gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Proxies ilegais (parte II - o lado dos ISP's)
Contribuído por js em 02-11-02 18:03
do departamento Cache-cache
News daniel escreve "A propósito dum artigo recentemente aprovado, lembrei-me de trazer a público, uma (para mim, já) velha questão: a da legalidade dos proxies transparentes.
Para ter contexto, o mail que deixo abaixo já tem algum tempo e era para um cliente ADSL Telepac, que estava privado de aceder a certos serviços e não sabia de quem era a "culpa". Mais a propósito disto tudo não podia ser -- a Netcabo também já está a fazer a mesma coisa (proxy transparente) --, pelo que fica no ar a pergunta: não se pode processar a netcabo, em massa, por esta (digo eu) ilegalidade? Nos EUA existe uma coisa que se chama `class action suit'..."

O mail não é 100% técnico mas tenta expôr o assunto com algum "insight" e penso que tem alguns pontos interessantes, por isso nao "batam muito no ceguinho", please :)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 Subject: Porque e' que o proxy transparente da telepac nao funciona 100% Viva! Conforme prometido ca vai o texto elucidativo/explicativo do assunto em epigrafe: O proxy transparente e' uma optima solucao para poupanca de largura de banda que e' de todos, mas paga individualmente por cada um, neste caso. Ora aqui e' que reside o busilis da questao. Nao se pode pedir a um cliente que, em nome de um beneficio global, sacrifique o uso de um "bem" (acesso a informacao) que paga na totalidade para seu proprio disfrute, quando isso o impede, de facto. E' facil construir exemplos em que a implementacao de um proxy transparente a "montante" por parte de um ISP _impede_ de facto o acesso web a sites ou simplesmente servidores de teste/demonstracao: Suponhamos que para o meu computador, consigo faze-lo "pensar" que o endereco www.istonaoexiste.com esta' no endereco IP 1.1.1.1 (quer a partir de um ficheiro de "hosts" ou mesmo por um servidor de dns "colaborante"). Normalmente, o browser configurado para acesso directo iria tentar chegar `a porta 80 desse ip para tentar obter as paginas requisitadas pelo nome escolhido. Ora, com a implementacao do proxy transparente, da maneira que a Telepac implementa, esse "pedido" e' "interceptado" e o proxy vai tentar, ele mesmo, "descobrir" qual o ip do pedido do acesso e tentar entregar ao cliente. Obviamente que nao sendo este "endereco" publico, o pedido vai falhar e o cliente nao consegue aceder `as paginas que pretendia mas que, nao fora o proxy transparente em uso pelo ISP sem sua autorizacao explicita (configurado voluntariamente no browser), teria conseguido aceder. Isto e' um impedimento de obter um servico pelo qual o cliente paga e nao acontece nos providers da concorrencia, apenas nos de internet "free" e mesmo nesses nao faz parte das "regras" ou condicoes de servico, segundo creio. Espero que isto esclareca o Sergio e os demais - sugiro que faca chegar tambem `a ANACOM porque duvido seriamente da legalidade desta medida e ainda mais da seguranca de um "setup" deste genero: num caso extremo, se a integridade da(s) maquina(s) for comprometida, a Internet (web) passa a ser para _todos_ os clientes da telepac aquilo que os proxies quiserem entregar como paginas (provavelmente sempre a mesma, com o manifesto que o grupo de "crackers" subscreva, se for esse o caso). Com os meus melhores cumprimentos, Daniel Fonseca 

[js: Para quem não sabe francês e não entende o trocadilho no "departamento": Cache-cache é o nome que os franceses dão a "jogar às escondidas"...

Microsoft e governo dos EUA chegam a acordo | Tens mp3 legais, ou ilegais?  >

 

gildot Login
Login:

Password:

Referências
  • Mais acerca News
  • Também por js
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Pode, pode ... (Pontos:2)
    por mvalente em 02-11-02 18:40 GMT (#1)
    (Utilizador Info) http://www.ruido-visual.pt/
    Nao se pode pedir a um cliente que, em nome de um beneficio global, sacrifique o uso de um "bem" (acesso a informacao) que paga na totalidade para seu proprio disfrute

    Segundo a logica colectivista (com a qual, fique claro, nao concordo), pode. É a base logica de todo o socialismo: sacrifica-se o bem individual a bem do bem colectivo.

