Pa posto se skype tunelije kroz port 80 ;) morali bi da blokiraju internet u potpunosti. Mada njima to ne verujem da je problem, DENY ALL, ALLOW SOME filter to resava za njih :) problem je prisluskivati, blokirati se moze vec nekako u zemlji u kojoj sve prolazi kroz jedan firewall :)

Napravice Skype posebnu verziju za Kinu, gde se koristi samo jedan
jedini naznaceni port, i gde sve ide preko jednog, pazljivo izabranog
kineskog proksija, sa algoritmom enkripcije koji odrede Kinezi :)

Algoritam enkripcije (f(x)=x) će biti čak vrlo brz.

Pa to ce biti provaljeno vrlo brzo onda - posto je Skype P2P VoIP protokol i poznati su codeci koje koristi, ljudi koji komuniciraju sa tako oslabljenim klijentima i koji imaju Wireshark ce skuziti da je veza bez enkripcije.

Cim se to rascuje, a takve stvari se sire brzinom munje, svi moskriji koji koriste Skype radi zaobilazenja drzavnog prisluskivanja ce preci na nesto drugo.

U svakom slucaju, kome je bas stalo do sigurnosti svoje komunikacije svakako ni sada ne koristi proprietary protokol van njegove kontrole kao sto je Skype .

Pa to. Skajp je poslednji na umu kada nekom treba bezbedno poslati poruku :)

Mislim da je ovde ipak samo profit u pitanju. Ko hoće enkripciju ima milion drugih, pouzdanijih načina.
A veći profit se naravno sliva u PBC, pa se te pare dalje daju čuvenom dvojcu kroz neverovatno povoljne kredite. Pomenuti krediti naravno daju H & Z neverovatnu prednost nad ostalim konkurentima, tako da H & Z dominiraju tržištem TK opreme. Sa povoljnim cenama, tako da ih svi leminzi uzimaju.
I onda imamo lepu šemu:
veće cene u Kini > veća zarada u lokalu > bolji PBC krediti > poslovi van Kine za kineske firme > crkla konkurencija > više cene kineksih proizvoda > profit napolju > niže cene u Kini
Ne bih se preterano brinuo oko ovoga, imaju oni plan za narednih 10 i više godina. Na zapadu ne postoji plan koji ide dalje od 4 godine unapred.

to nije tacno, noviji ruteri imaju mogucnost layer7 markiranja saobracaja koja omogucuje razlikovanja paketa iako im je dst-port isti, layer7 trazi odredjene paterne u paketima i tako uspesno razdvaja razlicite pakete, na taj nacin uopste nije tesko markirati i drop-ovati skype traffic

... I am Locutus of Borg, guslac... Resistance is futile...
> isti, layer7 trazi odredjene paterne u paketima i tako uspesno
> razdvaja razlicite pakete, na taj nacin uopste nije tesko markirati i
> drop-ovati skype traffic

Istina, ali je uvek tu neki vpn servis za n dolara mesečno i
rešen problem.


... Isterujući stvari na čistinu našao se na poljani.

Ne mozes raditi L7 analizu encrypted streama, ima koji su i probali (zbog blokade p2p) pa od toga nije bilo nista. Kad pogledas enc stream ako nemas kljuc za tebe je to samo random sum. Ono sto mozes da uradis na L7 je da blokiras sve ono sto ne razumes i sto ne odgovara nekoj normi (npr binarni stream na portu 80 verovatno nije http), ali i ta zastita je smesna, radio sam bas proof of concept za zaobilazenje L7 blokadi na firewallu kod korporativnog klijenta.

