Chinees verbod op gebruik vpn-diensten gaat in

In China is zaterdag het verbod ingegaan op het gebruik van 'ongeautoriseerde' vpn-diensten. Dat houdt in dat vpn-verbindingen die niet door de overheid zijn goedgekeurd, niet langer mogen worden gebruikt. Onduidelijk is nog hoe streng de regels zullen worden nageleefd.

Vanaf 31 maart mogen in China alleen nog maar door de overheid goedgekeurde vpn-diensten worden gebruikt. Het is echter onduidelijk wat de gevolgen zijn als consumenten en bedrijven toch diensten gebruiken die geen goedkeuring van de Chinese autoriteiten kunnen verdragen. Zo zegt een aantal Chinese bedrijven tegen persbureau Reuters dat het nog onduidelijk is welke straffen op het gebruik van ongeautoriseerde vpn-diensten staat.

Volgens de ondervraagde bedrijven heeft de Chinese overheid geen richtlijnen uitgegeven over het gebruik van vpn-diensten. Daardoor is nog onduidelijk of het gebruik van niet-goedgekeurde vpn-diensten meteen zal worden aangepakt, en indien dit het geval is op welke manier het zal gebeuren. De door Reuters ondervraagde bedrijven verwachten niet meteen een strenge aanpak.

China begon begin vorig jaar al met de eerste stappen naar het verbieden van vpn's. Dat ging allereerst om het aanpakken van aanbieders van vpn-diensten. Zo werd enige tijd geleden een Chinees veroordeeld tot 5,5 jaar cel vanwege het aanbieden van een dergelijke dienst. De autoriteiten pakken het gebruik van vpn aan omdat hiermee de Chinese 'firewall' is te omzeilen, waarmee de internetcensuur in het land om de tuin is te leiden.

Door RoD

Forum Admin Mobile & FP PowerMod

Feedback • 31-03-2018 09:39 162

31-03-2018 • 09:39

162

Lees meer

Vpn-providers zien flinke piek in gebruik van hun diensten in Hongkong
Vpn-providers zien flinke piek in gebruik van hun diensten in Hongkong Nieuws van 25 mei 2020
Smokkelaars gebruiken drones om smartphones naar China te smokkelen
Smokkelaars gebruiken drones om smartphones naar China te smokkelen Nieuws van 31 maart 2018
NSA kon bitcoingebruikers mogelijk via vpn-dienst achterhalen
NSA kon bitcoingebruikers mogelijk via vpn-dienst achterhalen Nieuws van 20 maart 2018
China sloot in twee jaar tijd 13.000 websites en 10 miljoen internetaccounts
China sloot in twee jaar tijd 13.000 websites en 10 miljoen internetaccounts Nieuws van 24 december 2017
Chinese man krijgt 5,5 jaar cel voor aanbieden vpn-dienst
Chinese man krijgt 5,5 jaar cel voor aanbieden vpn-dienst Nieuws van 22 december 2017
Chinese man krijgt negen maanden cel voor verkopen vpn's
Chinese man krijgt negen maanden cel voor verkopen vpn's Nieuws van 4 september 2017
Tim Cook verdedigt verwijderen vpn-apps in China
Tim Cook verdedigt verwijderen vpn-apps in China Nieuws van 2 augustus 2017
'China wil dat isp's vanaf februari 2018 vpn-verbindingen van klanten afsluiten'
'China wil dat isp's vanaf februari 2018 vpn-verbindingen van klanten afsluiten' Nieuws van 11 juli 2017
China verbiedt het gebruik van ongeautoriseerde vpn-diensten
China verbiedt het gebruik van ongeautoriseerde vpn-diensten Nieuws van 23 januari 2017
Meer producten en artikelen
Politiek en recht Privacy China

Reacties (162)

-Moderatie-faq
162
152
77
11
0
38
Wijzig sortering

Sorteer op:

Weergave:
FrankHe 31 maart 2018 10:10
Internationaal zaken doen was al een probleem in China maar begint ondertussen zo ongeveer volledig onmogelijk te worden. Stel je bent verantwoordelijk voor de inkoop of verkoop van bepaalde producten en je bent in China om leveranciers of afnemers te bezoeken. Klapt je laptop open om even na te gaan welke voorwaarden en korting je ook alweer met deze lui had afgesproken. Je probeert een VPN-verbinding op te zetten naar het kantoor in Europa maar die verbinding wordt binnen twintig seconden dicht gezet om vervolgens nooit meer open te gaan. Hoe kun je dan nog informatie uitwisselen met het thuisfront en akkoord krijgen voor je onderhandelingsstappen en een zakelijk deal maken? Google diensten werken ook al niet in China dus dingen als drive en gmail kun je niet gebruiken. Van Microsoft en Amazon heb ik ook niet het idee dat er een geweldige ontvangst is in de volksrepubliek. Vroeger kon je nog CD-roms kopen van complete officepakketten met "copyright", het recht om een schijfje te kopiëren ;) Sneakernet bestaat nog in China maar het vrije internet zoals wij dat kennen heeft helaas opgehouden te bestaan.
Kenzi
@FrankHe31 maart 2018 11:00
Je kan toch ook nog gewoon de telefoon oppakken om het thuisfront te bellen als het zo belangrijk is.

Daabij als je als bedrijf regelmatig in China zaken doet, dan zorg je er gewoon voor dat je VPN werkt. En wat ik weet van de Westerse bedrijven om mij heen is er (behalve traag internet soms) nog weinig aan de hand. Ze maken gebruik van diensten die wel zijn goed gekeurd.

Als bedrijf ga je toch ook niet gebruik maken van diensten zoals ExpressVPN of Astrill? Want daar is deze wetgeving opgericht. Niet op de zakelijk VPN gebruiker. Dit is al in meerdere statements door de Chinese overheid bevestigd. Ze gaan niet achter de thuisgebruiker aan of zakelijke gebruiker maar achter de apps die het omzeilen mogelijk maken voor thuisgebruikers.

Amazon werkt gewoon goed, heeft hier ook fysieke presence. Zelfde voor iCloud.
Sfynx @Kenzi31 maart 2018 11:30
Als bedrijf ga je toch ook niet gebruik maken van diensten zoals ExpressVPN of Astrill? Want daar is deze wetgeving opgericht. Niet op de zakelijk VPN gebruiker. Dit is al in meerdere statements door de Chinese overheid bevestigd. Ze gaan niet achter de thuisgebruiker aan of zakelijke gebruiker maar achter de apps die het omzeilen mogelijk maken voor thuisgebruikers.
Dus hun Great Firewall ziet dat mijn L2TP/IPsec endpoint een zakelijke is en laat de verbinding daarnaar wel met rust? Ben benieuwd hoe dat precies werkt.
Kenzi
@Sfynx31 maart 2018 11:43
Zoals in mijn reactie, er is al meerdere malen door verschillende ministeries gezegd dat ze zich niet op de eindgebruiker richten (of die nou zakelijk of prive gebruikt maakt) maar op de tools. En verkeer van tools die de overheid wil verbieden zoals ExpressVPN en Astrill is al heel snel duidelijk dat het daarvandaan komt.
Er werken niet voor niks miljoenen Chinezen op dat ministerie, en laat staan de technologie die China ontwikkeld heeft om die GFW in stand te houden.
fastedje @Kenzi31 maart 2018 11:53
Dan kunnen ze in China openssh ook beter gaan verbieden.
BlaDeKke @fastedje1 april 2018 12:12
Hmm, nog niet helemaal duidelijk denk ik. ExpressVPN en Astrill hebben een dienst opgezet om de GFW te omzeilen. Dit kan door iedere leek gebruikt worden.

Als jij thuis een VPN server hebt draaien en je maakt vanuit China verbinding met deze, heb je geen problemen. OpenSSH heeft in deze discussie niets te zoeken.

Edit: Nu twijfel ik aan mezelf. Ik lees hieronder echt wel dat ze het protocol aanvallen. Is dit correct?

[Reactie gewijzigd door BlaDeKke op 23 juli 2024 09:19]

Verwijderd @BlaDeKke1 april 2018 19:39
Je hebt er niets aan om een VPN server binnen China neer te zetten. Je moet je juist een connectie maken met een VPN server buiten China en dat lukt je niet.

