유머천국 코하비닷컴
https://cohabe.com/sisa/785152

사회http 차단과 https 차단(SNI 차단) 방식의 예

https 차단중에 DNS 루트 차단은 현재 warring 과 별로 차이 없습니다.


이거도 이거 나름의 문제지만 현 적용 방식하고 크게 차이 없다고 보면 되지만.


SNI 차단은 문제가 됩니다.


--------------------------------------------------------------------------


 http 차단은 편지봉투의 주소지 보고 차단 하는 방식이고


https 차단 중 SNI 차단은 봉투 속의 "누구누구께" 이걸 보고 차단 하는 방식 입니다.

(규약상 첫 부분에 "누구누구께" 가 들어간다고 보면 됩니다.)


(https의 편지는 "누구께"+암호화된 본문 으로 되있다고 보시면 됩니다.)



---------------------------------------------------------------------


SNI차단과 감청의 차이점


SNI 차단은 "누구누구께" 까지만 읽는거고


감청은 "누구누구께" 다음부분도 쭉 읽는거임.

(복호화는 다른 문제)



댓글
  • Rookas 2018/10/19 09:30

    비유 적절

    (2kGunJ)

  • 가재는개편 2018/10/19 09:30

    요약 간단하고 좋네요

    (2kGunJ)

  • tichi 2018/10/19 09:31

    좋은 요약..

    (2kGunJ)

  • 초인준 2018/10/19 09:31

    추천드림

    (2kGunJ)

  • earnhart 2018/10/19 09:32

    보안잘알이시네요

    (2kGunJ)

  • 하네다키썸 2018/10/19 09:32

    간단하게 잘 요약하셨네요,

    (2kGunJ)

  • Meme 2018/10/19 09:33

    감청은 지금도 불법이니까 못하는거지 할수 있죠. 근데 저렇게 바뀐다고 감청이 합법이 됩니까?
    누구누구께 말고 다른거 보는거 여전히 불법이면 지금과 전혀 다를바가 없죠.

    (2kGunJ)

  • 힐리즘 2018/10/19 09:34

    제가 이해가 잘 안가서 그러는데요
    누구누구께 이건 편지 봉투의 수신인만 봐도 알수 있는거 아니에요?
    아예 편지자체를 뜯어서 보는방식이 sni 차단 아닌가요

    (2kGunJ)

  • 소고기덮밥 2018/10/19 09:34

    추천합니다.

    (2kGunJ)

  • NerdPower 2018/10/19 09:39

    암호키를 보면 뭐하나요, 해독키를 사이트가 가지고 있는데요. 감청못합니다

    (2kGunJ)

  • 73LG팬 2018/10/19 09:41

    ㄴ편지를 보지 않고 이 편지가 금지사이트로 가는지 아닌지를 판단할 수 있나보네요 ㅋ

    (2kGunJ)

  • NerdPower 2018/10/19 09:45

    보통 rsa 방식을 많이 사용하고 복호화키를 서버가 가지고ㅜ있기에 패킷을 감청하든 말든 볼수 있는 공개키가지고는 아무 쓸모도ㅜ없습니다. 그렇게 쉽게 복호화시키면 지금 암호체계 자체가 무쓸모입니다

    (2kGunJ)

  • 불꽃남자11 2018/10/19 09:54

    애초에 본문 글같은 방법으로 되면 ssl 접속 자체가 아무런 의미가 없습니다. 이미 로그인 회원가입등의 개인정보 보안이 필요한 url의 암호화가 무용 지물이라는건데 베리사인이나 코모도 같은 인증서 발급 회사들 몽땅 소송 가야죠

    (2kGunJ)

  • DoFlamingo 2018/10/19 10:02

    요약 잘하셨네요.

    (2kGunJ)

  • BirdSilver 2018/10/19 10:27

    NerdPower, 불꽃남자11//제가 무지했습니다.
    본문 수정했습니다.

    (2kGunJ)

  • 지리즈 2018/10/19 21:19

    이런 식으로 하면 http도 봉투속을 보는 셈이지요.
    어플리케이션 레이어 단에서 필터를 거는 거니까...
    패킷단에 암호화되지 않은 부분 가지고 필터 거는건 http/https와 100% 동일합니다.
    둘다 봉투겉만 보는 거던가 아니면 둘다 아니던가 그렇게 하셔야 할듯.

