[uanog] Idea to block russia at DNS / SSL level or at IP level.

Tue Mar 1 00:51:45 EET 2022

по суті питання

якщо Ви про сайти, е-мейли - аутентифікація клієнта не виконується у 99% 
випадків при підключенні (веб браузери з компів і телефонів і т.і.)

тобто, клієнт вирішую підключатись чи не подключатись. Не сервер

Деякі аплікухи можуть вирушувати (certificate pinning), але це доволі 
незначна частка і на суть питання не впливає

сертифікати видаються центром сертифікації (issuing CA)

Ось один з прикладів (роскомнадзор)

використувується let's encrypt. Детальніше

let's enrypt це проект що видає свої сертифікати від свого центру 
сертифікації R3 (Issuing CA)

ISRG Root X1 - це корньовий

Просто так забанити тількі російськи не вийде. R3 Центр сертифікації 
видає сертифікати всім. Це бот (let's encypt)  в будь-якій доменній зоні 
і з будь-яким ім'ям

Які є інші варіанти?

якщо є доступ к Subject Names & SANs - можна відзивати сертифікати по 
доменним ім'ям в цих записах. Наприклад, xxxx.ru, *.xxxx.ru

Але, такий варіант спрацює тільки при запиті до кожної компанії/проекту 
індивідуально (наприклад, COMODO, Verisign, Digicert, Globalsign, 
GoDaddy, Let's encrypt, ...)

Чи спрацює це?

Частково

Як вже було написано, клієнт виріщує підключаться чи ні

Наприклад, було відізвано всі сертифікати для .ru доменів

позиція apple (iphone, ipad), не дозволяти підключатись при наявності 
проблем с сертифікатом (не может бути перевірена його достовірніть у 
випадку, якщо його було відізвано)

позиція google (android) - мені невідома. Враховуючи HTTPS політику 
гугл, думаю, аналогічно apple

на компах буде з'являтись попередження яке можна буде ігнорувати (в 
багатьох випадках) і підключатись. Сайти з HSTS - не так багато. Для 
HSTS сайтів ігнорування неможливе

які ще є варіанти? Список не повний

- фільтрація по IP (це спрацює для кожного сервісу чи компанії де 
проходить трафік. На роутері, не сервері)

дивитись тут

https://blog.ip2location.com/knowledge-base/how-to-block-ip-addresses-from-a-country-using-ipset/

зручно, швидко, легко

- route blackholes

зробити можна на софтових раутерах та залізних Cisco, Juniper, Huawei, ...

можливо, потрібна підтримка advanced license або аналогічне щось для 
кожного вендора для додавання всіх RU IP блоків

потрібно буде список RU IP блоків (попереднє посилання) + скрипт

аналогічно - зручно, швидко, легко

- BGP hijacking

найефективніший варіант. Якщо є контакти в точках обміну та ISP - 
анонсуйте RU IP блоки. Всі або частково

такі компії повинні приймати bogus BGP announces. Просто так не спрацює

ці компії навіть самі можуть анонсувати. Але, це потрубує від їх 
партнерів аналогічних кроків. Доволі багато вже автоматизовано і таке не 
проканає в багатьох випадках

зручно і легко, не швидко

PS інтернет залишається фронтом в обидва боки. Його відмикання відімкне 
не тільки ЇХ, а ще, також, нашу можливість отримувати інформацію НАМ

Просто нагадаю про Кібератаки

On 28/02/2022 22:48, Alex Cherevko wrote:
> Это не работает. Нужно либо с помощью всевозможных ограничений сделать жизнь обычных россиян невыносимой, прямо, как жизни тысяч моих коллег, которых мы сообща пытаемся вытянуть сейчас 24/7 из под обстрелов. Чтобы россияне либо окончательно захлебнулись, закрылись и стали зоной отчуждения для всех нормальных людей. Либо жизнь стала настолько невыносимой, чтобы они восстали и распались наконец-то на много маленьких воронежских республик.
>
> И очень жаль, что талантливые умные люди в этом списке из тех, кто не в ТРО и не в армии, тратят свое время впустую вместо того, чтобы применить сейчас свои технические навыки по всем виртуальным фронтам. Не осталось полутонов - сейчас либо черное, либо белое.
>
> Не желаю никому ничего плохого, но мнение быстро меняется, когда близко сталкиваешься с катастрофическими ситуациями. Следующие поколения - хорошо, но мы с вами, в том числе, живем здесь и сейчас.
>
>> -----Original Message-----
>> From: uanog<uanog-bounces+allliv=gmail.com at uanog.kiev.ua>  On Behalf
>> Of Eduard M
>> Sent: Monday, February 28, 2022 8:58 AM
>> To: Taras Heichenko<tasic at academ.kiev.ua>
>> Cc:uanog at uanog.kiev.ua
>> Subject: Re: [uanog] Idea to block russia at DNS / SSL level or at IP level.
>>
>>
>> У людей повинна бути можливість отримувати інформацію з іншої
>> сторони
>>
>> З цим сусідом потім жити. Сподіваюсь, адекватність можна привити
>> наступним поколінням
>>
>> Як вже тут зазначили, роскомнадзор може забанити  :)
>>
>> Sent from my iPhone
>>
>>> On 28 Feb 2022, at 12:07, Taras Heichenko<tasic at academ.kiev.ua>
>> wrote:
>>>
>>>
>>>> On 28 Feb 2022, at 12:27, VASYL MELNYK<basil at vpm.net.ua>  wrote:
>>>>
>>>> У нас соревнования, кто придумает самую большую глупость?
>>>>
>>>> Наоборот россияне должны иметь возможность получать
>> информацию, а с блокировкой всего справится роскомнадзор.
>>> Поки що ні з чим не сперечаюсь, просто питаю: навіщо?
>>>
>>>>>> 27 февр. 2022 г., в 05:32, Alex Cherevko<allliv at gmail.com>
>> написал(а):
>>>>>
>>>>> Привет, долгое время не читал list и не получал писем. Может вы
>> уже обсудили тут все и действуете.
>>>>>
>>>>>
>>>>> Идея в том, чтобы запретить серверам и клиентам в рашке
>> использовать DNS сервера, как минимум, в штатах (корневые, другие и
>> т.п.) + корневые и (intermidiate) SSL сертификаты.
>>>>> А вообще – может и трафик из рашки.
>>>>>
>>>>>
>>>>>
>>>>> Написал шеф:
>>>>>
>>>>>
>>>>>
>>>>> терміново шукаю спеціаліста (не важливо наш чи з іншої компанії),
>> що розуміє як працюють корньові ssl сертифікати. Суть ідеї - наскільки я
>> пам'ятаю, корньові належать компаніям зі США і можна заблокувати
>> тупо всю систему SSL Россії якщо коректно відізвати ключі російських
>> компаній.
>>>>> (Я вже забув всі деталі то ж треба хтось, хто курив мануали пізніше
>> за мене, і може валідувати можливість реалізації).
>>>>> Якщо дійсно можна то підемо говорити з корньовиками та
>> запустимо через наших і дружніх волонтерів наратив «US (company
>> name) take out Russian SSL certificates to destroy russian Internet).
>>>>> Дякую.
>>>>>
>>>>>
>>>>>
>>>>> Может я поздно и вы уже все обсудили?
>>>>>
>>>>> Если нет – реализуемо с технической стороны?
>>>>>
>>>>> Просьба дать ответы по тех части.
>>>>>
>>>>>
>>>>>
>>>>> С уважением,
>>>>>
>>>>> Александр
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> uanog mailing list
>>>>> uanog at uanog.kiev.ua
>>>>> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>>>> _______________________________________________
>>>> uanog mailing list
>>>> uanog at uanog.kiev.ua
>>>> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>>> --
>>> Taras Heichenko
>>> tasic at academ.kiev.ua
>>>
>>>
>>>
>>>
>>>
>>> _______________________________________________
>>> uanog mailing list
>>> uanog at uanog.kiev.ua
>>> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>> _______________________________________________
>> uanog mailing list
>> uanog at uanog.kiev.ua
>> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20220228/02a6ec1c/attachment-0001.html>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: 0r0Q0P7CZcny1YcY.png
Type: image/png
Size: 5152 bytes
Desc: not available
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20220228/02a6ec1c/attachment-0002.png>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: 6ml4KocTHEtpeqk9.png
Type: image/png
Size: 11468 bytes
Desc: not available
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20220228/02a6ec1c/attachment-0003.png>