Als je een VPN server binnen China opzet moet je toch naar het internet buiten China en dat wordt dus tegengehouden.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 09:19]

BlaDeKke @Verwijderd1 april 2018 20:33
Ik denk dat je verkeerd leest. Dit of ik schrijf verkeerd. Je stelt bij je thuis (be of nl) een VPN server op. En je probeert vanuit China te verbinden. Kleir, ni?

Edit: het zal 1 april zijn zeker.

[Reactie gewijzigd door BlaDeKke op 23 juli 2024 09:19]

Verwijderd @BlaDeKke2 april 2018 10:39
Ik geloof nooit dat je een VPN server buiten China kan bereiken, ook al is het één die niet van een commerciele dienst afkomstig is.
BlaDeKke @Verwijderd2 april 2018 11:39
Dat was dus hetgeen dat ik dacht dat wel mogelijk was. Blijkbaar niet. Geloven doe ik al een tijdje niet meer.
fastedje @BlaDeKke1 april 2018 12:46
De post van Stoney3K vond ik wel verduidelijkend: Met Deep Pakket Inspectie kunnen ze voor/tijdens de TLS handschakelaar bepalen om wat voor protocol het gaat. OpenSSH wordt wel doorgelaten maar wel flink afgeknepen. Hierdoor kan je SSH niet meer effectief gebruiken als tunnel om veel data over te versturen.
NickyVDP @Sfynx31 maart 2018 11:45
Misschien Getrainde Algoritmes?
BlaDeKke @NickyVDP1 april 2018 20:34
Die MGA van tegenwoordig. Oppassen.
Verwijderd @NickyVDP2 april 2018 11:46
Net zoals je bij anti-virus steeds meer neurale netwerken ziet kan ik mij voorstellen dat de Chinezen soortgelijke technologie gaan gebruiken om 'niet-geautoriseerd' verkeer te ontdekken.
invic @Kenzi31 maart 2018 18:00
Kunnen ze gelijk ook bedrijfsspionage binnenhalen...
FrankHe @Kenzi31 maart 2018 20:49
Of gewoon het intranet van de zaak bezoeken over een insecure http-verbinding, kan natuurlijk ook. Is net zo veilig als een telefoontje plegen. Ik heb er vraagtekens bij hoe open en veilig AWS in China is.
Yzord @FrankHe31 maart 2018 10:42
Poort 443 gebruiken voor je VPN.
FrankHe @Yzord31 maart 2018 10:59
Het maakt volgens mij geen ene moer uit welke poort je gebruikt. Alle verkeer dat door de great firewall gaat is verdacht. Ze proberen met deep packet inspection en een vorm van fingerprinting na te gaan wat er voor data over de lijn gaan. Als ze de inhoud niet kunnen classificeren of als de inhoud ze niet bevalt dan gooien ze de verbinding dicht en staat je IP-adres op de ban list. Als je mazzel hebt duurt het even maar ze zijn constant bezig om de procedures rondom detectie en classificatie te optimaliseren. Met een beetje pech is het een kwestie van een halve minuut en je hebt een blocking rule te pakken. De Chinese overheid is gewoon heel erg bang voor zijn eigen volk en wenden alle vormen van repressie aan om de burgers onder de duim te houden. Vrije informatie is een staatsgevaarlijk goedje in de volksrepubliek. Ze herschrijven niet alleen de grondwet maar ook de geschiedenis. Alles op alles om de boel in de hand te houden.
badflower @FrankHe31 maart 2018 14:00
Dit is de oplossing
https://orchidprotocol.com/

Ik heb een demo gezien van de founders en was zeer onder de indruk.
How does the Orchid Protocol break through the Great Firewall of China?

We are working on techniques involving "traffic steganography" that will make the the traffic used by Orchid look like "normal" internet traffic (such as web requests and video calls). There are also existing simpler techniques such as "domain fronting", where you send your traffic to a large company such as Amazon--one which uses a CDN to efficiently route traffic--and cause their CDN to forward your traffic to your servers; this has been used successfully against the Great Firewall of China in the past.

Of course, we also need to hide the list of destination servers, as otherwise these could be collected by the adversary and blocked outright. Our current solution to this involves cycling through large numbers of random IP addresses on various hosting solutions, which we believe will force anyone trying to block our traffic to end up blocking large areas of the internet--such as every server being hosted on Amazon Web Services--which would cause a serious problem for Chinese business people, deeply affecting commerce, as well as quality of life for the average Chinese citizen.

For more information on this, see our discussion of Firewall Circumvention Features in our whitepaper.
GekkePrutser @badflower31 maart 2018 16:04
Ik vraag me echt af hoe succesvol dat gaat zijn. Voor een tijdje, ja. Maar de Chinese overheid is ook niet gek.

Traffic steganografie: De gebruikte technieken zijn gewoon te herkennen en een algoritme op te trainen. Zeker als je de source ook nog eens hebt. Domain Fronting: Leuk, maar als het zo veel voorkomt kan je de CDN providers gewoon allemaal bannen (of verplichten om binnen China te opereren volgens hun regels) en daar zijn Amazon & co echt niet blij mee dus die gaan het dan zelf tegenwerken.

Bovendien is er een betaalstructuur (anders dan met bijv. Tor), wat het mogelijk maakt om gebruikers via de betalingen te volgen. Zijn natuurlijk methoden voor om dat te omzeilen maar het is weer een extra stap.

Het zou me niet verbazen als de Chinese overheid uiteindelijk gewoon alles gaat blocken wat niet HTTP/HTTPS is, en bij HTTPS gewoon MITM toepassen (encryptie openbreken en zelf weer signen met een root CA die je zal moeten installeren), en alles dat ze dan nog niet kunnen lezen blokkeren. De techniek is er, op mijn werk doen ze precies hetzelfde, de firewall leest alles mee.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 09:19]

bluegoaindian @GekkePrutser31 maart 2018 17:50
I
Bovendien is er een betaalstructuur (anders dan met bijv. Tor), wat het mogelijk maakt om gebruikers via de betalingen te volgen. Zijn natuurlijk methoden voor om dat te omzeilen maar het is weer een extra stap.

Het zou me niet verbazen als de Chinese overheid uiteindelijk gewoon alles gaat blocken wat niet HTTP/HTTPS is, en bij HTTPS gewoon MITM toepassen (encryptie openbreken en zelf weer signen met een root CA die je zal moeten installeren), en alles dat ze dan nog niet kunnen lezen blokkeren. De techniek is er, op mijn werk doen ze precies hetzelfde, de firewall leest alles mee.
Nee
regel 1 is dat ruis niet is te blokeren!
als je niet weet wat het is en je blocked het betekend dat je ook andere zaken blokeren.
je kan er ALTIJD doorheen.
een mooi voorbeeld is een .bin flise via HTTP....
je stuurt de .bin fille op en de firewall kan niet weten hoe de inhoud moet zijn.
er zijn allerlij files die allerliju vormen van encryptie gebruiken die zonder sleutel ruis zijn.
Je kan ook ftp gebruiken , en wat dacht je van SSH?
en dan kan je altijd nog een dns tunnel doen :) , die ook is te encrypten.
er zijn legio mogelijkheden om hier omheen te komen :)
Verwijderd @bluegoaindian1 april 2018 19:45
Als het zo makkelijk was dan werd het wel gedaan. Als het niet te herkennen is dan wordt jouw IP gewoon geblokkeerd en kom je het internet uberhaupt niet meer op. Versleutelen is niet een oplossing in deze, want als ze niet mee kunnen lezen dan blokkeren ze het gewoon.
bluegoaindian @Verwijderd2 april 2018 17:13
Als het zo makkelijk was dan werd het wel gedaan. Als het niet te herkennen is dan wordt jouw IP gewoon geblokkeerd en kom je het internet uberhaupt niet meer op. Versleutelen is niet een oplossing in deze, want als ze niet mee kunnen lezen dan blokkeren ze het gewoon.
T is idd zo makkelijk , waarom omdat ook hun eigen malware onherkenbaar moet zijn.
dat is het dilema , als je iets maakt om andere systemen aan te vallen moet het onherkenbaar zijn zou niet netjes zijn als het dan word tegen gehouden door je eigen firewal.
Ruis is niet te blocken . zeker als je het als korte bursts naar buiten brengt omdat de firewal eerst zeker moet stellen wat het is ... als je voor dat moment als weer klaar ben met zenden , kun je doen met udp , kan je voor dat de firewal een oordeel kan geven over het verkeers type en af kappen al weer een nieuw pakektje sturen waardoor de firewal weer t zelfde moet doen en voor t oordeel je al weer op een nieuw paktje zit , good luck blocking that :P
daarnaast kun je ook met ip spoofing erg ver komen , als je 1/3 paketjes bijvoorbeeld maar met echte informatie voorziet de rest afleiding is.
blokeren verliest het altijd van de mogelijkheden om door te laten.
vooral met IPV6 is dit erg leuk omdat oneindig veel combinaties mogelijk zijn