    (2kGunJ)

  • 지리즈 2018/10/19 21:32

    얘네들이 초당 수백,수천만 패킷왔다갔다하는데
    이걸 지연없이 처리하기가 어려워서 개발이 애로가 있는거지
    원리 자체는 엄청 간단하고... 크지않은 네트워크 관리하는 수준이면
    일반 네트워크 관리자면 다 하는 내용입니다.
    http나 https나 특정패킷에 특정위치에 특정내용이 있는지 검사하고
    그걸로 통과시킬건지 reject시킬건지 하는 것뿐이고 원리는 둘다 100% 동일해요.
    https 프로토콜 차단한다고 뭐 대단한 것 있는 것 아닙니다.

    (2kGunJ)

  • 73LG팬 2018/10/20 00:27

    [https 프로토콜 차단한다고 뭐 대단한 것 있는 것 아닙니다.]
    특정패킷에 특정위치에 특정내용이 있는지 검사하는게 특별한 게 아니라고 보는게,
    딱 노예, 개도야지 수준을 그대로 보여준다니까요.
    헌법 13조에 명시된 통신의 자유,
    통신비밀보호법 2조 전기통신 감청은 법률에 정의된 특별한 경우 제외하고 불가
    이거 다 일개 장관의 부서가 씹고 있는데 별 다른게 없답니다 ㄲㄲ

    (2kGunJ)

  • 지리즈 2018/10/20 00:48

    73LG팬//
    [https 프로토콜 차단한다고 뭐 대단한 것 있는 것 아닙니다.]
    이 뜻은 https프로토콜차단이 http 차단에 비해 대단한 기술이 필요한 건 아니라는 의미입니다.
    그리고 어제 말씀나누고 곰곰히 생각해 봤는데요.
    법률적으로 문제가 없다고 개인적으로 보네요.
    패킷의 공개된 내용가지고 필터링하는건 IDC,ISP부터 일반 서버/네트워크 관리자들이면 누구나 하는 거구요. 이걸 안하면 말그대로 인터넷이 마비됩니다.
    그리고 정부가 직접 패킷을 필터링하는 것도 아니에요.
    정부는 ISP에게 필터링할 걸 요구하고 실제 필터링을 하는건 ISP가 합니다.
    그리고 ISP는 패킷을 필터링하는 건 형사상 문제가 없습니다.(민사는 예외)
    그리고 인터넷에 암호화되지 않은 내용은 편지봉투나 엽서 외부에 적혀 있는 주소나 기타정보랑 하등 차이가 없습니다. 우체국이나 택배 근무자는 이 주소를 봐야 배달할 수 있고 배달외에 요구사항이 적혀있는 내용을 읽었다고 해서 이게 법률적으로 문제가 생기지 않습니다.
    게다가 정부가 특정한 이유를 들어서 법령등으로 특정 주소로는 배달하지 말걸 요구할 수 있다고 봅니다.
    구제역지역에서 출발하는 배송물은 일단 배달하지 마라라던가
    국내에서 북한으로 배송하는 물건을 배달하지 말라던가..
    물론 이 배송물의 내용을 열어볼려면 영장이 필요하지만,
    배송물 외부에 적혀있는 주소외의 정보등을 바탕으로 배송을 하지 않는 행위는 제가 볼때는 법적으로 아무 문제가 없다고 봅니다.

    (2kGunJ)

  • 73LG팬 2018/10/20 01:45

    통신비밀보호법
    제2조(정의)
    3. "전기통신"이라 함은 전화전자우편회원제정보서비스모사전송무선호출 등과 같이 유선무선광선 및 기타의 전자적 방식에 의하여 모든 종류의 음향문언부호 또는 영상을 송신하거나 수신하는 것을 말한다.
    7. "감청"이라 함은 전기통신에 대하여 당사자의 동의없이 전자장치기계장치등을 사용하여 통신의 음향문언부호영상을 청취공독하여 그 내용을 지득 또는 채록하거나 전기통신의 송수신을 방해하는 것을 말한다.
    ------
    눼에? 암호화되지 않은 내용은 감청이 된다구요? 눼?

    (2kGunJ)

  • 73LG팬 2018/10/20 01:47

    [리플수정]url 정보가 [전자적 방식에 의하여 모든 종류의 음향문언부호]에 포함이 안된다구요? 눼?
    아, 그러니까 지리즈 님은 프로토스셔서 칼라로 인프라 담당자에게 무슨 포트 열어달라고 말씀하시나 봅니다.
    저는,그리고 대다수의 테란들은 그냥 전자적 방식에 의한 문헌/부호 전송으로 인터넷 하거든요.ㄲㄲ
    암호화되든 안되든 [보는] 거 자체가 금지에요 이 사람아.