    Portanto é gramar. Especialmente quando, na realidade, nao se pagou bem nenhum na sua "totalidade". Quem julga que 640Kbps ou 1Mbps custam 7 ou 8 contos por mês está ligeiramente... enganado.

    Cumprimentos

    Mario Valente

    Re:Pode, pode ... (Pontos:2)
    por dINAMItE em 02-11-02 19:05 GMT (#2)
    (Utilizador Info) http://www.ferro.eu.org
    Mas só ligeiramente... ;)
    Re:Pode, pode ... (Pontos:2)
    por BlueNote em 02-11-02 21:41 GMT (#5)
    (Utilizador Info)
    É a base logica de todo o socialismo: sacrifica-se o bem individual a bem do bem colectivo.

    Permita-me que acrescente: é a base de todos os totalitarismos.

    Re:Pode, pode ... (Pontos:2)
    por mlopes em 04-11-02 11:14 GMT (#28)
    (Utilizador Info)
    Será que reagirias da mesma maneira se comprasses um saco com 1Kg de batatas a 50 centimos, quando cheagasses a casa tivesses lá cenouras e quando fosses de novo à loja para reclamar o vendedor respondesse "Quem julga que 1Kg de batatas custa 50 centimos está ligeiramente... enganado."

    If you don't have time to do it right, where are you going to find the time to do it over?

    Sera que não funciona mesmo? (Pontos:1)
    por flipoide em 02-11-02 19:51 GMT (#3)
    (Utilizador Info)
    O exemplo que o "email" indicou acho que funciona com proxies "transparentes". Ora vejamos, o que eu sei sobre configuração de proxies transparentes é que qualquer trafego (para o porto 80) que passa numa gateway este é redireccionado para o proxy local. Todo o trabalhinho de "name resolv" e afins é feito pelo próprio cliente (browser). Logo o proxy vai é sacar a página do 1.1.1.1 e não do www.istonaoexiste.com (é claro que se o 1.1.1.1 não for um ip válido, então não há nada a fazer.. com ou sem proxy).

    A única razão, que vejo, contra os proxies (transparentes ou não) é que se a máquina que serve de proxy não aguentar com a carga, ou estiver mal configurado (lê-se com pouco espaço para cache), aí sim, o proxy só está a atrasar. Se isso não acontece, então penso que só introduz melhorias à utilização da rede.

    --
    1000110 1101100 1101001 1110000

    Re:Sera que não funciona mesmo? (Pontos:2)
    por Strange em 02-11-02 22:11 GMT (#6)
    (Utilizador Info) http://strange.nsk.no-ip.org/
    "Logo o proxy vai é sacar a página do 1.1.1.1 e não do www.istonaoexiste.com"

    Relê o artigo. O problema é que a máquina local, com /etc/hosts ou servidor dns local sabe onde fica www.istonaoexiste.com, enquanto que a proxy transparente não o sabe. Escrevo www.istonaoexiste.com no meu browser, este vê que o endereço ip é o 1.1.1.1 e pede a página para o servidor www.istonaoexiste.com (Host: ...). Agora, com a proxy no meio, o que esta vai ver é apenas o Host:, não o endereço ip (o funcionamento pode variar de proxy para proxy, mas as com que tenho má experiência funcionam assim (squid)). Ora, como a proxy não consegue descobrir o ip retorna mensagem de erro e termina a ligação.

    Embora o caso discutido é hipotético, não é irreal. Já me aconteceu poder resolver nomes sem problemas devido ao named na gateway, mas o servidor com a proxy transparente não.

    hugs
    Strange

    Re:Sera que não funciona mesmo? (Pontos:1)
    por flipoide em 03-11-02 13:19 GMT (#15)
    (Utilizador Info)
    "Escrevo www.istonaoexiste.com no meu browser, este vê que o endereço ip é o 1.1.1.1 e pede a página para o servidor www.istonaoexiste.com (Host: ...).