[Reactie gewijzigd door bluegoaindian op 23 juli 2024 09:19]

Yzord @FrankHe31 maart 2018 11:10
Hoor mijn klanten anders niet klagen. Misschien dat dat met de dag van vandaag nog gaat komen, maar heb een paar Chinese klanten die al enkele jaren over mijn servers gaan. Allemaal via poort 443.
Adion @Yzord31 maart 2018 11:16
Welk protocol gebruik je dan voor de verbinding?
OpenVPN, L2TP en PPTP worden over het algemeen vrij snel gedetecteerd.
Ayporos @Adion31 maart 2018 14:54
Hm.... en wat nou als je je VPN zo opzet dat het lijkt op/identiek is aan e-mail verkeer en je een e-mail specifieke poort gebruikt? Ik neem aan dat chinezen wel mogen e-mailen?...

Btw, voor iedereen die meer interesse heeft in hoe het er daadwerkelijk in China aan toe gaat kan ik dit youtube kanaal aanbevelen, is van 2 expats die al jaren in China leven en schetst een stuk geloofwaardiger en duidelijker beeld dan wat je dan ook kunt lezen in westerse media:
https://www.youtube.com/user/churchillcustoms/videos

Hier een video van hun over VPN's in china (8 maanden oud dus wel out-of-date):
https://www.youtube.com/watch?v=EuEdYvQmVFg
Kenzi
@Ayporos31 maart 2018 17:39
Die twee zijn grappig maar absoluut niet geloofwaardig.
Ayporos @Kenzi31 maart 2018 18:09
Hmm, en waar baseer je dat op? Ik heb meerdere van hun video's gekeken en het ziet er erg geloofwaardig uit.
Uiteraard kiezen zij wat ze laten zien en wat ze zeggen, maar ze komen niet over als leugenaars.

Volgens jou profiel woon jij in Hangzhou, zou jij kunnen toelichten in welk(e) aspect(en) zij te kort schieten? Of misschien zelfs wat van jou eigen ervaringen delen?

Ik ben erg kritisch op reguliere 'westerse' nieuws/media kanalen omdat die toch een erg vertekend beeld geven, daarom dat ik hun kanaal dan ook veel betrouwbaarder vind omdat zij daadwerkelijk al jaren in China wonen... maar geen specifiek persoonlijk gewin hebben bij het verkondigen van leugens omdat zij niet in China wonen/werken voor een (internationaal) bedrijf dat banden heeft in China en ze dus niet hun uitlatingen hoeven te censureren.

[Reactie gewijzigd door Ayporos op 23 juli 2024 09:19]

Joecatshoe @Yzord31 maart 2018 14:20
Nu ben ik ook wel benieuwd met welk protocol dat dan is. Of iets gedetecteerd wordt of niet heeft niets meer met de poort te maken, maar met het protocol. Ze zijn daar ook wel slim genoeg om te weten dat je een poort kan veranderen, daarom dat ze nu aan fingerprinting doen en niet zomaar checken op poort. Alle populaire VPN protocollen worden direct gedetecteerd, ook al lopen ze op poort 443.
Verwijderd @Yzord31 maart 2018 11:19
Logisch.. klagen --> celjaren...
invic @FrankHe31 maart 2018 17:58
China is van een communistisch/kapitalistisch naar een totalitaire big brother staat geworden. Eng....
xmenno @FrankHe31 maart 2018 15:35
Mensen zijn in de afgelopen jaren wellicht vergeten dat er in China nog steeds een communistische partij aan de macht is.
Verwijderd @xmenno31 maart 2018 20:26
Communistisch in naam, in de praktijk zijn ze nog kapitalistischer dan de Amerikanen.
Verwijderd @Verwijderd1 april 2018 19:47
Maar nog steeds dictatoriaal. Dat vergeet je.

Alles wat de macht van de communistische partij kan ondermijnen wordt onderdrukt of verwijderd. En dat is heel breed want de corruptie en machtsmisbruik van de communisten is net zo groot als andere dictaturen, zo niet groter.
Verwijderd @Verwijderd1 april 2018 19:54
Alles wat de macht van de communistische partij kan ondermijnen wordt onderdrukt of verwijderd
En dat gebeurt in het westen niet met alles wat de macht van grote bedrijven en de inlichtingen diensten aantast? Hier gebeurt het alleen wat subtieler.
Verwijderd @Verwijderd1 april 2018 19:57
Het is nog niet zo erg als in China, maar het gaat wel langzaam die kant op. Duurt nog honderd jaar hier schat ik.
GeoBeo @Verwijderd3 april 2018 01:13
Het is nog niet zo erg als in China, maar het gaat wel langzaam die kant op.
Dat is mij ook wel duidelijk ja. Alles wat China heeft hebben wij ook, alleen dan iets minder erg.

-- China blokkeert websites, Nederland, Frankrijk en Duitsland ook (alleen dan nog wat minder). In Nederland o.a. the Piratebay.
-- China blokkeert Google. De gehele EU blokkeert ook een deel van Google met politieke inhoud. Zie hier.
-- De Chinese overheid kan zien wat je bespreekt op WeChat. De Nederlandse overheid/geheime diensten kan in samenwerking met de NSA ook zien wat je typt naar je vrienden op Facebook.
-- De Chinese overheid weet ten alle tijden waar je bent. O.a. via automatische gezichtsherkenning op de vele camera's in het land. De Nederlandse overheid ook.
-- De Chinese overheid kan zien wat je op je bankrekening hebt staan. De Nederlandse belastingdienst ook.
-- De Chinese overheid intimideert mensen met een verkeerde politieke mening of de verkeerde humor. De Nederlandse overheid ook.

Dus zo veel verschillen we niet meer. In de afgelopen 10 - 20 jaar lijkt het er eerder op dat politici de onderdrukking van het volk in China als hun grote voorbeeld gezien hebben. Zowel op EU als op nationaal niveau (met CDA, D66 en VVD voorop). De trieste realiteit...

[Reactie gewijzigd door GeoBeo op 23 juli 2024 09:19]

xmenno @Verwijderd1 april 2018 11:40
Nee het is anders dan dat, geld is een soort religie omdat ze verder geen georganiseerde religies toestaan en mensen uiteindelijk helemaal niets bezitten omdat de overheid zomaar beslag kan leggen.
Het is niet kapitalisme, het is meer een soort hebberigheid en statussymbool om de leegte in te vullen.
Dit is toch echt wel communisme:
https://twitter.com/elonmusk/status/971812680594964480
Verwijderd @xmenno1 april 2018 13:16
Dat is een kwestie van weloverwogen protectionisme en het binnenhalen van kennis.
GeoBeo @Verwijderd3 april 2018 01:04
Communistisch in naam, in de praktijk zijn ze nog kapitalistischer dan de Amerikanen.
Of de Amerikanen (en wijzelf) zijn niet kapitalistisch. Zo kun je het ook zien.