    (2kGunJ)

  • 73LG팬 2018/10/20 01:49

    통신비밀보호법 제8조(긴급통신제한조치)
    ①검사, 사법경찰관 또는 정보수사기관의 장은 국가안보를 위협하는 음모행위, 직접적인 사망이나 심각한 상해의 위험을 야기할 수 있는 범죄 또는 조직범죄등 중대한 범죄의 계획이나 실행 등 긴박한 상황에 있고 제5조제1항 또는 제7조제1항제1호의 규정에 의한 요건을 구비한 자에 대하여 제6조 또는 제7조제1항 및 제3항의 규정에 의한 절차를 거칠 수 없는 긴급한 사유가 있는 때에는 법원의 허가없이 통신제한조치를 할 수 있다.
    이야, 밤토끼나 얏홍 사이트가 국가안보를 위협하는 음모행위, 직접적인 사망이나 심각한 상해의 위험을 야기할 수 있는 범죄였군요 ㄷㄷㄷ

    (2kGunJ)

  • 지리즈 2018/10/20 07:16

    73LG팬//
    통신비밀보호법은 프라이버시에 관련된 법이에요.
    법적으로는 프라이버시는 그 파라이버시를 지키기 위해 최소한의 노력을 했을 때 인정받을 수 있습니다.
    이를테면 공개된 장소에서 두 사람이 범죄를 모의하는 것을 지나가던 경찰이 우연히 들었을 때 영장이 비록 없더라도 이를 법정에서 증거로 사용할 수 있습니다. 왜냐하면 공개된 장소에서는 프라이버시를 기대할 수 없기 때문입니다.
    인터넷은 애초에 개발되었을 때 프라이버시를 고려하지 않고 개발된 개방형 통신이었습니다. 따라서 별도의 암호화된 프로토콜을 사용하지 않고서는 애초부터 프라이버시는 기대할 없는 방식입니다. 즉 암호화된 부분은 통신보호법을 적용할 수 있어도 암호화되지 않은 부분에 대해서는 적용할 수 없다고 봅니다.
    나아가 인터넷을 데이터를 전송하는데 있어서 필요한 필수적인 정보(도착지,출발지,프로토콜종류등등)는 반드시 공개되어 있어야만 합니다. (이는 암호화된 프로토콜, https, ipsec, ssh 등등도 마찬가지) 이런 내용이 없으면 인터넷 서비스업체들이 데이터를 전송할 수 있는 방법이 없기 때문입니다.
    패킷필터링은 프라이버시를 적용할 수 없는 이러한 공개된 부분에서 이루어지기 때문에 제가 볼 때는 통신비밀보호법 대상이 될 수 없다고 보입니다.

    (2kGunJ)

  • 지리즈 2018/10/20 07:25

    73LG팬//
    결론적으로 말하면 통신비밀보호법을 법조문 그대로 인터넷에 적용한다면, 인터넷기업들은 모두 범죄를 저지르지 않고서는 서비스를 제공할 수 없게 됩니다

    (2kGunJ)

  • 73LG팬 2018/10/20 08:08

    제4조(불법검열에 의한 우편물의 내용과 불법감청에 의한 전기통신내용의 증거사용 금지) 제3조의 규정에 위반하여, 불법검열에 의하여 취득한 우편물이나 그 내용 및 불법감청에 의하여 지득 또는 채록된 전기통신의 내용은 재판 또는 징계절차에서 증거로 사용할 수 없다.

    (2kGunJ)

  • 73LG팬 2018/10/20 08:10

    7. "감청"이라 함은 전기통신에 대하여 당사자의 동의없이 전자장치기계장치등을 사용하여 통신의 음향문언부호영상을 청취공독하여 그 내용을 지득 또는 채록하거나 전기통신의 송수신을 방해하는 것을 말한다.
    전 통신의 제 3자인 문재인씨나 도종환이 내 url접속기록 보라고 동의한 적 없는데요? ISP는 통신의 당사자니까 당연 동의되는 거고요

    (2kGunJ)

  • 지리즈 2018/10/20 08:31

    73LG팬//
    문제는 KT같은 ISP에게 가입할 때 약정을 보면 동의를 했을 겁니다.
    그리고 차단은 정부가 하는게 아니라 ISP가 하구요.

    (2kGunJ)

  • 지리즈 2018/10/20 08:35

    73LG팬// 그래서 차단되는 걸 보면 모든 통신사가 동시에 차단되지 않습니다.
    어떤 통신사는 빠르게 되고 어디는 느리게 되고,
    그 한통신사 내에서도 장비가 어디에 물리냐 따라 차단되었다가 안되었다가 합니다.

