Arabern, die "an der Grenze" filtern.

Und wenn ich das noch hinzunehmen (was ich übrigens zuvor übergreifenden unter anderem mit der Wortwahl "Kontrollpunkten" meinte), dann bin ich frei jeglicher Illusion, es könnte anders sein. Alles andere wäre naives Wunschdenken.

Ich möchte vorsichtig daran erinnern, dass wir hier noch nach wie vor über einen VPN Tunnel und nicht über eine Webseite sprechen. ๐Ÿ˜‰

Beste Grüsse aus BaWü
Alex
tom1stein
tom1stein Oct 26, 2022 at 13:13:06 (UTC)
Goto Top
Zitat von @MysticFoxDE:
und jetzt such mal bitte eine "Content-Firewall", die 13,65 Tbit/s in Echtzeit zu durchschnüffeln schafft. ๐Ÿ˜‰

Die Tatsache, dass 13,65 Tbit/s durchkommen, zeigt doch, dass die Firewall das schafft!

Mal im ernst, was sind das für Argumente? Wenn UAE filtern wollen, dann filtern sie. Und wenn die zu langsam filtern, dann wird das Internet halt langsam. Aber niemand zwingt sie, eine Überholspur an der Firewall vorbei anzubieten und den Filter durchlässiger zu schalten.

Tom
MysticFoxDE
MysticFoxDE Oct 26, 2022 updated at 13:44:30 (UTC)
Goto Top
Moin Tom,

Die Tatsache, dass 13,65 Tbit/s durchkommen, zeigt doch, dass die Firewall das schafft!

ähm, die 13,65 Tbit/s ist die durchschnittliche Transitratte des CIX in Frankfurt und wir habe im Ländle nicht nur diesen.
Und die CIX in China müssen nicht nur den Datenverkehr von ~90 Mio. Benutzer wuppen, sondern von +- einer Milliarde.

Mal im ernst, was sind das für Argumente? Wenn UAE filtern wollen, dann filtern sie. Und wenn die zu langsam filtern, dann wird das Internet halt langsam.

Ganz einfach, egal wie sehr man sich etwas wünschen mag, wenn es technisch nicht möglich ist, dann ist es technisch eben nicht möglich.

Denk doch bitte mal selbst darüber nach, wie man eine verschlüsselte Verbindung, stand heute belauschen kann.
Das eine ist Man-in-the-Middle, dieser Lauschangriff ist jedoch sehr einfach zu enttarnen.
Der andere Weg ist, den Datenverkehr beim Transit unverändert zu durchleuchten, dafür benötigt man aber auch immer den passenden Schlüssel. ๐Ÿ˜‰

Gruss Alex
C.R.S.
C.R.S. Oct 26, 2022 at 14:48:48 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Denk doch bitte mal selbst darüber nach, wie man eine verschlüsselte Verbindung, stand heute belauschen kann.
Das eine ist Man-in-the-Middle, dieser Lauschangriff ist jedoch sehr einfach zu enttarnen.
Der andere Weg ist, den Datenverkehr beim Transit unverändert zu durchleuchten, dafür benötigt man aber auch immer den passenden Schlüssel.

Die verschlüsselte Verbindung wird nicht in Klartext gewandelt, sondern passiv als z.B. VPN-Protokoll klassifiziert und dann gedrosselt oder geblockt. Der Übergang ist fließend, weil die Klassifizierung von Protokollen vom Abschluss des Verbindungsaufbaus oder hinreichendem Datenverkehr abhängen kann.
MysticFoxDE
MysticFoxDE Oct 26, 2022 at 17:53:26 (UTC)
Goto Top
Moin @c.r.c.,

Die verschlüsselte Verbindung wird nicht in Klartext gewandelt, sondern passiv als z.B. VPN-Protokoll klassifiziert und dann gedrosselt oder geblockt. Der Übergang ist fließend, weil die Klassifizierung von Protokollen vom Abschluss des Verbindungsaufbaus oder hinreichendem Datenverkehr abhängen kann.

dass die Greate Wall ein Stückweit auf Protokollebene, wie auch immer regeln oder drosseln kann, möchte ich ihr ja gar nicht absprechen, aber selbst das ist schon um einiges aufwändiger als ein einfacher Datentransit.

Mir rollen sich jedoch die Zehennägel hoch, wenn ich lesen muss, das die angeblich auch auf Content-Ebene und vor allem auch den verschlüsselten Datenverkehr, jederzeit beschnüffeln könnte.
Das ist technisch gesehen einfach nur Blödsinn, weil die Greate Wall dafür alle bisherigen Verschlüsselungsverfahren in Echtzeit knacken können müsste.

Beste Grüsse aus BaWü

Alex
HansDampf06
HansDampf06 Oct 26, 2022 at 20:00:18 (UTC)
Goto Top
@MysticFoxDE

Ich glaube, Du verstehst die anderen Kommentatoren falsch oder es wird aneinander vorbei diskutiert.

Einerseits: Du hast natürlich Recht, dass das Lesen des verschlüsselten Inhalts einer VPN-Verbindung erfordern würde, diesen in Echtzeit zu entschlüsseln. Das dürfte entweder nur mit den passenden Schlüsseln oder einem irgendwie geartetem Backdoor / Abkürzung funktionieren. Die Alternative wäre ein Man-in-the-middle-Angriff.