Er is helemaal niets kapitalistisch aan het reguleren van een markt:
-- import heffingen om daarmee binnenlands productie eigenlijk oneerlijk te subsidiëren (ten opzichte van buitenlandse productie),
-- het beperken van innovatie en concurrentie door middel van patent recht,
-- het hebben van auteursrecht/copyright,
-- het concept belasting,
-- enz.
Verwijderd @GeoBeo3 april 2018 01:34
Wat jij voorstelt is anarchie, of op z'n minst een libertarisme a la Ayn Rand. Dat wordt een discussie over wat kapitalistisch is. Er is meer dan alleen de nachtwakersstaat natuurlijk. Als je jouw redenering in het extreme doortrekt: waarom zou je fysiek eigendom beschermen als staat? Als mensen het graag genoeg willen beschermen huren ze maar bewakers in. Waarom zou je uberhaupt een staat erkennen? Laat de markt het maar uitzoeken. De warlords die dan komen bovendrijven zullen vast wel iets bedenken om hun slaven onder de duim te houden.
GeoBeo @Verwijderd3 april 2018 06:19
Wat jij voorstelt is anarchie, of op z'n minst een libertarisme a la Ayn Rand.
Ik stel helemaal niets voor, laat staan dat ik anarchie voor stel. Ik zeg alleen dat er aspecten zijn van hoe de westerse markten nu gereguleerd zijn die rechtstreeks in gaan tegen de concepten kapitalisme en vrije markt economie.

Ik stel nergens dat wetten en regels in het algemeen slecht zijn of dat staten niet zouden moeten bestaan.

Wel ben ik van mening dat patentrecht technologische ontwikkeling enorm tegenhoudt en volledig afgeschaft zou moeten worden. Maar hoe onze maatschappij automatisch zou verworden tot een anarchie wanneer we het patentrecht afschaffen is mij een raadsel.
Verwijderd @GeoBeo3 april 2018 09:02
Oh, wat patentrecht ben ik het met je eens (en het overgrote deel van het auteursrecht mag van mij ook afgeschaft worden). Maar je begon daarna over belastingen in het algemeen, en dat is een typisch stokpaardje van libertaristen.
Verwijderd @Yzord31 maart 2018 11:19
Dat kan niet. Althans:

Voor VPN gebruik zoals wij dat hier lijken te bespreken (verbinden vanuit China naar buiten toe) werkt dat prima. Wij doen al jaren niet anders. Je loopt soms wel tegen throttling aan, maar daar is prima om heen te werken.

Maar het verbod van vandaag gaat over iets anders: Chinese ISP's is opgedragen om inkomende poorten 80, 443 en enkele andere inkomende poorten te blokkeren.

Officieel is het vanaf vandaag dus onmogelijk om thuis in China een web of VPN servertje te hosten. Elk officieel Chinees bericht wat ik tot nu toe heb kunnen vinden heeft over over deze poort blokkade.

Overigens is dat slechts een verduidelijking van reeds bestaande wetgeving: je mag heen website of VPN dienst aanbieden zonder licentie. Licenties voor websites zijn eenvoudig te verkrijgen, maar voor VPN niet.

Op een of andere manier is bovenstaande geherinterpreteerd tot het nieuws zoals Tweakers dat brengt. Voor zover ik dat het kunnen herleiden komt dat bij Bloomberg vandaan. Waar hun interpretatie vandaan is mij onduidelijk. De tijd zal het leren.
MrFax @Verwijderd31 maart 2018 12:47
Dus je kan niet eens meer home server website hebben? Wat nou als de VPN een non standaard port gaat gebruiken?
Yzord @MrFax31 maart 2018 13:34
Non standaard schiet niet op. Dat wordt meteen gedetecteerd door the CGF.
jurroen @Yzord31 maart 2018 22:17
Ook andere poorten. Zie deze video, erg interessant en verhelderend: https://youtu.be/zcC5K7QTdvM

De grote vuurmuur gaat verder dan simpel een poortje dichtzetten of IPtje blokkeren.
dasiro @MrFax31 maart 2018 13:34
ik ken de procedure niet, maar je website zal gecontroleerd worden en als je niet aan hun voorwaarden voldoet, zal dat inderdaad niet lukken, net op dezelfde manier dat je niet naar buitenlandse sites kan surfen
Yzord @Verwijderd31 maart 2018 12:39
Als een Chinees naar mij toekomt om een VPN af te nemen, dan geef ik hem die. Vooralsnog is de wet al enige uren actief en een klant heeft al gereageerd dat het (gewoon) nog werkt. We zullen waarschijnlijk dit weekend even af moeten wachten, maar hij kan nog steeds zaken doen zoals hij dat omschrijft.

Heb hem gevraagd sites als Facebook en dergelijke te bezoeken vandaag om te zien of het dan geblokkeerd wordt. Als ik meer nieuws heb zal ik het melden.
Verwijderd @Yzord1 april 2018 19:50
Het gaat niet gelijk in, misschien duurt het dagen of weken, maar eens gaat je verbinding niet meer werken.
GrooV @FrankHe31 maart 2018 11:01
Of guacamole gebruiken, dat is een webserver voor rdp, VNc en SSH verbindingen . Werkt ook heel goed als op je werk alles dicht gezet is

Met https is dat niet tegen te houden
Blokker_1999
@GrooV31 maart 2018 15:05
EN je denkt dat ze niet gaan opmerken dat je 2 dagen aan 1 stuk een datastream hebt openstaan naar een webserver?
Verwijderd @GrooV1 april 2018 18:18
https://publishup.uni-pot...094/file/httpsmalware.pdf

Dit zelfde is toe te passen op zaken die je beschrijft. Kwestie van patroonherkenning.
freaky @FrankHe31 maart 2018 17:41
RD gateway, SSH met SOCKS proxy, legion anderen.

Ons internet is ook niet volledig vrij. Kinderporno sporen ze actief op (en da's maar goed ook), die is voor de hand liggend, maar een Brein krijgt het ook voor elkaar om ISPs TPB te laten blokkeren. Persoonlijk vind ik dat een vrij evil precedent wat tot nog veel meer ellende kan gaan leiden.
DigitalExorcist @FrankHe31 maart 2018 22:52
Een reverse tunnel dan wellicht?
FrankHe @DigitalExorcist1 april 2018 11:04
Nog niet eens zo'n gek idee. Maar dan moet je wel een port forward kunnen beheren. Dat kan nog best lastig zijn omdat ISP's in China vaak al op hun eigen netwerk NATten. Wellicht zijn er toch mogelijkheden.
Verwijderd @FrankHe31 maart 2018 23:53
Je kan een VPN van de overheid gebruiken.
Kain_niaK @FrankHe1 april 2018 06:04
Er zijn genoeg VPN diensten die hun verkeer tunnelen over IMCP of DNS. Genoeg mogelijkheden om toch langs die firewall te komen.
Verwijderd @FrankHe1 april 2018 19:34
Ik hoop inderdaad dat China zichzelf hiermee in de voet schiet en dat veel westerse bedrijven verkassen naar Vietnam en Cambodja. Het land is duidelijk bezig om westerse bedrijven weg te pesten en denkt nu al genoeg economische macht te hebben dat ze zich dit kunnen veroorloven. Ik denk dat ze zich dik vergissen.
Relatief @FrankHe2 april 2018 10:46
Ik denk dat er genoeg verdiend word door zakenmannen die handelen met China om hier andere oplossingen voor te vinden. Edit: het is wel lullig voor de kleine zakenman, met zijn bijpassende kleinere portomonnee.

[Reactie gewijzigd door Relatief op 23 juli 2024 09:19]

FrankHe @Relatief2 april 2018 12:35
Welke 'andere' oplossingen zie jij dan?
Relatief @FrankHe2 april 2018 20:33
Het artikel geeft aan dat je wel een door de overheid goedgekeurde vpn dienst kunt gebruiken, wellicht is er een mogelijk om een extra laag encryptie toe te voegen als je de Chinese overheid niet vertrouwt, dat zou ik moeten uitzoeken. Maar ik vind het extreem belachelijk dat westerse bedrijven die handelen met China dan voor de kosten moeten opdraaien en heel hun netwerkomgeving moeten aanpassen. Wellicht kunnen er uitzonderingen aangevraagd worden, vpn vergunning of iets dergelijks. Dat zou in ieder geval een stuk redelijker zijn.