    (2kGunJ)

  • 물고기버거 2018/10/20 08:50

    https 프로토콜을 사용하는 이상 sni 인증서는 그냥 공개된 정보가 아니라 감추려 했으나 기술상의 한계로 감추지 못한 정보로 봐야 하는 거 아닌가요? 최근에야 SNI 인증서도 암호화 할 수 있게 된 걸 보면 그렇게 생각하는 게 타당할 것 같은데요

    (2kGunJ)

  • 지리즈 2018/10/20 09:06

    물고기버거//
    SNI에 들어 있는 정보가 이미 DNS를 통해서 조회한 정보라던가 IP해더의 내용등등으로 유추가 가능했기 때문에 암호화할 필요가 없어서 안한거구요. 기술적인 한계때문은 아닙니다.
    최근에 들어서 SNI 암호화하게 된건 CDN이니 뭐니가 생기면서 반드시 이러한 정보들이 SNI와 일치하지 않는 경우가 생길 수 있어서 입니다.
    한때 IT물 먹었던 개인적인 생각에서 보면 암호화를 안한 건 그냥 보안을 포기한 거라고 보는게 맞지 않을까 싶네요.
    공격들어오는 면 온갖 편법을 동원해서 막아야 하는 경우가 생기는데, 이런 식으로 유권해석을 해버리면 일하기가 무서워 지죠 ㅎㅎ 엄밀히 말하면 사실 어플리케이션 레이어 단만 해도 암호화가 안되어 있다라도 편지내용에 해당하는 부분이거든요. 근데, 이 레이어서도 필터링 거는 경우가 많기 때문에 만약에 이런식으로 확대해석해버리면 실무자들은 다 사표써야 할지도 모릅니다. ㅎㅎ

    (2kGunJ)

  • 물고기버거 2018/10/20 09:11

    지리즈// 사용자랑 서버간 통신은 다 보안인데 인증서만 암호화를 안하는 게
    보안을 포기한거라고 생각하는 건 기술자들 생각이고요
    일반 대중 시각에선 당연히 보안상태인 건 줄 아는데도 보안이 안된건데요?

    (2kGunJ)

  • 지리즈 2018/10/20 09:27

    물고기버거//인증서가 암호화가 안된 건 아니고, 인증서가 발급된 서버이름 정보가 암호화가 안 된겁니다.
    https같은 경우는 통신하는 대상이 실제 통신하는 대상인지 여부도 확인하는데 SNI 로 이를 확인합니다.
    근데 이게 보통 DNS 정보와 일치합니다. 즉, DNS를 조회하면서 이미 외부에 노출된 정보이기 때문에 SNI자체를 굳이 암화할 필요가 없었죠. 최근에는 Encrypt DNS 및 CDN때문에 이게 다를 수도 있게 된 거라 암호화를 옵션으로 넣어둔거구요.
    일단 말씀하신 내용이 실무자들 입장에서는 어떤식으로 들리냐면 엽서를 배달하는 배달부가 주소말고 엽서에 있는 그림을 보았다고 이걸 법으로 처벌해야 한다라는 식으로 들립니다. 무섭죠.
    이런 법이 정부에게만 적용되는 건 아니니까요.

    (2kGunJ)

  • 지리즈 2018/10/20 09:30

    물고기버거//네트워크 분석할려고 wireshark같은 패킷 분석기 돌리면 그냥 눈앞에서 줄줄 뜨는데, 이거 보면 불법이 되거든요. 안되요.
    절대 안됩니다. ㅎㅎㅎ

    (2kGunJ)

  • 물고기버거 2018/10/20 09:44

    [리플수정]지리즈// 그러니까 인증서에 있는 도메인조차 암호화 됐을거라고 생각한다구요
    관련 분야 종사가 아닌 이상 누가 그것만 암호화 안됐을 거라고 생각하죠?
    자꾸 당연히 공개된 정보라고 생각하시는데
    일반 대중에겐 공개하고 싶지 않고 당연히 암호화 됐을 거라고 생각하는 정보라니까요?
    그리고 그걸 보는 사람을 처벌하라는 게 주된 의견들도 아니고
    정부가 그걸 의도성을 가지고 보려고 하는게 기분나쁜 행위니까
    다른 방법을 강구 하라고 하는데 무슨 실무자들 처벌 얘기가 나오나요?

    (2kGunJ)

  • 지리즈 2018/10/20 09:52

    물고기버거//제가 지속해서 말씀드리는 건 이런 유권해석이 정부에게만 적용되는게 아니라는 겁니다.
    그리고 대중이 기대하는 것과 실제가 다르다고 해서 실제가 바뀌는 것도 아니구요.
    편지 배달과정에서 프라이버시에 대한 보장을 대중이 기대했다고 해서
    엽서의 적혀져 있는 내용도 보호받기를 원하는 꼴이라는 거죠. 실제로 불가능한건데...