    Aí é que está.. quando o teu browser não tem proxies configurados este tenta contactar directamente o host PELO IP (como toda e qualquer aplicação de rede). O proxy transparente funciona pq algures num dos servidores da telepac (ou outro ISP) este redirecciona todo o trafego dirigido para *.*.*.*:80 (aka http) ao proxy.

    --
    1000110 1101100 1101001 1110000

    Re:Sera que não funciona mesmo? (Pontos:2)
    por Strange em 03-11-02 14:02 GMT (#18)
    (Utilizador Info) http://strange.nsk.no-ip.org/
    Funciona quando lhe apetece. Como o tráfego é-lhe redireccionado pelo gateway, a proxy nada sabe do ip final. Portanto tem que o descobrir ela própria, o que por vezes falha, como no caso apresentado e no caso do servidor dns dela ser disfuncional. E, como não há modo de lhe dar a volta, ficamos com uma ligação à Internet que não tem problemas mas sem a poder usar em 80% do que queremos.

    hugs
    Strange

    Re:Sera que não funciona mesmo? (Pontos:1)
    por flock em 04-11-02 14:16 GMT (#29)
    (Utilizador Info) http://www.promiscua.org/

    Deixo aqui só dois exemplos:

    • Imagine-se que eu por alguma razão quero ter outro serviço qualquer a correr numa maquina fora do ISP na porta 80 ou ate mesmo um httpd com extensões que o proxy não entende.
    • Pensem agora em alguns jogos on-line como estes 2 ou este aqui que se baseiam primariamente no IP de origem das ligações (o proxy, neste caso) para detectar situações de "multi accounts".

    Não sei quem disse a cima se nós "pensavamos" que ter 640kbps de downstream (e 128 de upstream) custava apenas 7 ou 8 contos de reis (35 ou 40 Euros), mas acho isso patético. Mesmo que o serviço custasse 5 centimos, é a legalidade da utilização dos transparent proxies (e de DNS spoofing como eu também ja vi a TVCabo e a Novis fazer) que se está a discutir aqui, não o preço do serviço. Será que os ISPs têm o direito de redireccionar a minha ligação sem o meu consentimento e conhecimento?




    "Due to the shortage of devoted followers, the production of great leaders has been discontinued."
        -- flock of Balticor
    Teoria da conspiração (not) (Pontos:2)
    por flipoide em 02-11-02 19:58 GMT (#4)
    (Utilizador Info)
    Espero que isto esclareca o Sergio e os demais - sugiro que faca chegar tambem `a ANACOM porque duvido seriamente da legalidade desta medida e ainda mais da seguranca de um "setup" deste genero: num caso extremo, se a integridade da(s) maquina(s) for comprometida, a Internet (web) passa a ser para _todos_ os clientes da telepac aquilo que os proxies quiserem entregar como paginas (provavelmente sempre a mesma, com o manifesto que o grupo de "crackers" subscreva, se for esse o caso).

    Bem, usando esta lógica se calhar o melhor é teres o teu próprio link (sem passar por nenhum ISP) à internet pq os routers/gateways/proxies/whatever podem ser comprometidos e redireccionar-te para os servers de uns crackers para sacar o numero do teu cartão de crédito.

    --
    1000110 1101100 1101001 1110000

    Re:Teoria da conspiração (not) (Pontos:1)
    por flipoide em 03-11-02 13:29 GMT (#16)
    (Utilizador Info)
    A ti, só respondo pelo seguinte: tenta por um proxy transparente e vê como é que as coisas funcionam antes de vir cá mandar bitais.
    É que dizer "pode-se substituir o proxy por uma outra coisa qualquer que serve sempre a mesma página" e por isso "usar o proxy é mal" é como está a dizer "os carros provocam acidentes" logo "usar carro é mal". O problema, se exista mesmo, é a protecção da rede do ISP e não do processo em si.

    PS: E já agora, se não sabes manter uma discussão sem ofender os outros, então o melhor é ficares em casa a ver o teu desenho animado preferido.