Svodi se na slanje uncompressed bmpova preko http protokola. Uzme se enc stream koji hoces da saljes/primas, progalsis ga za raw data BMP slike, wrappujes ga u BMP fajl (dodas odgovarajuci header), onda kreiras HTTP request koji klijent postuje taj BMP a server vraca dva HTTP response-a, prvi ima html sa lokalnim relativnim IMG tagom ili vise njih, drugi je odziv na te urlove koji je u stvari BMP sa odgovorom. Ima dosta overhead-a ali gzip sve to zaleci lepo. Sa stanovista L7 firewalla ovo je potpuno legitiman saobracaj jer L7 ne moze da proglasi BMP za "neispravan" ili "nerazumljiv" jer ti je potreban AI da kaze "pa ovo nije slika". Ako blokiraju bmp, tu je tiff, ako blokiraju tiff tu je jpg, da bi sprecio ovo bukvalno moras da zabranis sve contente koji nisu text/* a onda ti moderan komp ni ne treba, mozes da surfas kroz Lynx
Naravno, ovo radi samo u ALLOW ALL, DENY SOME scenarijima kao sto su korporativna okruzenja, gde ti mozes da posaljes http paket na neku IP adresu koja nije zabranjena. Ako imas DENY ALL, ALLOW SOME kao sto imaju kinezi onda ti je po defaultu blokiran port 80 na sve sto nije dozvoljeno i onda ti L7 ni ne treba

@bachi, pa pazi, da si kinez u kini i da koristis VPN, prvo skupo je drugo malo njima treba da te pretresu do gaca da priznas i sta si pricao i sta nisi

... I am Locutus of Borg, mmix... Resistance is futile...

> Ne mozes raditi L7 analizu encrypted streama, ima koji su i probali
> (zbog blokade p2p) pa od toga nije bilo nista.

Čekaj, ali mislim da kinezi imaju neki specijalni Skype -
http://goo.gl/c3BLB koji već ima neke filtere za textualne poruke,
verovatno mogu i glas da prisluškuju, a ako to mogu, onda mogu i da ga
provlače kroz L7 firewall?



... * Obecavamo i nemoguce. Vazno je da nam narod veruje.

Ne pricamo o skypu per-se, vise o slabostima L7 firewalla. Ima mnogo buke oko toga i mnogo busanja u grudi zarad prikupljanja venture kapitala, ali u osnovi ako hoces mozes ga zaobici uzduz i popreko.

@marko37,

Nisam bas siguran u to zbog sledecih stvari:

- Kinezi nisu zabranili sav VoIP, vec samo Skype --> kineske sw. alternative su OK (kao bilo sta drugo sto nije Skype), i Kinezi ih rabe u zdravlju i veselju

Pretpostavljam da su kineske alternative podjednako besplatne za pozive koji se ne terminisu u POTS sistemu, i predstavljaju podjednak gubitak sa stanovista kineskog Telco-a tj. ne pretvaraju se u povecan prihod za nekog, pa da mu se dize kreditni rejting.

Problem nekontrolisane enkripcije je verovatniji. IMHO, nisu tu u pitanju nekakvi high-profile kriminalci koji vrlo verovatno odavno koriste sopstvenu enkripciju, vec "the narod"... bezbedonosne strukture smatraju da svasta mogu da saznaju uz pomoc mogucnosti prisluskivanja javnih veza (sto vrlo verovatno jeste tacno, cak i ako izuzmemo pametne/high-profile moskrije)

Nisu Kinezi tu jedini - UK, recimo, i dalje nije odustala od ideje mega-prisluskivanja (long-term arhiviranja IP saobracaja) iako se moze primeniti isti rezon da high-profile krimosi verovatno koriste VPN/stagod... bice da i pored takvih ima jos dosta toga sto se moze saznati :)

Prosto ne mogu da verujem da se nešto zabranjuje tek tako, diskriminatorski, bez pravnog osnova. E, ne može skype, a ostali koji rade to isto mogu. Druga bi stvar bila da skype krši neki od kineskih zakona, pa da se reguliše njegov rad u Kini dovođenjem u pravne okvire.

negde sam procitao da ima 500miliona korisnika skype-a
verovatno je 400mil iz Kine.

@Nedeljko, pa zakon je najmanji problem - siguran sam da Kina ima prilicno siroka ovlascenja za svoja ministarstva, a kako je sve regulisano na nivou KP, nema nikakvih problema ni sa sprovodjenjem takvih odluka.

Kriminalci su znali vec pre ~100g da komuniciraju bezbedno... jos za vreme telegrafa. A i u svim klasicnim mafijskim filmovima razgovori uvek idu:
"dve majice, 7 pantalona... kod Marije.. za vreme Golfa"
Ako su koliko-toliko sposobni (znaci da niko ne pita da li mu treba i municija za majice), onda prolaze bez problema :)

E sada.. obican narod, gde svako nesto zna o komsiji, i neko ko ima arhivu svega toga, pa kad neko zasmeta, da imaju u arhiva dosta, da ga zavore za nekih <n> godina, zbog kradje kokosaka, ili preprodaje alkohola maloletnicima,... to koristi drzavi :)

ovo nije nista cudno za zemlju kao Kina , jer je ogromna , a zbog strane kompanije(skype) trpe njihove domace kompanije.