[Reactie gewijzigd door Relatief op 23 juli 2024 09:19]

FrankHe @Relatief2 april 2018 21:37
Een VPN-verbinding naar het netwerk van de zaak is natuurlijk iets anders dan een willekeurige VPN-dienst. Ik heb geen idee hoe je om het probleem heen kunt werken van een algeheel VPN-verbod. Op dit moment zijn de spelregels nog onduidelijk, wat wel kan onder welke voorwaarden en wat niet is toegestaan. De strafmaat bij ongeautoriseerd gebruik van een VPN is nog niet duidelijk en zal later bekend worden gemaakt. Reken maar dat in de loop van de tijd alle stukjes worden ingevuld en er strak gehandhaafd gaat worden. Er zullen de nodige mensen naar de gevangenis gaan en naar strafkampen worden gezonden. Wanneer je meerdere malen als voetganger door een rood stoplicht loopt dan verzamel je ook strafpunten en dan mag je op een gegeven moment voor een tijdje onvrijwillig ergens anders verblijven. Camera's in de openbare ruimte registreren alles volautomatisch op basis van gezichtsherkenning. Nee, alle Chinezen lijken niet op elkaar. Ieder individu heeft een uniek eigen gezicht en alles wordt geregistreerd. Het regime weet exact wanneer je waar bent geweest en je 'minpunten' worden automatisch verzameld. Samen met de great fire wall begint het aardig op een systeem van gedachtepolitie te lijken. Dan heeft vrijheid opgehouden te bestaan.
Relatief @FrankHe3 april 2018 19:40
Vrijheid is lang geleden gestorven en begraven helaas. We kunnen er alleen nog om rouwen. En verlangen dat het ooit weer kan bestaan. Elke cm2 op deze planeet is bezet door groepen mensen die bepalen wat je daarop wel en niet mag doen. Echte vrijheid is lang geleden gestorven als je het mij vraagt. Het is een kwestie van tijd tot ze ook hier zo ver gaan onder het excuus van veiligheid. Ik zie het al voor me, overal drones en camera's.Fiets je midden in de nacht op een verlaten weg door rood? Nachtje cel om het af te leren, de drone heeft het gezien! Ik snap dat je het misschien niet eens bent met deze mening, maar vertel me, waar kan een mens nou nog echt vrij leven? Vrij van regels, vrij van privacyschending?

Ik denk dat als men dezelfde tijd zou steken in het aanleren van goede normen, waarden, logica, kennis en empathie dat zoveel veiligheidsmaatregelen helemaal niet meer nodig zullen zijn. Uiteraard is dit alleen mogelijk als iedereen een huis heeft en te eten krijgt. Maar wellicht over duizenden jaren zal de mensheid dit bereiken. Ik hoop het in ieder geval wel.

[Reactie gewijzigd door Relatief op 23 juli 2024 09:19]

Verwijderd @FrankHe3 april 2018 01:55
Je beschrijft de natte droom van iedere 'volksvertegenwoordiger' in Brussel!
Verwijderd @topio231 maart 2018 15:11
De gemiddelde Chinees is er wel tevreden mee.. je kan niet overal ter wereld 'onze vrijheden' invoeren.
FrankHe @Verwijderd31 maart 2018 16:07
Enige jaren geleden ben ik in Shanghai geweest en ik moet zeggen het is een best wel mooie stad met fijne mensen. Leuke lui die Chinezen, ze zijn heel toegankelijk en maken graag een praatje met je. Ze komen regelmatig samen voor karaoke, houden van spelletjes en gokken. Het uitgaansleven is goed ontwikkeld. Geld moet rollen.

Maar als je min of meer zegt dat het daar in China wel een soort van ok is dan heb je voor mijn gevoel niet goed begrepen wat daar allemaal aan het gebeuren is. China begint ondertussen een bijzonder eng totalitair regime te worden en ik zie het vooralsnog niet snel verbeteren. Mijn punt is dat deze repressie helemaal nergens voor nodig is. Iedere Chinees weet en voelt in haar en zijn vezels dat China als een groot land bij elkaar moet blijven. Dat is in ieders belang en ik verwacht dan ook niet dat China ooit uit elkaar zal vallen.

Mensen zijn goed opgeleid waardoor er veel potentieel is. China heeft letterlijk enorme aantallen afgestudeerden met de ambitie om het te gaan maken. Het is alleen zo jammer van de repressie en culturele hersenspoeling. Volgens de geschiedenisboekjes is er in het jaar 1989 helemaal niets bijzonders voorgevallen in Beijing. Zoals wij allemaal weten is dat lichtelijk bezijden de waarheid. Iedere referentie naar een stukje 'officieel door het regime uitgewiste geschiedenis' levert je strafpunten op. Een dergelijke maatschappij wens je niemand toe.

Nu is het een VPN-verbod. De volgende stap zal wel een soort van gedachtenpolitie zijn waarbij je zonder concreet bewijs uit de maatschappij wordt geëxtraheerd?
Verwijderd @FrankHe1 april 2018 19:55
Ik vraag mij af hoe lang de Chinezen zo'n totalitair regime gaan volhouden. Op een gegeven moment gaan de burgers zich steeds meer verzetten. Als je continu het gevoel hebt dat je gevolgd en vervolgd wordt dan maakt je dat op een gegeven moment gewoon kapot.

En het westen gaat hier zeker op inspelen om China op te splitsen in kleinere delen die makkelijker behapbaar (lees: te onderdrukken) zijn. Er zijn altijd wel groeperingen in China die zich onderdrukt voelen, of het nou Oeigoeren of Nepalezen zijn, maar ook onder de Han bevolking zijn er groepen die onderbedeeld zijn.
FrankHe @Verwijderd31 maart 2018 20:45
Klopt, daarom voert de partij ook een actieve campagne om meer Han-Chinezen 'te maken'. Overigens erkennen wij in het westen nog steeds Tibet niet als een gedeelte van China, maar daar wonen naar verhouding dan ook niet zoveel mensen. Het is een publiek geheim dat er op het Chinese grondgebied al de nodige volkerenmoorden (genocide) hebben plaatsgevonden. Maar hierover zul je natuurlijk niets terugvinden in de geschiedenisboeken van de glote geliefde leidel Xi Jinping. Door de bank genomen acht ik de kans erg klein dat China werkelijk uit elkaar valt. Daarom is naar mijn mening de sterke repressie die er heerst gewoonweg niet noodzakelijk. Het kan zonder problemen een stuk vrijer en opener worden zonder dat direct het voortbestaan van de natie in gevaar komt. Maar de partij in Beijing denkt daar kennelijk anders over en zet graag in op het verder inperken van burgerlijke vrijheden.
mkools24 31 maart 2018 09:42
Dit is toch eenvoudig te omzeilen. Als ik een VPS huur in Europa en ik tunnel alles via een putty shell mag dat dan wel?
Glashelder @mkools2431 maart 2018 09:45
Dat wordt binnen no-time (+/- 20 min) herkend door de firewall en dan gaat het IP van je VPS op de blocklist.
Evianon @Glashelder31 maart 2018 09:55
Als je je (open)VPN server op poort 443 draait met TCP verkeer is het heel lastig te onderscheiden van normaal SSL verkeer en werkt het - in mijn ervaring - prima.
henk717 @Evianon31 maart 2018 10:14
Dat is niet zo makkelijk als je denkt want de chinese firewall is erg goed gebouwd al is er wel veel congestion naar het buitenland.

Hier is een leuk blog artikel uit 2016 van iemand die er mee heeft geexperimenteerd. http://blog.zorinaq.com/m...-great-firewall-of-china/
Evianon @henk71731 maart 2018 12:48
Edit: toch even weghalen, voor ik de volgende keer China niet meer in kom :P

[Reactie gewijzigd door Evianon op 23 juli 2024 09:19]

Fermion @henk7179 april 2018 14:31
Idd goed verhaal, voor anderen:

nieuws: Chinees verbod op gebruik vpn-diensten gaat in
Stoney3K
@Evianon31 maart 2018 10:25
OpenVPN wordt er uit gevist op basis van heuristics. Een simpele SSH tunnel via een shell-sessie werkt overigens wel, maar die is over het algemeen wel enorm traag.
Terrestrial @Stoney3K31 maart 2018 10:58
leg dat is uit, want als iets goed versleuteld wordt is het onmogelijk om er kenmerkende karakteristieken uit te halen middels deeppacket inspection dus heuristics zal dan niet werken. Kijk als je bij het aangaan van de TLS verbinding een server hebt die meteen roept "hallo ik ben een openvpn server" ja dan is het logisch natuurlijk.

Lengte van handshakes verschillen nogal naar gelang welke encryptie er wordt gebruikt maar die van openvpn hoeven niet te verschillen tov een TLS versleutelde website. En pakketgrootte is totaal on-relevant want daar kun je al niks meer mee. Het probleem zal 'm eerder zitten in het feit dat ze TLS verbindingen proberen te strippen met een man in the middle.