    (2kGunJ)

  • 물고기버거 2018/10/20 10:04

    지리즈// 계속 평행선을 긋고 계신 것 같은데
    실제로 비밀로 할 수 있느냐 없느냐를 떠나서
    그 주도가 정부라면 사인이 비밀로 하려는 의도가 이미 있으니
    비밀로 하려 했던 내용을 보는 걸 토대로 하는 방법말고 다른 방법을 강구하라는 거라구요

    (2kGunJ)

  • 지리즈 2018/10/20 10:04

    물고기버거// 게다가 HTTPS에서 SNI만 암화가 안된것도 아니에요.
    IP Header/TCP Header도 암화화가 안되어 있어요. 이거 모르면 패킷전송을 못해요.
    근데 HTTPS가 암화를 기대한고 해서 이런것도 이용하면 안된다 그러면 HTTPS는 ISP가 금지시켜야 합니다. 공개된 정보를 이용해야 하는데 이게 기밀 정보로서 간주되니까 이걸 이용하는 행위자체가 불법이 되니까요.

    (2kGunJ)

  • 지리즈 2018/10/20 10:05

    물고기버거//법은 명확해야 한다고 봐요.
    암화화되어 있는 건 보호받을 수 있는 거고,
    안되어 있으면 못 받는 거구요.

    (2kGunJ)

  • 지리즈 2018/10/20 10:07

    물고기버거// 게다가 암호화가 안된 SNI를 이용하는 구장비들도 다 불법이 됩니다. 말도 안되요.

    (2kGunJ)

  • 지리즈 2018/10/20 10:09

    그리고 위에도 적었지만, 이러한 정보들은 정부가 보는게 아닙니다. ISP가 보는 거구요.
    ISP하고 계약할 때 이런 정보를 ISP가 이용할 수 있다고 약정에 싸인하고 이용하고 계시는 거에요.

    (2kGunJ)

  • 물고기버거 2018/10/20 10:15

    지리즈// 정부가 주도로 하는 건데 정부가 보는게 아니라고 하는 건 말장난 이시죠?
    정부가 주도하고 지시하는 거니 공무수탁사인이 되는 건데
    ISP가 이용하는 거에 동의했다고 해서 공무에도 동의 한건 아닌데요?
    사인들이 보험사 약관에 사인했다고 해서 경찰이 영장없이 보험사한테 아무 정보나 달라고 못해요

    (2kGunJ)

  • 지리즈 2018/10/20 10:19

    물고기버거//정부가 ISP보고 차단하라고 해서 ISP가 차단하는 거에요.
    정부는 일일이 어떤 내용이 오고 가는지 몰라요. 그렇게해서 위법을 빠져나가는 겁니다.
    위에 구제역 예를 들었는데 택배회사에게 어느지역에서 발송된 운송물은 구제역 방제를 위해서 배송하지 말라고 지시내리는 것과 100%로 같습니다.
    정부는 누가 택배를 어디로 보내는지 몰라도 되요.알필요도 없구요.

    (2kGunJ)

  • 물고기버거 2018/10/20 10:26

    지리즈// 구제역 도는 곳에 택배 금지시키는 행정상 즉시 강제는 지극히 예외적이고 일시적인거라 항구적일지 모를 이건 하곤 다르죠
    정부가 주도하여 사인이 비밀로 하려고 하는 정보에 대해 임의적 수단으로 통제하려하지 말고 다른 수단을 강구하라는 게 주된 요구라고 몇번이나 말하고 있는데 자꾸 실무도 불법이 된다고 하시니 이쯤 되면 그냥 전 두 손 들겠습니다

    (2kGunJ)

  • 지리즈 2018/10/20 10:28

    지리즈// 사인이 비밀로 하려고 했다고 해서 그게 비밀이 되는 건 아니라는 거죠. 여기서 이견이 있는 겁니다.
    내가 비밀로 어떤사람에게 우편으로 보내는데 그걸 엽서로 보내면서 비밀을 기대해서는 안된다는 겁니다.

    (2kGunJ)

  • 73LG팬 2018/10/20 17:23

    계속 박주민식 말장난하는거라니까요
    호스트와 서버 간의 통신내용을
    제 3자, 특히 국가가 볼 수 있는 경우는 법률로 지정된 경우에 한해 감청영장 받는 방법 외에는 없는데 이걸 공ㅡ사 관계가 아니라 사ㅡ사 관계로 호도해서 봐도 된다,암호화 안됬으니 보안 포기한거다 이딴 말장난으로 넘어가려 하죠

    (2kGunJ)

(2kGunJ)