    --
    1000110 1101100 1101001 1110000

    e os mails? (Pontos:2)
    por biduxe em 03-11-02 13:32 GMT (#17)
    (Utilizador Info) http://bdx.no-ip.info
    quando vou sacar uma página estrangeira num proxy transparente, estou a pagar por tráfego international, quando só faço uma ligação doméstica.
    E quando mandar um e-mail para o estrangeiro?
    Técnicamente é igual... Se eu passar pelo mta do isp, estou a fazer uma ligação doméstica, mas aí o isp tem que fazer a parte internacional do transporte.
    Engraçado é que neste caso o isp cobra transferência doméstica, quando o obrigo a transmitir para fora, contrariamente ao que acontece com a web.
    Será que quando a netcabo se aperceber disso, vamos ter que colar selos nos e-mails?
    e os mails que recebemos de fora do país? vamos ter que pagar para o que recebemos como se de roaming se tratasse. E imaginem o que isso dá com spam.
    1 detalhe felizmente o meu isp não é o netcabo, porque senão eu teria que pagar fortunas com a quantidade de mails que a minha namorada saca do hotmail. vejam lá que os coitados dos utilizadores do netcabo e hotmail pagam para receber publicidade de sistemas de crédito, sites porno e instrumentos de aumentar o tamanho do pénis!!!
    ------ EOFim.
    outras solucoes (Pontos:3, Interessante)
    por biduxe em 03-11-02 19:25 GMT (#21)
    (Utilizador Info) http://bdx.no-ip.info
    por ter instalado varios proxy web, compreendo a atitude dos isp em colocar proxys transparentes, ja que os utilizadores raramente o fazem. agora acho que os isps podiam usar outra solucao que contentaria mais gente:
    instalar um proxy (nao transparente), e implementar um mecanismo de tarificaçao com um limite mensal de transferencia fora da rede do isp resultado: os utilizadores terao o cuidado de configurar voluntariamente o proxy para nao ultrapassar o limite, e nao se podem queixar da falta de transparencia dos proxys transparentes. O facto de utilizadores menos avisados nao saberem configurar o proxy nao é muito grave pois os utilizadores menos avisados geralmente nao sao os que fazem o uso mais pesado da largura de banda.

    Agora acho que se fosse um isp talvez implementaria um proxy transparente, mesmo para os outros utilizadores. E porque nao os isps darem a possibilidade de os clientes que o pedirem nao passarem pelo proxy transparente. algumas regras de routing et voilà. Nao sao assim tantos os clientes que se preocupam com proxys transparentes... a nao ser o publico reduzido frequentador do gildot (reduzido em relacao ao numero de pessoas que usam internet)
    ------ EOFim.
    Re:outras solucoes (Pontos:1)
    por lbruno em 03-11-02 20:55 GMT (#22)
    (Utilizador Info) http://click.here.for.something.useful.yi.org/
    algumas regras de routing et voila

    Acabas de propor algo muito escalavel, como deves compreender. Mesmo que sejam poucos clientes AGORA, o Tio Murphy de certeza que te iria apanhar um dia (a curto/medio prazo), se fosses o responsavel por tal bicharada.

    Alem disso, a escabilidade em termos humanos tem que ser considerada. Como propoes administrar essas "algumas" regras de routing?


    Cheers,
    Luis Bruno

    Re:outras solucoes (Pontos:2)
    por biduxe em 03-11-02 21:16 GMT (#23)
    (Utilizador Info) http://bdx.no-ip.info
    nao é assim tao dificel... se conseguem ver a diferença entre os que podem consumir + ou - por mes, ou ter um acesso + ou - rapido (na netvisao existem 3 opcoes) tambem podem diferenciar quem quer ou nao quer proxy transparente.
    ------ EOFim.
    Re:outras solucoes (Pontos:2)
    por biduxe em 04-11-02 3:06 GMT (#27)
    (Utilizador Info) http://bdx.no-ip.info
    e mais estes idiotas que julgam que tudo se pode fazer, basta querer

    Ok eu sou um desses idiotas. Sendo um desses idiotas, pretendo ser mais productivo na minha actividade do que a mente superior, que pretende que não existe solução.

