Lunes, Abril 12, 2021

Cómo activar eSNI y DoH en Firefox para saltarse el bloqueo de webs

firefox-esni

Firefox viene equipado con dos características que dejan inútil el sistema de filtrado de webs que utilizan las operadoras en España. Se trata de DNS-over-HTTPS (DoH) y Encrypted Server Name Indication (ESNI). Vamos a activarlas y comprobar cómo el sistema de filtrado de Movistar se queda sin poder hacer nada.

Probando cómo Movistar intercepta el SNI

Para empezar vamos a intentar acceder desde Movistar a la web https://pirlotvonline.net, una de las que fueron prohibidas, para comprobar como su servidor de filtrado FortiGate entra en acción y nos deja con un falso error 404:

ERROR 404 - File not found

Qué hacen DoH y eSNI

Para dejar ciego al sistema de filtrado vamos a activar DoH y eSNI. El primero hace que el navegador no use los DNS que tenemos configurados en nuestro equipo o el router, sino que resolverá los dominios mediante peticiones HTTPS, lo que hace que la operadora no pueda diferenciar el tráfico de resolución de nombres de la navegación web normal. El segundo es una extensión para solucionar el que ha resultado ser el talón de Aquiles de las webs HTTPS, el envío del nombre del host en el SNI en texto plano, que con eSNI pasa a estar cifrado.

Aunque eSNI y DoH son dos cosas totalmente independientes, en Firefox por alguna razón solo funciona eSNI si está DoH activado, así que vamos a asegurarnos de que ambos están activos.

Activando eSNI

network-security-esni-enabled

  1. Introducimos about:config en la barra de direcciones para entrar en las preferencias de configuración avanzada de Firefox.
  2. Pulsamos Aceptar el riesgo y continuar para ignorar el aviso.
  3. En la barra de búsqueda introducimos network.security.esni.enabled.
  4. Pulsamos sobre para cambiar el valor de false a true.

Activando DoH

network-trr-mode

  1. En la barra de búsqueda de la configuración avanzada de Firefox introducimos network.trr.mode.
  2. Cambiamos el valor 0por 2

Puedes ver el significado de cada uno de los valores aquí.

Probando cómo Movistar ya no puede bloquear pirlotvonline.net

Lo primero que vamos a hacer es acceder a la web de prueba de Cloudflare que nos dirá si ahora nuestro navegador ya está utilizando DoH y ESNI.

test-doh-esni-cloudflare

A partir de ese momento podemos introducir en la barra de direcciones https://pirlotvonline.net para comprobar como mágicamente podemos acceder a ella sin ningún problema.

Por qué eSNI no funciona con todas las webs

Lo que cuento en este post puede sonar maravilloso, pero no lo es tanto cuando compruebes que no funciona con muchas webs. Funciona con el ejemplo que hemos seleccionado porque está alojado en Cloudflare, que por defecto tiene eSNI activado en todas las webs que aloja. Es decir, eSNI sólo va a entrar en acción si tanto nuestro navegador como el servidor lo soportan.

Sabiendo esto, ESNI no es ahora mismo la panacea para saltarse el bloqueo de webs, pero si nos permite ver que en el futuro las operadoras no van a tener más remedio que convertirse en dumb pipes ignorando lo que transportan, ya que cuando se generalice no habrá forma de saber dónde están accediendo los usuarios.

 

Fuente: bandaancha

¿Quién está en línea?

Hay 100 invitados y ningún miembro en línea

Contador de Visitas

12991160
Hoy Hoy 371
Ayer Ayer 611
Esta semana Esta semana 371
Este mes Este mes 8057
Total de Visitas Total de Visitas 12991160

Día con más
visitantes

01-20-2021 : 1238

Gracias por su visita