Dass eine Content-Firewall eine Echtzeitentschlüsselung in jedweder Konstellation durchführen würde / könnte, hat kein einziger der anderen Kommentatoren behauptet. Darum geht es bei dem vorliegenden Thread auch gar nicht.

Andererseits: Vertreten die anderen / bejahenden Kommentatoren die Auffassung, dass eine heutige Content-Firewall in der Lage ist, den UNVERSCHLÜSSELTEN Datenverkehr in Echtzeit zu filtern, in jedem Fall aber die Header-Daten auszuwerten, um anhand dessen die Geschwindigkeit für bestimmte Protokolle / Ports drosseln zu können. Damit kann zwar weiterhin nicht in den VPN-Tunnel hineingesehen werden. Aber das könnte den ein oder anderen dazu zwingen, auf VPN zu verzichten und unverschlüsselte Verbindungen zu nutzen. Dann kann natürlich der Dateninhalt vollständig mitgelesen werden.

Da im (unternehmerischen) Einwahlumfeld ein Verbindungsaufbau ohne VPN wohl eher illusorisch ist, wird eine solche Drosselung praktisch zur Unbenutzbarkeit der VPN-Verbindung führen. Ein solches praktisches Ergebnis genügt ja vielleicht schon dem Betreiber der drosselnden Content-Firewall.

Und genau darum geht es in diesem Thread: Die Drosselung des VPN-Verkehrs (über Standardports). Die anderen Kommentatoren sind der Auffassung, dass eine heutige Content-Firewall, die von einem ressourcenstarken Akteur betrieben wird, durchaus den unverschlüsselten Dateninhalt und in jedem Fall die Header filtern kann. Sollte eine Content-Firewall das in "voller" Echtzeit nicht leisten können, steht - was bereits zutreffend angemerkt wurde - ohne weiteres die Möglichkeit offen, die Verkehrsgeschwindigkeit angemessen zu senken; Internetverbindungen sind dann eben zähflüssiger.

Im Gegensatz dazu bestreitest Du ja die Leistungsfähigkeit einer derartigen Content-Firewall grundsätzlich. Aber eine sachliche Begründung, die Deine These überzeugend stützen könnte, fehlt dennoch bisher. Unabhängig davon, ob für Dich eine Pediküre dringend empfehlenswert sein könnte, liegt daher in der Sache der Ball immer noch in Deinem Feld.

Viele Grüße
HansDampf06
MysticFoxDE
MysticFoxDE Oct 27, 2022 at 05:55:01 (UTC)
Goto Top
Moin HansDampf06,

Ich glaube, Du verstehst die anderen Kommentatoren falsch oder es wird aneinander vorbei diskutiert.

das möchte ich nicht abstreiten, in solchen Dingen sind wir ITler auch sehr gut. ๐Ÿคช

Dass eine Content-Firewall eine Echtzeitentschlüsselung in jedweder Konstellation durchführen würde / könnte, hat kein einziger der anderen Kommentatoren behauptet. Darum geht es bei dem vorliegenden Thread auch gar nicht.

Und genau an dieser Stelle bitte ich etwas feiner zu trennen, den das was C.R.S. zuletzt und auch du jetzt ansprichst ist eher "Protokol-Based-Filtering" und nicht "Content-Based-Filtering", das sind für mich zwei sehr unterschiedliche paar Schuhe.

Andererseits: Vertreten die anderen / bejahenden Kommentatoren die Auffassung, dass eine heutige Content-Firewall in der Lage ist, den UNVERSCHLÜSSELTEN Datenverkehr in Echtzeit zu filtern, in jedem Fall aber die Header-Daten auszuwerten, um anhand dessen die Geschwindigkeit für bestimmte Protokolle / Ports drosseln zu können.

Ja, theoretisch ist das oben genannte möglich, dem möchte ich gar nicht wiedersprechen.
Aber auf dem Level eines CIX das umzusetzen, ist eine ganz andere Hausnummer.

Aber eine sachliche Begründung, die Deine These überzeugend stützen könnte, fehlt dennoch bisher. Unabhängig davon, ob für Dich eine Pediküre dringend empfehlenswert sein könnte, liegt daher in der Sache der Ball immer noch in Deinem Feld.

Ich habe schon meine Gründe warum ich das so behaupte und ich kann dir diese in einem persönlichen Gespräch auch gerne nennen. Danach kannst du selbst entscheiden, ob das so gut ist, diese Infos der breiten Masse und vor allem den Gaunern darunter, zur Verfügung zu stellen.

Ist übrigens nichts wirklich geheimes, mit etwas fleiss bekommt es der eine oder andere bestimmt auch von seinem ISP rausgequetscht. Ist so gesehen eher etwas extrem trauriges. ๐Ÿ˜”

Und bevor jetzt jemand den Verdacht äussert, ich wäre ein Anhänger der "Great Wall" ...
In einer bestimmten Richtung bin ich das auch und zwar für das was diese von Aussen nach Innen leistet.
Das was die jedoch von Innen nach Aussen treibt, finde ich die wiederum zum grössten Teil einfach nur erbärmlich!