    Eu trabalho assim: para cada problema há soluções, encontradas ou por encontrar. Posso não encontrar todas, mas procurando vou encontrando. Obviamente é mais fácil diwer que não há solução.

    pergunta: és help-desk na microsoft?
    ------ EOFim.
    Re:outras solucoes (Pontos:2)
    por daniel em 04-11-02 17:13 GMT (#30)
    (Utilizador Info)
    Acho que o outro tipo te respondeu bem ao louvar o espirito mas dizer que (e eu concordo) nem tudo e' possivel e tu relacionaste coisas muito infantilmente - "se conseguem distinguir clientes com tarifarios, trafego, etc, entao tambem conseguem isso para o proxy transparente" - uma coisa nao tem nada a ver com a outra!
    Uma afirmacao independente, por exemplo, "podiam dar/cobrar ip's fixos e ter esses clientes sem proxy transparente" - ja seria muito mais aceitavel.

    Estas a misturar os alhos com os bugalhos na tua associacao e acho que a critica era para isso. Mantem o espirito, mas nao inventes a internet conduzida pelos canos de agua (olha que isto nao e' invencao minha!), nem digas que tudo e' possivel como justificacao de um absurdo.
    Daniel Fonseca
    Re:outras solucoes (Pontos:2)
    por biduxe em 04-11-02 20:06 GMT (#31)
    (Utilizador Info) http://bdx.no-ip.info
    bom já que ninguem acredita aí vão uns exemplos:
    com o isc dhcpd que é o que conheço e uso.

    host clientescarneiros {
          hardware ethernet 08:00:2b:4c:59:23;
          options routers x.x.x.222;
    #este aqui já vai desviado para o proxy transparente
    host chatodogildot {
          hardware ethernet 08:00:2b:4c:59:43;
          options routers x.x.x.221;
    }
    #ben este vai ter de ir directo...
    #TODO arranjar maneira de me vingar, limitando a
    #bandwidth do x.x.x.221, ou dando lhe um buggy
    #nameserver, ou diminuindo-lhe o lease-time


    bem normalmente eu colocaria-os en subnets diferentes, funciona melhor, mas assim fica mais simples de explicar

    outra solução:

    o dhcpd notificar o nameserver para registar o ip do utilizadornuma ou noutra zona segundo o mac


    /usr/bin/nsupdate -k /etc/httpd/Kapache.+157+03911.private >>EOF
    update add x.x.x.143 PTR x-x-x-143.chatosdogildot.isp.pt
    ou
    update add x.x.x.144 PTR x-x-x-144.clientescarneiros.isp.pt
    send
    quit
    EOF


    a partir dai o router faz o routing em função do dns do cliente

    Outra solução:

    um php numa pagina do isp para alterar os acl do router (apenas nesse ponto específico claro)

    para os acessos por telefone, já que não há macs, ou temos dois numeros de telefone diferentes, ou o scr1pt da maquina que atende o telefone, muda as configurações do router em funcao do utilizador, ou , mais eficaz dá ao cliente um ip escolhido num pool específico.

    Soluções há outras, mas também não as vou procurar todas.

    para as perguntas seguintes;
    e o overhead desses processos todos?
    e a segurança?
    como achas que pode funcionar?.. tens um erro na linha tal da tua configuração?

    respondo: se tiver mais tempo e fòr pago para isso posso melhorar essas soluções, ou imaginar outras, por enquanto isto é só para responder aos que me estão a chamar burro.

    hã... duas destas soluções eu experimentei, não especificamente para o routing para o proxy transparente, mas para outros efeitos e funcionam, com poucos clientes podem retorquir-me... sim, mas também com um computador pre-pentium.
    ------ EOFim.
    Re:outras solucoes (Pontos:2)
    por biduxe em 05-11-02 13:56 GMT (#33)
    (Utilizador Info) http://bdx.no-ip.info
    errado mais uma vez. Isso eu ja disse noutras threads.
    ------ EOFim.
    Re:outras solucoes (Pontos:1)
    por floWS em 11-11-02 17:44 GMT (#34)
    (Utilizador Info)
    se percebes tanto de gsm como de routing, mais valia teres ficado calado.

    escreve *conf# no inicio dos teus sms, e impressiona os teus amiguinhos com mensagens anonimas!
    lá porque tu nao sabes fazer seja o que for, nao quer dizer que nao possa ser feito.

    Cumps,
    floWS

    P.S. eu sei que ja e' dia 11 e este thread ja se foi e que ninguem vai ler e estou a escrever para mim etc...