[Reactie gewijzigd door Terrestrial op 23 juli 2024 09:19]

Stoney3K
@Terrestrial31 maart 2018 11:26
Hoe de Chinese firewall werkt is eigenlijk heel simpel. Alle verkeer wordt via deep-packet inspection geanalyseerd en als er een bekend patroon voorbij komt, dan wordt de TTL van de verbinding vervangen door een valse TTL die korter is waardoor de verbinding een time-out krijgt, of in het geval van TCP-verbindingen, wordt er een vals RST-packet geïnjecteerd met een kortere TTL, waardoor de verbinding wordt afgebroken.

OpenVPN verbindingen er uit vissen is eigenlijk niet eens zo heel moeilijk: De handshake van OpenVPN verloopt onversleuteld tot er TLS/SSL keys zijn uitgewisseld. Een volledig versleutelde verbinding opbouwen kan namelijk niet, want dan is het andere uiteinde er niet eens van op de hoogte dat een verbinding bestaat. Vergelijk: Ook een scrambled telefoon heeft nog altijd een telefoonnummer, dus je kan altijd meta-data verzamelen over wie waarmee verbinding maakt.

Wat je wel kan doen is de OpenVPN handshake obfusceren of tunnelen door een SSH tunnel, SSH wordt niet geblokkeerd door de Chinese firewall omdat het te veel legitieme en nuttige toepassingen heeft (ook voor Chinezen). Dan wordt de verbinding wel opgebouwd, maar de firewall ziet nu wel dat het een SSL verbinding is en die wordt dan op packet-niveau gewoon enorm geknepen. Je verbinding blijft open, maar er valt amper mee te werken.

[Reactie gewijzigd door Stoney3K op 23 juli 2024 09:19]

Terrestrial @Stoney3K31 maart 2018 11:44
Wat je zegt klinkt heel onlogisch. Alle versleutelde verbindingen moeten eerst worden opgebouwd met een handshake. of het nu openvpn is of SSH of een HTTPS met een website. Dus als jij een SSH verbinding opbouwt heb je exact hetzelfde probleem als bij openvpn. Eerst een SSH verbinding opbouwen lost het probleem dus ook niet op, het voegt alleen een extra laag toe.

Wat wel kan is standaard alle TLS verkeer wat ze niet kennen/vertrouwen cappen qua snelheid en vertrouwde sites/diensten die op een whitelist staan wel de volledige snelheid geven.

En tuurlijk meta data heb je altijd... hostname, ip adres, portnummer. banner of header information etc. De server mag niet roepen, ik ben een vpn server en de client mag niet roepen ik ben een vpn client.

Maar ik snap de internationale community ook niet, als China zo graag geen open toegang tot het publieke internet wil toestaan aan zijn burgers laten we dan wereldwijd afspreken dat China helemaal geen internet toegang meer verkrijgt. Ik denk dat het snel afgelopen is met deze gein want China wil dolgraag kunnen handelen via internet.
Stoney3K
@Terrestrial31 maart 2018 12:51
Wat je zegt klinkt heel onlogisch. Alle versleutelde verbindingen moeten eerst worden opgebouwd met een handshake. of het nu openvpn is of SSH of een HTTPS met een website. Dus als jij een SSH verbinding opbouwt heb je exact hetzelfde probleem als bij openvpn. Eerst een SSH verbinding opbouwen lost het probleem dus ook niet op, het voegt alleen een extra laag toe.
Dat klopt, alleen ziet de handshake van een SSH verbinding er anders uit dan die van een OpenVPN. Ook als je geen toegang hebt tot de versleutelde data kun je uit de meta-data en uit het patroon van de verzonden packets, herkennen dat het om bijvoorbeeld OpenVPN gaat.

OpenVPN garandeert immers niet volledige anonimiteit, daarvoor is bijvoorbeeld TOR veel beter geschikt.
stresstak @Terrestrial31 maart 2018 13:17
Maar ik snap de internationale community ook niet, als China zo graag geen open toegang tot het publieke internet wil toestaan aan zijn burgers laten we dan wereldwijd afspreken ....
Zo werkt het op zo veel vlakken en daarom zijn er ook zo veel misstanden. Handel is handel en de internationale gemeenschap doet weinig in dezen.
Iemand roept eens 'foei' en dat is het dan.
dehardstyler @Terrestrial2 april 2018 09:24
Wat je zegt klinkt heel onlogisch. Alle versleutelde verbindingen moeten eerst worden opgebouwd met een handshake. of het nu openvpn is of SSH of een HTTPS met een website. Dus als jij een SSH verbinding opbouwt heb je exact hetzelfde probleem als bij openvpn. Eerst een SSH verbinding opbouwen lost het probleem dus ook niet op, het voegt alleen een extra laag toe.
Jawel. Dat zegt @Stoney3K toch ook. OpenVPN mag sowieso niet, dus dat wordt direct geblokkeerd. Maar "SSH wordt niet geblokkeerd door de Chinese firewall omdat het te veel legitieme en nuttige toepassingen heeft (ook voor Chinezen)." En zo kun je dus nog OpenVPN sessies gebruiken. Ook OpenVPN Scramble lijkt nog te werken. Over 2 weken kan ik dat zelf gaan testen in ieder geval! :D
Durandal @Stoney3K31 maart 2018 16:06
Wat je dus moet doen is je encryptiesleutels tussen de server en je laptop uitwisselen voordat je naar China gaat, en je handshaking ook encrypted uitvoeren.
Is daar een protocol voor?
Stoney3K
@Durandal31 maart 2018 19:38
Wat je dus moet doen is je encryptiesleutels tussen de server en je laptop uitwisselen voordat je naar China gaat, en je handshaking ook encrypted uitvoeren.
Is daar een protocol voor?
Dat zal dus nog altijd niet (makkelijk) gaan. Al je verbindingen lopen over TCP of UDP, en daar zitten een bepaalde sequentie van pakketjes aan vast voordat een verbinding wordt opgebouwd. En dat staat nog los van welke data er dan over de verbinding wordt verstuurd (vgl.: Wie er opgebeld wordt is compleet onafhankelijk van wat er gezegd wordt.)

Hooguit via UDP kun je álles versleutelen maar dat kan alleen als je het met een pre-shared key verpakt. En omdat het dan versleuteld verkeer is, zal de firewall jouw verkeer geen voorrang geven waardoor verbindingen eigenlijk 9 van de 10 keer op een time-out uitdraaien.
Dorank @Durandal31 maart 2018 22:15
Dit is ongeveer wat de tls-auth optie van OpenVPN doet:
https://community.openvpn...Hardening#Useof--tls-auth
Maar ik neem aan dat het ook makkelijk te herkennen is met DPI
Kain_niaK @Stoney3K1 april 2018 06:06
En DNS en IMCP tunnels? Laten ze die met rust of doen ze daar ook analyse op?
CAPSLOCK2000
@Terrestrial31 maart 2018 14:20
leg dat is uit, want als iets goed versleuteld wordt is het onmogelijk om er kenmerkende karakteristieken uit te halen middels deeppacket inspection dus heuristics zal dan niet werken.
Theorie en praktijk. In theorie heb je helemaal gelijk maar in praktijk niet. Op grond van de hoeveelheid data die verstuurt wordt en de timing daarvan kun je vaak patronen herkennen. Een simpel voorbeeld is een versleutelde verbinding die alleen wordt gebruikt van 8:30 tot 17:00. Op grond van dat patroon kun je al voorspellen dat het om een kantooromgeving gaat ergens in Europa.
Een perfecte beveiliging zou het op een of andere manier uitspreiden of verstoppen, maar in praktijk is het zelden perfect.
.oisyn Moderator Devschuur® @Terrestrial31 maart 2018 11:50
leg dat is uit, want als iets goed versleuteld wordt is het onmogelijk om er kenmerkende karakteristieken uit te halen middels deeppacket inspection
Even los van het verhaaal hierboven over de handshake, je hoeft natuurlijk niet alleen naar de inhoud te kijken. De packet size en de aard van de stroom van de packets zegt ook heel veel over het type verbinding. Zo is https verkeer veelal in korte bursts, terwijl een rdp sessie een veel constanter datastroom geeft.
Terrestrial @.oisyn31 maart 2018 12:07
Dat is niet perse waar, als jij filmpjes via YouTube kijkt is er ook vrijwel continue verkeer, zo zijn er veel voorbeelden te bedenken natuurlijk, stel ze volgen de beursinformatie. Ik zeg niet dat de chinese firewall niet effectief kan zijn maar wat Stoney3K aan argumenten aandraagt klopt simpelweg niet.
.oisyn Moderator Devschuur® @Terrestrial31 maart 2018 12:43
Het heeft niet zoveel nut om nu gaan proberen mijn versimpelde voorbeeld onderuit te halen. Feit blijft dat dit soort metadata weldegelijk bijdraagt aan de herkenbaarheid van de datastroom.
freaky @Terrestrial31 maart 2018 17:49
Google de ECB pinguin maar even.