Gruss Alex
tom1stein
tom1stein Oct 27, 2022 at 06:11:21 (UTC)
Goto Top
Zitat von @MysticFoxDE:
Andererseits: Vertreten die anderen / bejahenden Kommentatoren die Auffassung, dass eine heutige
Content-Firewall in der Lage ist, den UNVERSCHLÜSSELTEN Datenverkehr in Echtzeit zu filtern, in jedem Fall aber
die Header-Daten auszuwerten, um anhand dessen die Geschwindigkeit für bestimmte Protokolle / Ports
drosseln zu können.

Ja, theoretisch ist das oben genannte möglich, dem möchte ich gar nicht wiedersprechen.
Aber auf dem Level eines CIX das umzusetzen, ist eine ganz andere Hausnummer.

Ja. Aber es ist keine unmögliche Hausnummer. Im Falle von China bin ich mir sehr sicher, dass die Hausnummer existiert: Die Große Mauer filtert alles ohne Ausnahme.

Und nebenbei: Jeder in China soll die Zertifikate des guten Staates installieren - so wie das hierzulande bei den Zertifikaten der Firmen-IT auf Firmenrechnern auch üblich ist. Damit ist ein man-in-the-middle trivial, weil die Verbindung einfach geöffnet und neu verschlüsselt wird, ohne dass sich ein Gerät beschwert.

In einer bestimmten Richtung bin ich das auch und zwar für das was diese von Aussen nach Innen leistet.
Das was die jedoch von Innen nach Aussen treibt, finde ich die wiederum zum grössten Teil einfach nur erbärmlich!

Das ist aber das gleiche. Ob eine Information gesendet oder empfangen wird, ändert nicht die Information. Die Welt will z.B. wissen, was mit den Uiguren passiert, und die Uiguren wollen wissen, was in der Welt passiert.

Tom
MysticFoxDE
MysticFoxDE Oct 28, 2022 at 04:42:30 (UTC)
Goto Top
Moin Tom,

Ja. Aber es ist keine unmögliche Hausnummer. Im Falle von China bin ich mir sehr sicher, dass die Hausnummer existiert: Die Große Mauer filtert alles ohne Ausnahme.

nein, eben nicht. Auf Protokollebene kann die durchaus etwas dazwischen pfuschen aber nicht auf Content Ebene und schon gar nicht bei verschlüsselten Verbindungen.

Und nebenbei: Jeder in China soll die Zertifikate des guten Staates installieren - so wie das hierzulande bei den Zertifikaten der Firmen-IT auf Firmenrechnern auch üblich ist. Damit ist ein man-in-the-middle trivial, weil die Verbindung einfach geöffnet und neu verschlüsselt wird, ohne dass sich ein Gerät beschwert.

Das würde einem Chinesen mit rein chinesischer Hardware dann vielleicht nicht auffallen, dafür jedoch sofort jedem IT-Security-affinen Touristen. ๐Ÿ˜‰
Ich bin da selbst schon paar Mal durchgeflitzt und habe den „man-in-the-middle“ dabei jedoch nicht angetroffen.

In einer bestimmten Richtung bin ich das auch und zwar für das was diese von Aussen nach Innen leistet.
Das was die jedoch von Innen nach Aussen treibt, finde ich die wiederum zum grössten Teil einfach nur erbärmlich!

Das ist aber das gleiche. Ob eine Information gesendet oder empfangen wird, ändert nicht die Information. Die Welt will z.B. wissen, was mit den Uiguren passiert, und die Uiguren wollen wissen, was in der Welt passiert.

Du hast mich an diesem Punkt absolut missverstanden. Das wovon du sprichst, ist genau das, was ich an der Great Wall absolut nicht abhaben kann, und zwar die Restrektionen dem Volk gegenüber.

Worum ich die Chinesen jedoch absolut beneide, ist die zentrale Schutzwirkung der „Great Wall“ im Bezug auf Cyber-Angriffe. Denn die meisten davon, die gegen China versucht werden, kommen nicht mal ansatzweise durch, sondern fahren im wahrsten Sinne des Wortes, direkt gegen die Mauer.
Oder hast du schon mal etwas von einem grösseren IT-Security-Vorfall in China gehört.

Gruss Alex
tom1stein
tom1stein Oct 28, 2022 at 05:42:16 (UTC)
Goto Top
Ich bezweifle, dass wir hierzulande von einem größeren IT-Security-Vorfall in China hören würden. Davor schützt die Große Mauer (nicht vor dem Angriff, sondern vor dem davon hören). Und was groß angelegte Cyberangriffe angeht - die kommen (angeblich) vor allem aus Russland und China. Also vor den einen schützt die Mauer nicht, und die anderen werden sich wohl hüten, den letzten Verbündeten anzugreifen...
MysticFoxDE
MysticFoxDE Oct 28, 2022 at 06:13:23 (UTC)
Goto Top
Moin Tom,

Ich bezweifle, dass wir hierzulande von einem größeren IT-Security-Vorfall in China hören würden. Davor schützt die Große Mauer (nicht vor dem Angriff, sondern vor dem davon hören). Und was groß angelegte Cyberangriffe angeht - die kommen (angeblich) vor allem aus Russland und China. Also vor den einen schützt die Mauer nicht, und die anderen werden sich wohl hüten, den letzten Verbündeten anzugreifen...

Kleiner Tipp, besuche China doch mal und überzeuge dich selbst, was von dem was du der Great Wall zutraust wirklich zutrifft und was nicht. Die werden dich schon nicht auffressen ... zumindest solange du dich anständig benimmst. ๐Ÿคช

Ich hatte was China und auch andere asiatischen Länder angeht, vor der ersten Landung auch einen Haufen "Vorurteile" im Gepäck. Die meisten davon, haben jedoch nicht mal den ersten Tag dort überlebt. ๐Ÿ˜‰

Gruss Alex
tom1stein
tom1stein Oct 29, 2022 at 12:49:12 (UTC)
Goto Top
Was an einem privaten Besuch von China würde beweisen oder widerlegen, dass eine militärische Einheit systematisch Hackerangriffe begeht?
Was an einem privaten Besuch von China würde beweisen oder widerlegen, dass die große Firewall gut filtern kann und ihre Filter schnell an die politischen Wünsche anpassen kann? Wie könnte ich so eine politische Notwendigkeit (oder besser mehrere, um mehrere Indizien zu sammeln) verursachen, um einen Zusammenhang nachzuweisen?
Und welcher Zusammenhang besteht zwischen sicherlich liebenswerten Chinesen, der chinesischen Staatsführung, "den Tag dort überleben" und Uiguren?
MysticFoxDE
MysticFoxDE Oct 30, 2022 updated at 04:33:50 (UTC)
Goto Top
Moin Tom,

Was an einem privaten Besuch von China würde beweisen oder widerlegen,

wie kommst du auf die Idee, dass ich dort privat unterwegs war?

dass eine militärische Einheit systematisch Hackerangriffe begeht?

Und was hat das jetzt mit der Great Wall zu tun?

dass die große Firewall gut filtern kann

die kann zwar +- gut blocken, aber eben nicht alles.
Und halbwegs gut verschlüsselte Inhalte kann die zwar eventuell auch blocken, aber keineswegs hineinsehen.

und ihre Filter schnell an die politischen Wünsche anpassen kann?

Stur Sperren ist nicht gleich intelligent Filtern. ๐Ÿ˜‰

Und welcher Zusammenhang besteht zwischen sicherlich liebenswerten Chinesen, der chinesischen Staatsführung, "den Tag dort überleben" und Uiguren?

Na ganz einfach, das Problem ist das in der Mitte und nicht das davor oder danach.
Sprich, die Regierung ist hier das Problem und nicht das Volk!

Gruss Alex

P.S. Hier ein paar Infos wie die Great Wall funktioniert.

https://www.dotcom-monitor.com/blog/de/2020/06/18/die-grosse-firewall-vo ...
https://www.dotcom-monitor.com/blog/de/2020/06/26/how-the-great-firewall ...
HansDampf06
HansDampf06 Oct 30, 2022 at 14:04:18 (UTC)
Goto Top
Also ich habe mir soeben die beiden von @MysticFoxDE verlinkten Artikel durchgelesen und sie bestätigen in technischer Hinsicht das, was ich als Herangehensweise für eine solche Kontrollinstanz erwarte und mir vorstelle. Einige Highlights mit meinen Anmerkungen:

Die Große Firewall Chinas, oder wie sie offiziell golden Shield Project genannt wird, ist ein Internet-Zensurprojekt, das Menschen daran hindert, auf bestimmte ausländische Websites zuzugreifen. Es ist das fortschrittlichste und umfangreichste Internet-Zensurprogramm der Welt. Dieses Projekt implementiert mehrere Techniken und Taktiken, um Chinas Internet zu zensieren und steuert die Internet-Gateways, um den Internetverkehr zwischen innerhalb und außerhalb Chinas zu analysieren, zu filtern und zu manipulieren.

Die Gründe für diese Internetzensur sind vielfältig, aber die meisten von ihnen sind dafür, die Internetpolitik der Kommunistischen Partei für politischen Gewinn zu bevorzugen. Auf diese Weise ist China auch in der Lage, Menschen zu zwingen, chinesische Alternativen für Websites zu nutzen. Zum Beispiel WeChat und Weibo, was es der Regierung weiter ermöglicht, die Inhalte zu kontrollieren, die auf solchen Plattformen veröffentlicht werden.

Nun, um ein tieferes Verständnis zu haben, blockiert die Zensur durch die Große Firewall Chinas nicht nur einzelne ausländische Websites und Dienstanbieter, sondern scannt u.a. URLs und Webseiten ausgiebig nach Keywords auf der schwarzen Liste, unter anderem mit netten technischen Tricks, um den Internetverkehr in China zu kontrollieren.

Es ist eine komplexe Architektur mit mehreren Ebenen von kontrollierten Tricks, um den Zugriff auf Websites zu blockieren. Es ist so konzipiert, dass Sie nicht einmal bemerken, ob die Website blockiert wurde. Wenn Sie beispielsweise auf einer blockierten Website landen, werden keine Warnungen oder Informationen dazu angezeigt. Stattdessen werden Sie für immer laden und andere Nachrichten wie Timeout, Verbindungsfehler, Netzwerkproblem, etc. Dies macht es sehr schwer zu wissen, was passiert ist, und Sie können nur erraten, was das eigentliche Problem ist.

Jedes Jahr versucht das Ministerium für Industrie und Informationstechnologie, die Filter- und Blockierungstechniken der Großen Firewall zu verbessern und ihren Algorithmus zu verbessern. ... Die Zensur und Überwachung des Internets hat sich von Antiviren- und Firewall-Software zu Hardware-Sicherheitspatches für alle Geräte entwickelt, die das Internet nutzen. Zu den wichtigsten Filter- und Blockierungstechnologien von Great Firewall gehören das IP-Blockieren des nationalen Eingangsgateways, die Schlüsselwortfilterung und -blockierung am Backbone-Router, die HTTP/S-Zertifikatfilterung, die Erkennung und das Verbot von Phishing und die Entführung von Domänennamen.

Panta rei! Es wie bei einem lebenden Organismus: Nichts ist statisch und alles verändert sich - permanent.

Betriebssystemupdates und Sicherheitspatches
... um Betriebssysteme wie Windows, Android und IOS basierend auf den Internetsicherheitsrichtlinien der Großen Firewall anzupassen. Geräte, die außerhalb Chinas gekauft werden, benötigen zu einem bestimmten Zeitpunkt Sicherheitsupdates ... Diese Updates deaktivieren ... Man kann nur Apps mit der Downloader-Software des Herstellers herunterladen, bei der VPN-Installationsprogramme und andere gesperrte Apps nicht für die Installation verfügbar sind.
Hierdurch sitzen Sie genau an denjenigen Kontrollpunkten, die ich unter anderem meinte. Unerwünschte Zugriffe und Datenverbindungen werden von vornherein unterbunden. Somit entsteht schon gar kein Verkehr mehr, der gescannt werden müsste.

IP-Blockierung
IP-Adressen aus anderen Ländern werden sofort am Backbone-Router gefiltert. Alle ausländischen Websites, die außerhalb Chinas gehostet werden, werden einer Überprüfung und Analyse für Blacklisting und Whitelisting unterzogen. Eine Website, die zum ersten Mal in China aufgerufen wird, wird aufgrund dieses Prozesses eine langsame Ladezeit haben. Chinas Firewall funktioniert in beide Richtungen: ... Diese Einrichtung ermöglicht es der Regierung, den Informationsfluss zu kontrollieren. Die Gesetze in China sind die Grundlage der Filtrationsrichtlinien der großen Firewall.
Sie agieren offenkundig pragmatisch. Beim erstmaligen Scan einer bestimmten Datenverbindung ist der Zugriff verlangsamt. Sollten die Filterregeln diese Datenverbindung in eine Blacklist einordnen, braucht der dahin orientierte Verkehr künftig gar nicht mehr gescannt werden, weil dieser Verkehr auf IP-Basis von vornherein blockiert wird.

Keyword-Filterung und -Blockierung
Suchmaschinen müssen speziell mit Suchergebnissen entwickelt werden, die den bestehenden chinesischen Gesetzen zur Internetsicherheit und Bandbreitensteuerung entsprechen. Illegale, pornografische, Glücksspiel- und andere Websites auf der schwarzen Liste dürfen nicht in den Suchergebnissen angezeigt werden, während einige nicht autorisierte Websites in den Suchergebnissen erscheinen können, aber eine Zeitauszeit haben, wenn auf den Link geklickt wird, da sie nicht zur Whitelist gehören. Die Technologie der Firewall für künstliche Intelligenz (KI) analysiert Website-Schlüsselwörter und Meta-Tags und führt dann auf whitelists oder schwarze Listen die URL oder IP-Adresse aus.
1.: Genau dasselbe beabsichtigt die EU mit ihrer Gesetzgebung der letzten zwanzig Jahre. Als Rechtfertigung werden dann immer die Geldwäscher, die Steuerhinterzieher, die Kinderpornographie etc. behauptet, um dann im Rundumschlag ausnahmslos jedermann einer Generalkontrolle zu unterziehen. Natürlich dient das der Verteidigung von Freiheit und Demokratie - auch am Hindukusch!
2.: Sie sind dort abermals clever bei ihrer Herangehensweise, indem sie unter anderem auf Meta-Tags abstellen. Denn, wenn ein Meta-Tag auf einer Blacklist steht, wird es überflüssig sein, den Rest zu scannen, weil es sowieso geblockt wird. Mithin sinnvollerweise vom gröbsten zum feinsten Filter - ich würde es aus sachlichen und logischen Gründen nie anders machen. Folglich bleibt die Große Firewall stets performant, ohne sich im Detail verzetteln zu müssen.

HTTP/S-Zertifikatfilterung
Die neueste Technologie schaltet das Internet automatisch ab, wenn auf die URLs auf der schwarzen Liste zugegriffen wird. ... Abgesehen von der Top-Level-Filterung am National Internet Gateway verfügt jede Provinz in China über eigene Filtergeräte, die HTTP/S-URL und Zertifikate untersuchen können. Das macht die Zensur des Inlandsverkehrs schneller.
Abermals: Sinnvolle Lastverteilung und außerdem auch die optimierte Kontrolle des inländischen Verkehrs. Frei nach dem Motto: "Viele Hände schaffen ein schnelles Ende!"

DNS-Hijacking und Phishing
Nur akkreditierte Unternehmen sind berechtigt, Anwendungen und Websites für die öffentliche Nutzung bereitzustellen. DNS-Hijacking wird in der Regel angewendet, um nicht autorisierte Websites auf eine staatlich genehmigte Website umzuleiten. Die Große Firewall erkennt ... und analysiert ..., schlägt dann eine ähnliche Domäne aus der weißen Liste vor und vergiftet dann den DNS-Cache ... Alle von den Benutzern eingegebenen Informationen werden für zukünftige Analysen gesammelt ... macht die Große Firewall “intelligenter” beim Ersetzen von Websites. Alle Chat- oder Messenger-Anwendungen ... überwacht ... eingehende Nachrichten von eingeschränkten Apps empfangen, aber keine Nachrichten ohne VPN senden. Dies ermöglicht die Überwachung verdächtiger Gespräche, obwohl eine Partei VPN verwendet.
Auch hier wieder pragmatisch und zielorientiert, um den eigenen Aufwand klein sowie um die Reichweite und den Leistungsumfang steigern zu können. Außerdem: Werden chinesische Alternativen erzwungen, muss der Verkehr gar nicht zwingend in Echtzeit analysiert werden. Denn an der Quelle und an den Zwischenstationen werden die interessierenden Daten für längere Zeit vorgehalten, so dass sie in Ruhe verarbeitet werden können.

Websites und Apps, die in China verwendet werden dürfen, können mit sehr hoher Geschwindigkeit aufgerufen werden, bis zum jüngsten 5G(20Gbps) Upgrade.
Das ist die Quintessenz aus der pragmatischen Herangehensweise. Es ist und bleibt alles außerordentlich performant, weil bestimmte Analysen für die Entscheidung - Blacklist / Whitelist / irgendwo dazwischen - zumeist wohl nur ein einziges Mal oder aber jedenfalls nicht jedes Mal durchgeführt werden müssen. Mithin reduziert sich das bereitzustellende Leistungsvermögen der Großen Firewall auf einen (Bruch)Teil des realen Verkehrs. Und weil umfangreiche Blockiermöglichkeiten bereits auf IP-Ebene angewendet werden, entsteht ein bestimmter Verkehr erst gar nicht. Verkehr, der einer Whitelist zugeordnet werden kann, wird augenscheinlich deutlich weniger bis gar nicht analysiert - abermals eine Fokussierung auf das Wesentliche und somit eine Steigerung der Leistungsfähigkeit.

So und nicht anders stelle ich mir ein gescheites Herangehen an eine Content Firewall vor und genau so würde ich es nach meinem eigenen Gusto wohl auch machen. Es ist schlichtweg naheliegend und dem gesunden Menschenverstand folgend. Und wie sich mit diesem Artikel zeigt, scheinen die Chinesen die ganze Sache unterm Strich unter Aufrechterhaltung eines hochperformanten Internetverkehrs realisieren zu können.

Freilich bleibt es ein Katz'-und-Maus-Spiel:
Internet und Information sind freie Vögel nach Herkunft. Sie können Ihr Niveau am besten versuchen, um das Internet zu zensieren und die Informationen zurückzuhalten, aber Sie können nicht alles blockieren. Das ist der Fall bei der Großen Firewall Chinas. Mit der Entwicklung der Zensur entwickeln sich auch die Ansätze und Werkzeuge, um ihr gleichzeitig zu begegnen.
Am Ende des Tages wird die Große Firewall immer neue Ansätze und Werkzeuge aufgreifen und sich darauf einstellen, so dass sukzessive die Schlupflöcher immer kleiner werden. Es ist ja auch eine Frage dessen, ob ein bestimmter "fragwürdiger" Verkehr eine Einzelerscheinung ist oder ob er vielfältig genutzt wird. Auch davon werden sicherlich die Aufmerksamkeit und die Strenge der Beurteilung abhängen.

Viele Grüße
HansDampf06
MysticFoxDE
MysticFoxDE Oct 31, 2022 at 10:27:42 (UTC)
Goto Top
Moin HansDampf06,

Also ich habe mir soeben die beiden von @MysticFoxDE verlinkten Artikel durchgelesen ...

und in diesen steht überhaupt nichts davon, dass die Great Wall den verschlüsselten Datenverkehr, belauschen kann, vor allem nicht jeglichen.

Blocken eventuell ja, aber blocken ist blocken und belauschen ist belauschen.

Gruss Alex
HansDampf06
HansDampf06 Oct 31, 2022 at 21:14:49 (UTC)
Goto Top
Zitat von @MysticFoxDE:
und in diesen steht überhaupt nichts davon, dass die Great Wall den verschlüsselten Datenverkehr, belauschen kann, vor allem nicht jeglichen.

Du bist in dieser Hinsicht immer noch abseits der vorliegenden Diskussion, weil hier nach wie vor kein einziger (mich eingeschlossen) Kommentator - abgesehen von Deiner permanenten Verneinung - die Behauptung aufstellt, die Große Firewall Chinas würde verschlüsselte Verbindungen jedweder Art in Echtzeit entschlüsseln, um deren Inhalt mitzulesen. Insoweit verweise ich auf meine entsprechende Feststellung unter "Erstens" in meinem Kommentar vom 26.10.2022 um 22:00:18 Uhr - also eine Feststellung, die mittlerweile fünf Tage alt ist. Ich denke nicht, dass diese Feststellung gebetsmühlenartig wiederholt werden sollte, auch wenn Du Dich in dieser Hinsicht stoisch abseits der Diskussion einbringst.

Ganz im Gegenteil machen die Artikel sogar deutlich, dass die Chinesen es in mancherlei Hinsicht gar nicht nötig haben, den verschlüsselten Verkehr zu entschlüsseln, und zwar unter anderem dann, wenn der (ausländische) Gesprächspartner selbst nicht verschlüsselt kommuniziert. Denn dann kann - mit gesundem Menschenverstand - hinreichend erhellend nachvollzogen werden, um was es geht und was der verschlüsselnde Gesprächspartner wohl von sich gab / gibt.

Dessen ungeachtet wenden die Chinesen laut den von Dir verlinkten Artikeln einen "Trick" an, der es ihnen möglicherweise (vorsorglich: bitte das Wort "möglicherweise" wörtlich nehmen im Sinne eines Für-denbar-halten und NICHT als Annahme/Unterstellung, dass es so ist) erlaubt, sich doch in den verschlüsselten Verkehr mitlesend einzuschalten - nicht generell, aber von Fall zu Fall. Sie kontrollieren nämlich in einem relevanten Umfang die Zertifikatsgenerierung und -verteilung. Handelt es sich dabei um Root- oder sonstige übergeordnete Zertifikate, kann das unter Umständen bedeuten, dass sie mit davon für sich selbst abgeleiteten Zertifikaten einen (General)Schlüssel für die Entschlüsselung generieren könnten, zumal und gerade weil sie die App- und Update-Verteilung in einem wesentlichen Umfang kontrollieren und steuern können. Vielleicht kontrollieren sie die Zertifikatsausstellung sogar in der Weise, dass sie von ausgestellten Zertifikaten eine Kopie nebst einem etwaigen zugehörigen Passwort haben. Auf diese Art und Weise könnte es den Chinesen durchaus möglich sein, verschlüsselte Verbindungen in Echtzeit mitzulesen.

Viele Grüße
HansDampf06

PS: Wie ist das eigentlich mit den kostenlosen Lets-encrypt-Zertifikaten? Die Binsenweisheit lautet doch, dass es in unserer heutigen Zeit nichts für umsonst gibt. Wenn also eine kostenaufwendige Zertifikatserstellung und -verifizierbarkeit zunächst keinen Erwerbspreis hat, dann muss die Gegenleistung in etwas anderem bestehen! Und was war noch einmal das "Gold des 21. Jahrhunderts"? ... Natürlich ist nur der "gelbe Mann" von einem manischen Kontrollzwang besessen!
MysticFoxDE
MysticFoxDE Nov 01, 2022 at 05:36:56 (UTC)
Goto Top
Main @HansDampf06,

Du bist in dieser Hinsicht immer noch abseits der vorliegenden Diskussion, weil hier nach wie vor kein einziger (mich eingeschlossen) Kommentator - abgesehen von Deiner permanenten Verneinung - die Behauptung aufstellt, die Große Firewall Chinas würde verschlüsselte Verbindungen jedweder Art in Echtzeit entschlüsseln, um deren Inhalt mitzulesen.

Ich behaupte lediglich die ganze Zeit, dass die Great Wall eben nicht alles verschlüsselte mitlesen kann und schon gar nicht in Echtzeit, nicht mehr und nicht weniger. Grob klassifizieren und blocken ja, aber eben nicht mitlesen.
Wenn wir uns darauf einigen, dann bin ich schon glücklich.

Ganz im Gegenteil machen die Artikel sogar deutlich, dass die Chinesen es in mancherlei Hinsicht gar nicht nötig haben, den verschlüsselten Verkehr zu entschlüsseln, und zwar unter anderem dann, wenn der (ausländische) Gesprächspartner selbst nicht verschlüsselt kommuniziert. Denn dann kann - mit gesundem Menschenverstand - hinreichend erhellend nachvollzogen werden, um was es geht und was der verschlüsselnde Gesprächspartner wohl von sich gab / gibt.

Dass man unverschlüsselten Datenverkehr jederzeit mitlesen könnte, ist mir durchaus bewusst und dem habe ich hier auch zur keiner Zeit widersprochen.
Wer eine offene Postkarte verschickt, muss auch damit rechnen, dass deren Inhalt von jedem in der Zustellkette gelesen werden kann.

Dessen ungeachtet wenden die Chinesen laut den von Dir verlinkten Artikeln einen "Trick" an, der es ihnen möglicherweise (vorsorglich: bitte das Wort "möglicherweise" wörtlich nehmen im Sinne eines Für-denbar-halten und NICHT als Annahme/Unterstellung, dass es so ist) erlaubt, sich doch in den verschlüsselten Verkehr mitlesend einzuschalten - nicht generell, aber von Fall zu Fall. Sie kontrollieren nämlich in einem relevanten Umfang die Zertifikatsgenerierung und -verteilung. Handelt es sich dabei um Root- oder sonstige übergeordnete Zertifikate, kann das unter Umständen bedeuten, dass sie mit davon für sich selbst abgeleiteten Zertifikaten einen (General)Schlüssel für die Entschlüsselung generieren könnten, zumal und gerade weil sie die App- und Update-Verteilung in einem wesentlichen Umfang kontrollieren und steuern können. Vielleicht kontrollieren sie die Zertifikatsausstellung sogar in der Weise, dass sie von ausgestellten Zertifikaten eine Kopie nebst einem etwaigen zugehörigen Passwort haben. Auf diese Art und Weise könnte es den Chinesen durchaus möglich sein, verschlüsselte Verbindungen in Echtzeit mitzulesen.

Natürlich können die Schwachstellen ausnutzen um vereinzelt und gezielt verschlüsselten Datenverkehr mitzulesen. Das kann und macht aber nicht nur die "Great Wall", sondern die meisten Staaten, respektiver deren Geheimdienste auf diesem Planeten.
Sie versuchen es alle zumindest, die einen machen das um das Volk einzugrenzen und die anderen um es z.B. vor Terroristen & Co. zu schützen.
Ja, OK, so extrem wie in China machen das zum Glück nur wenige, aber können, könnten das die Meisten. Also versuchen verschlüsselte Verbindungen aufzubrechen. Ob die es dann auch immer schaffen, steht jedoch auf einem ganz anderen Blatt geschrieben.

PS: Wie ist das eigentlich mit den kostenlosen Lets-encrypt-Zertifikaten?

Kostenlos und Security ... ja ... OK ... der Witz ist auch gut. ๐Ÿคช

Beste Grüsse aus BaWü
Alex
PCChaos
PCChaos Nov 01, 2022 at 09:15:06 (UTC)
Goto Top
Schon Mal überlegt, dass das am genutzten hausinternen Sicherheitsstandard liegen könnte. Das Netz ist doch offen. Ich weiss nicht wie weit die technisch sind, aber wenn dren Digitalisierung durch ist oder auf dem Weg, machen sie es vielleicht absichtlich und kontrollieren die ein und Ausgänge durch sperren, weil sie Angst vor feindlichen Übergriffen haben. Autopilot.
Oder an der App. Nordstream vpn ist auch so eine. Was ich meine sind auch Probleme unter den Familien. Gerade weil da auch viele in Deutschland sitzen und Geld scheffeln, während sich die Jugend gegenseitig absticht. - Weiterbildungsmöglichkeiten
HansDampf06
HansDampf06 Nov 01, 2022 at 09:58:05 (UTC)
Goto Top
Zitat von @MysticFoxDE:
Wenn wir uns darauf einigen, dann bin ich schon glücklich.

Da zu keinem Zeitpunkt irgendjemand etwas anderes behauptet hat, ist das unausgesprochen die ganze Zeit der übereinstimmende Konsens. Einer zusätzlichen deklaratorischen Einigungsbekundung sollte es deswegen aus meiner Sicht gar nicht bedürfen. Deswegen kannst Du Dich eigentlich die ganze Zeit schon entspannt zurücklehnen. face-smile

Viele Grüße
HansDampf06
MysticFoxDE
MysticFoxDE Nov 01, 2022 at 10:07:03 (UTC)
Goto Top
Moin @HansDampf06,

Da zu keinem Zeitpunkt irgendjemand etwas anderes behauptet hat, ist das unausgesprochen die ganze Zeit der übereinstimmende Konsens. Einer zusätzlichen deklaratorischen Einigungsbekundung sollte es deswegen aus meiner Sicht gar nicht bedürfen.

das Gefühl hatte ich stellenweise nicht wirklich, aber so ist das mit dem fühlen von Gefühlen. ๐Ÿคช

Deswegen kannst Du Dich eigentlich die ganze Zeit schon entspannt zurücklehnen. face-smile

Was die Great Wall angeht bin ich auch weitestgehend entspannt.
Ich mag es nur nicht, wenn man dieser zu viel "zumutet".
So gut wie ihr "Vorgänger" aus Stein ist sie nun auch wieder nicht. ๐Ÿ™ƒ

Beste Grüsse aus BaWü
Alex
Lochkartenstanzer
Lochkartenstanzer Nov 01, 2022 at 10:35:57 (UTC)
Goto Top
Zitat von @MysticFoxDE:

So gut wie ihr "Vorgänger" aus Stein ist sie nun auch wieder nicht. ๐Ÿ™ƒ

Der Vorgnänger war nur zu Teilen aus Stein. über weite Strecken war sie genaus aus Lehm, Holz und Geröll. Nur der gemauerte Teil ist weitgehend erhalten. Siehe z.B. https://www.weltwunder-online.de/neuzeit/chinesische-mauer/

Und irgendwann wurde diese große Mauer auch "löchrig": face-smile


lks
MysticFoxDE
MysticFoxDE Nov 01, 2022 updated at 11:07:19 (UTC)
Goto Top
Moin lks,

Der Vorgnänger war nur zu Teilen aus Stein. über weite Strecken war sie genaus aus Lehm, Holz und Geröll. Nur der gemauerte Teil ist weitgehend erhalten.

Und irgendwann wurde diese große Mauer auch "löchrig": face-smile

ja, OK, dann sind sie sich doch in vielen Dingen sehr ähnlich. ๐Ÿ˜

Gruss Alex