    Re:Estamos a ser roubados e a ANACOM... (errr...) (Pontos:1)
    por LostStar em 03-11-02 17:38 GMT (#19)
    (Utilizador Info)
    Acho que não tas a ver bem a questão. Nem tu nem muita gente.

    Responde-me a esta simples pergunta:
    Estao 3 gajos (A,B e C)a sacar o ultimo patch para o Quake 3 arena (30 MB). O gajo A começa 1º, depois começa o gajo B e quando o gajo C começa a sacar o gajo A ja tinha terminado (logo o ficheiro ja tava na cache , certo ? Ou talvez ate antes..) . Pois bem , entao o gajo C ja vai sacar tudo da cache..e só vai pagar tráfego nacional , enquanto os outros dois desgraçados pagaram internacional !

    Achas justo ?
    Não é a questão de ser facil ou dificil implementar, é também uma questão de justiça. Se o ISP faz cache é para cortar nos custos da sua largura de banda internacional!E está no seu direito! O cliente está a pedir uma página internacional , logo vai pagar como se fosse internacional e tem a vantagem (provavelmente) que o download até vai ser mais rápido!

    Agora se me perguntares se eu concordo ou não com a diferenciação entre tráfego nacional e internacional , aí reside outra questão.
    Um ISP tem que fazer escolhas por forma a fornecer uma melhor relação qualidade/preço que está disposto a fornecer. Basta ver o que acontece com a netcabo/netvisão . Os clientes netcabo não gostam de ter apenas 1GB internacional... mas gostariam de ter 8GB no total (netvisao 512k )? É claro que se iam sentir defraudados (se ta mal escrito , processem-me) !
    Porquê ? Porque passaram de 21GB (err... não era so 1GB?) para 8GB! É ROUBO!

    Pois bem , não há almoços de graça para ninguém. A largura de banda custa dinheiro e os isps têm que fazer escolhas. Não se pode falar em roubar. Podes falar em mau serviço,isso acontece bastante. Nesse caso bate-lhes na cabeça com toda a força, eu apoio.

    Não trabalho para nenhum isp e sou cliente (razoavelmente satisfeito) da netvisao 128k.

    Boa noite


    ------------------------------------------
    "You got to make it right this time, 'cause this time is all you have."
    prot , in K-PAX
    Re:Estamos a ser roubados e a ANACOM... (errr...) (Pontos:2)
    por biduxe em 03-11-02 19:13 GMT (#20)
    (Utilizador Info) http://bdx.no-ip.info
    nao acho o exemplo que referiste uma injustiça. Todos as noites eu leio de graça o jornal que o meu vizinho comprou e leu de manhã. o gajo B pagou pelo primor dos dados que recebeu. os outros recebem uma informacao que sai mais barata ao isp.
    Ainda me lembro de quando tinha um modem a 2400, eu comprava entao a distribuicao do linux do infomagic em 6 cds. a versao mais recente era mais cara que a versao de ha dois meses com outro kernel. Eu acho justo a diferença de preço.
    ------ EOFim.
    Re:Estamos a ser roubados e a ANACOM... (errr...) (Pontos:2)
    por pmsac em 04-11-02 0:07 GMT (#24)
    (Utilizador Info) http://2130706433/
    A tua analogia está errada: com o exemplo do jornal, os editores do mesmo não recebem nem mais um chavo. Passando para o exemplo do Quake, era o mesmo que o 1º sacar e passar aos outros clientes a partir da máquina dele (afinal, tráfego entre clientes Netcabo não é contabilizado).

    Podias ter tentado uma analogia melhor, dando como exemplo livros usados, ou veres o directo do jogo xpto na SportTV, pagando, e o diferido na RTP1, de borla...

    Claro que as analogias valem de pouco, neste caso: existem determinados serviços, com determinadas condições, e multiplicidade de escolhas. Quem não gostar de nenhum, não é obrigado a comprar (ainda não vejo a Internet como bem essencial, como o pão, o leite, a água, a electricidade, etc...). Nem sequer considero a TV um bem essencial...


    -- pmsac.oO(Cogito sumere potum alterum)

     

     

    [ Topo | FAQ | Editores | Contacto ]