Dat iets encrypted is wil verre van zeggen dat je er niks aan kunt ontlenen.

Packet rate, packet size, burst omvang en duur en wel meer van dergelijke patronen kunnen redelijk wat inzichtelijk maken. De data zelf niet, maar over het soort verkeer kunnen ze redelijke inschattingen maken. In veel gevallen ws ook een stuk accurater dan je hoopt/wenst/denkt.
lenwar
@Evianon31 maart 2018 09:59
Dit is prima te onderscheiden. De meeste commerciële firewalls zien prima het verschil tussen https ssh en vpn verkeer met behulp van packet inspection.
fastedje @lenwar31 maart 2018 11:56
Openssh laat in plaintext zien dat het een openssh server is met de versie erbij (kan je checken met telnet)

[Reactie gewijzigd door fastedje op 23 juli 2024 09:19]

lenwar
@fastedje31 maart 2018 14:10
Ja, dat laat de serverkant zien. Maar dan ben je natuurlijk al verbonden. Je wil natuurlijk niet eens dat je daadwerkelijk door die firewall gekomen bent. Ik heb zelf nooit inhoudelijk gekeken naar hoe het initiële pakketje er uit ziet. Maar die commerciële firewalls kunnen in elk geval aan filtering doen op laag 7 van het OSI model als het nodig is. ( Application Layer Firewall )
Stoney3K
@lenwar31 maart 2018 16:02
Ja, dat laat de serverkant zien. Maar dan ben je natuurlijk al verbonden. Je wil natuurlijk niet eens dat je daadwerkelijk door die firewall gekomen bent.
Je kan natuurlijk niet zien waarmee verbonden wordt tot de verbinding daadwerkelijk wordt opgebouwd. Achter poort 80 hoeft bijvoorbeeld echt geen webserver te zitten.

Het enige wat je dan zou kunnen doen is alles potdicht gooien en alleen whitelisted verkeer doorlaten, maar dan wordt zelfs naar Chinese maatstaven het internet gewoon onbruikbaar.
lenwar
@Stoney3K31 maart 2018 17:34
Ja, dat is waar :)
Ik zat even in m'n hoofd dat de client tijdens de SYN al een soort header meestuurde, maar later wordt natuurlijk pas duidelijk om wat voor verkeer het gaat.

Wat ze natuurlijk wel kunnen doen is 'al het ssh-verkeer of OpenVPN-verkeer, ongeacht naar welke port naar buiten China' tegenhouden . Dat vereist dan wel dat je dus bij alle niet-Chinese bestemmingen dieper moet gaan graven naar het soort verkeer. Dus wat veel bedrijven al doen, maar dan in het HEUL groot.
Stoney3K
@lenwar31 maart 2018 19:35
Wat ze natuurlijk wel kunnen doen is 'al het ssh-verkeer of OpenVPN-verkeer, ongeacht naar welke port naar buiten China' tegenhouden.
Dat is dan ook wat er gebeurt, als een OpenVPN verbinding wordt gedetecteerd (op basis van patroonherkenning en heuristics) wordt die direct afgekapt.

SSH is wat lastiger omdat dat eigenlijk niet te onderscheiden valt van ander SSL-verkeer. En SSL-verkeer in het algemeen wordt door de grote firewall al geknepen.
mkools24 @Glashelder31 maart 2018 11:31
Ok dan zou je nog een Citrix server kunnen installeren in Europa en dan over poort 443 daarop in kunnen loggen en Chrome starten :)

Gaat heel ver uiteraard maar mogelijkheden zijn er altijd. Wij hebben bijv een chinese vestiging die gebruik maakt van Citrix in Europa, die kunnen in principe dus alles.
Tourmaline @mkools2431 maart 2018 13:08
Yup, je logt gewoon in via een webbrowser die via een receiver een sessie opstart.
Aangezien je dan geen VPN gebruikt zou dat zonder problemen moeten lukken.

[Reactie gewijzigd door Tourmaline op 23 juli 2024 09:19]

stresstak @mkools2431 maart 2018 13:20
Wij hebben bijv een chinese vestiging die gebruik maakt van Citrix in Europa, die kunnen in principe dus alles.
Dat is dus een zakelijke verbinding en dat is wat anders. Het zal hopelijk een door de Chinese overheid goedgekeurde verbinding zijn.
Verwijderd @Glashelder31 maart 2018 09:51
Is dat een feit of speculatie?
pennywiser @Verwijderd31 maart 2018 10:49
Feit, ze checken lengtes van handshakes, pakketgrootte, alles om heuristisch te herkennen wat VPN of ander illegaal verkeer is. Hiervoor zit heel wat overheidspersoneel in China achter de knoppen.
Verwijderd @pennywiser31 maart 2018 12:10
Heb je daar toevallig specifieke artikelen/onderzoek over? Lijkt me interessant om te lezen.
bluegoaindian @Glashelder31 maart 2018 18:20
Dat wordt binnen no-time (+/- 20 min) herkend door de firewall en dan gaat het IP van je VPS op de blocklist.
dat komt door t DNS leak wat je dan creert...
dat doet ziggo overgens ook.
je moet dus wel goed confgureren.
Joecatshoe @mkools2431 maart 2018 14:23
HAH.

Probeer het maar eens als je ooit in China komt. SSH verkeer lukt doorgaans wel, maar is zo traag (throttling) dat je je data beter per postduif kan opsturen. Je moet de GFW niet onderschatten, werkt griezelig goed dat ding.
1F4A9 @Joecatshoe31 maart 2018 19:28
Ik was er anders vorige week nog en SSH, OpenVPN, en IKEv2 gingen allemaal prima, zowel over 4G (SIM op mijn naam) als de thuisverbinding van een local. En ik heb er toch echt een paar gigabyte overheen gegooid in een paar dagen. Maar goed, als ze het toelaten omdat ze detecteren dat ik een buitenlander ben dan zou het inderdaad griezelig goed zijn.
Joecatshoe @1F4A91 april 2018 00:12
Naar een server in Nederland/Europa? Heb je dan iets speciaal gedaan aan je OpenVPN configuratie? Want de handshake van een standaard OVPN connectie is iets dat de GFW tegenwoordig bijna vlekkeloos kan detecteren en het reset de connectie direct waardoor je zelfs niet eens kan verbinden.

SSH heeft bij mij nog nooit snel gewerkt in China en heb dat nu al vanuit bijna het hele land getest.

En als je dan toch eens verbonden geraakt, is de snelheid om te huilen. Dus ik ben wel benieuwd hoe je het klaar hebt gekregen om daar een snelle verbinding met het buitenland op te zetten.
1F4A9 @Joecatshoe1 april 2018 20:11
SSH heb ik niet voor heel veel traffic gebruikt, maat het was snel genoeg om zonder hinderlijke vertragingen een textmode shell te besturen. Met VPN.ac heb ik over IKEv2 met een telefoon gevideobeld, en via OpenVPN torrentjes gedownload.
Lethalis @mkools2431 maart 2018 09:46
Het is lastig tegen te houden, maar of het dan ook meteen mag?

Maar goed, misschien is de crux ook wel het aanbieden van een dergelijke dienst aan anderen.