Nije Kina jedina ,Srbija je vecim delom 'osakacena' za usluge skype-a iako nije blokiran a to je zato sto nema flat rate na pozive unutar Srbije, i sto nema flat rate data plana za internet kao druge zemlje.


pitanje je da li skype nije hteo da saradjuje sa Srbijom , ili jednostavno operatori i drzava nije pristala(a da jeste , koriscenje nacionalnog preskupog saobraca bi se smanjila za 60%)

kada bi racunali dosli bi do racunice da bi usteda za korisnike bila 99.9% koriscenjem skype-a

jednostavno za 600din mesecno bi razgovarali 166sati ili 10.000minuta ako se izuzme cena interneta , i to minutaza za celu evropu. A kod domacih operatera za 600din se moze razgovarati 6minuta u internacionalnom saobracaju..


Kina ima flat rate interneta koji nude njihovi operatori, i cena flat world paketa gde se Kina nalazi je svega 10E.. ceni flat interneta u Kini ne znam , ali znam da je u Indoneziji 1E nedeljno , ili oko 5E mesecno sto je smesna cifra . tako da je to mozda pametan potez te zemlje.

a sto se skype-to-skype poziva tice, to je daleko komplikovanije za koriscenje od jednostavnog telefoniranja , ali je korisna stvar za malo naprednije korisnike interneta .

ovo nije nista cudno za zemlju kao Kina , jer je ogromna , a zbog strane kompanije(skype) trpe njihove domace kompanije.


Nije Kina jedina ,Srbija je vecim delom 'osakacena' za usluge skype-a iako nije blokiran a to je zato sto nema flat rate na pozive unutar Srbije, i sto nema flat rate data plana za internet kao druge zemlje.


pitanje je da li skype nije hteo da saradjuje sa Srbijom , ili jednostavno operatori i drzava nije pristala(a da jeste , koriscenje nacionalnog preskupog saobraca bi se smanjila za 60%)

kada bi racunali dosli bi do racunice da bi usteda za korisnike bila 99.9% koriscenjem skype-a

jednostavno za 600din mesecno bi razgovarali 166sati ili 10.000minuta ako se izuzme cena interneta , i to minutaza za celu evropu. A kod domacih operatera za 600din se moze razgovarati 6minuta u internacionalnom saobracaju..


Kina ima flat rate interneta koji nude njihovi operatori, i cena flat world paketa gde se Kina nalazi je svega 10E.. ceni flat interneta u Kini ne znam , ali znam da je u Indoneziji 1E nedeljno , ili oko 5E mesecno sto je smesna cifra . tako da je to mozda pametan potez te zemlje.

a sto se skype-to-skype poziva tice, to je daleko komplikovanije za koriscenje od jednostavnog telefoniranja , ali je korisna stvar za malo naprednije korisnike interneta .

Ma opaki su ti kinezi. A jos ako navataju neko ko je nelegalno korsitio Skype ....

Još se javno hvale da vrše monitoring skype razgovora.

Džizs.

skype-2-skype uopste nije komplikovan, treba ti samo skype telefon i IQ > 80. Jeste investicija ali je jednokratna.

Da, u oba slucaja je jednokratna, al' ako mislis na IQ > 80, cesto je i neuspela investicija...

Nece da dropuju port 80. Dropovace IP adrese SKYPE servera...

Mada je i cisco sce mocan... pitaj boga sta kinezi imaju od hardware-a ... verujem da lako mogu da zabrane skype...

Hehe pitam se koliko outsourcera komunicira sa svojim partnerima ili timovima u Kini preko Skype-a :-)))

Mislim, eto tu love i za kviska... sad je pravi momenat da im uvali one ogavne Cisco 79xx telefone.

Pa onda je opet do para...

pa i ovi latino bushmani usporavaju / blokiraju VoIP radi zastite domacih telco lopova. u argentini skype dosta lose radi

u kini je u pitanju paranoja i spijuniranje obicnih ljudi