[Reactie gewijzigd door Lethalis op 23 juli 2024 09:19]

dutchnltweaker 31 maart 2018 09:44
Vraag me af, hoe kan China dit controleren? als ik daar een VPN service gebruik die ik hier heb geïnstalleerd.
Cartman! @dutchnltweaker31 maart 2018 09:47
Je kunt toch gewoon deep packet inspection toepassen en het verkeer detecteren. Je kunt het ook best tunnelen zodat het https-verkeer lijkt maar als dat een constante stroom aan data genereert is dat al snel verdacht.
Verwijderd @Cartman!31 maart 2018 10:15
Al mijn Remote Desktop sessies naar Windows servers lopen via een RDGateway, en dus RDP in een HTTPS tunnel. Conform standaard.
Best een constante stroom. Ook verdacht?
Sissors @Verwijderd31 maart 2018 10:51
Remote Desktop sessie naar buiten China zijn in principe ook gewoon iets wat ze niet willen, want op die manier kom je ook voorbij de firewall. Dus ze zullen het niet heel vervelend vinden als die bijvangst ook geblokkeerd wordt.
Ludwig005 31 maart 2018 10:02
Je kunt natuurlijk ook opera gebruiken en dan de vpn aanzetten. Dit valt moeilijk te controleren. Zullen ze opera browser ook verbieden in China?
Reteip @Ludwig00531 maart 2018 10:06
Verbieden tot nu toe niet, maar blokkeren wel. VPN aanzetten in Opera werkt al niet in China. En zoals ik het lees verbieden ze nu niet zozeer de software, maar het gebruik van een VPN verbinding.
Yarisken 31 maart 2018 10:06
Makkelijkste lijkt me gewoon rdp te doen naar een vps in een ander land.
Er zullen altijd oplossingen mogelijk zijn voor en door creatieve mensen.
Verwijderd 31 maart 2018 10:53
Verkeersgrafiek van onze VPN verbindingen in China maar even bekeken - vooralsnog geen enkele verandering. Mooie stabiele golf tussen de 500 en 600Mbps volgens hetzelfde patroon als elke voorgaande dag.

Maar goed. China verbied zoveel. Meestal worden dit soort dingen alleen tijdelijk gehandhaafd middels een "crack-down" of "offensief" tijdens het wisselen van de wacht (nieuwe minister/burgemeester/politiechef) en daarna is het weer jaren stil.
Verwijderd 31 maart 2018 13:18
Ik kan ook geen chinese websites meer bezoeken (vanuit Nederland). Op zich is dit een logisch gevolg, maar ik wilde het nog wel expliciet noemen.
Goodbye @Verwijderd31 maart 2018 18:09
qq en weibo doen het op dit moment wel vanuit Nederland. Welke websites deden het vanmiddag niet?
Glashelder 31 maart 2018 09:44
Moest een reactie zijn op mkools24.. :+

[Reactie gewijzigd door Glashelder op 22 juli 2024 15:01]

CH4OS @Glashelder31 maart 2018 09:49
Een SSH-tunnel is strict gezien geen VPN-tunnel, dus vraag mij af in hoeverre die firewall dat blokkeert.
Stoney3K
@CH4OS31 maart 2018 10:30
Ik geloof ook dat dat verbod (vooralsnog) alleen geldt voor Chinezen en niet voor expats die in China zijn om hun werk te doen. Wordt ook lastig om zo iemand terug te vinden.
CH4OS @Stoney3K31 maart 2018 10:47
Niet om te trollen, ik weet het daadwerkelijk niet, maar hoe moet The Great Firewall dan weten of je een Chinese inwoner of Expat bent? Ben zelf nooit in China geweest, dus ik zou niet weten hoe of wat verder.

En ethisch gezien; waarom zou de firewall daarin onderscheid gaan maken?

[Reactie gewijzigd door CH4OS op 23 juli 2024 09:19]

Kenzi
@Stoney3K31 maart 2018 11:03
Aangezien je voor vrijwel iedere internet connectie (4G, breedband thuis, hotel etc) je moet registeren met tenminste je telefoon nummer of Wechat is het redelijk makkelijk voor de overheid te achterhalen.

De wet is ook niet op de eindgebruiker getarget maar op de facilitator, de ExpressVPN, Astrill etc. Dus of het een Chinees of expat is maakt weinig uit.
Verwijderd @Stoney3K31 maart 2018 11:23
Ook expats krijgen ermee te maken, al speelt geld wel een hele hele hele grote rol in China in de mate hoe jij wordt aangepakt.
evb60 @CH4OS31 maart 2018 10:31
Volgens eigen ervaring met allerlei methodes (SSH tunnel opzetten naar VPS, RDP sessies naar VPS server, ...), van zodra er een constante datastroom is naar een poort, voeren ze deep packet inspection uit en blokkeren ze je verkeer. Het is zeer moeilijk om data encrypted uit china te krijgen of in china te krijgen.

Het lijkt erop dat ze een slimme zelf-lerende firewall hebben staan.
FrankHe @evb6031 maart 2018 10:37
En ze hebben waarschijnlijk genoeg operators achter schermen zitten die handmatig acties uitvoeren.
Verwijderd @zx9r_mario31 maart 2018 10:44
De Loempia firewall draait in Vietnam, niet China..
Nokian95dude 31 maart 2018 10:46
En denk je nou echt dat ze dat kunnen voorkomen? Forget it.
bytemaster460 31 maart 2018 11:09
Nu is het China, over een paar jaar zijn wij ook aan de beurt onder het mom van veiligheid. De verruimde bevoegdheden voor veiligheidsdiensten gaan ervoor zorgen dat het internetverkeer nog meer en beter versleuteld wordt. XS4All heeft al aangegeven VPNdiensten te gaan aanbieden. De volgende stap is dan het reguleren van vpn-diensten omdat de veiligheidsdiensten anders hun werk niet meer kunnen doen.
Annihilism @bytemaster46031 maart 2018 14:15
Je wordt als 0 gemod maar Nederland gaat wel degelijk die kant op. Misschien niet binnen 5 of 10 jaar maar als we niet uitkijken en zomaar alles goed vinden (ik schrok van hoeveel mensen vóór de sleepwet waren) dan gaan ze hier ook doodleuk VPN's blokkeren.

Is het niet copyright waakhonden dan is het wel weer de een andere lobbygroep die de één van de magische woorden roept om iets er door te drukken.
bytemaster460 @Annihilism31 maart 2018 16:39
Als je ten tijde van de DDR had beweerd dat 30 jaar later in Nederland een wet aangenomen zou worden die het mogelijk maakt om onverdachte mensen af te luisteren, zou je ook voor aluhoedje versleten zijn geworden.
GekkePrutser @bytemaster46031 maart 2018 15:44
Ja, en daarbij ook nog die geplande EU verplichting aan website/forum providers om alles wat geupload wordt te checken op copyrights. Waardoor heel veel geblockt zal worden, want de meeste sites zullen natuurlijk helemaal geen tijd hebben om alles te controleren (en dat is momenteel ook helemaal niet toegestaan) dus gaan gewoon heel rigoureus blocken. Of ze gaan het uitbesteden aan 1 of 2 grote partijen met enorme blacklist databases die daarmee ook een hele grote macht krijgen over de aangeboden content.

Dus hier zijn er plannen in dezelfde richting (grootschalige censuur), alleen bij ons niet in de vorm van een firewall maar meer op de inhoud.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 09:19]

iew @bytemaster46031 maart 2018 19:00
Precies, helaas zijn er nog veel te veel naieve goedgelovige mensen die denken dat dit niet zo'n vaart zal lopen.
Helaas raken we in alle opzichten steeds meer vrijheid en privacy kwijt.
Een van de laatste stappen zal zijn om cash geld te verbieden, zelfs nu al wanneer je jaren in een ouwe sok hebt gespaard van je netjes verdiende loon ipv het op een bank te (sparen) doen word dit bij ontdekking aangemerkt/gezien als zwart geld.

Je moet tegenwoordig ook al je woorden al op een gouden schaaltje wegen, want voordat je het weet wordt je voor van alles uitgemaakt.
Ik ben van mening dat mensen in de jaren 80 veel meer vrijheid hadden en genoten dan nu, en dat word alleen maar minder.

Ik zeg wel eens "trek de stekker wereldwijd maar uit dat internet" hahah maar dan krijg ik gelijk ik weet niet hoeveel mensen over mij heen met "kan niet ! zijn we veel te afhankelijk van" om het maar even kort te verwoorden.

Ja en dat is nu juist de crux...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq