Метод за откриване на OpenVPN сесия
В статиите за сигурността и уязвимостите, които съм споделил тук в блога, те обикновено споменават, че никоя система, хардуер или внедряване не са безопасни, тъй като колкото и да твърди, че е 100% надежден, новините за открити уязвимости ни показаха обратното. .
Причината за споменаването на това е, че наскоро a група изследователи от Мичиганския университет проведе проучване за идентифициране на базирани на OpenVPN VPN връзки, което ни показва, че използването на VPN не гарантира, че нашето копие в мрежата е защитено.
Използваният от изследователите метод се нарича „VPN пръстови отпечатъци“, които следят транзитния трафик и в извършеното проучване Бяха открити три ефективни метода за идентифициране на протокола OpenVPN наред с други мрежови пакети, които могат да се използват в системи за инспекция на трафика за блокиране на виртуални мрежи, които използват OpenVPN.
При проведените тестове в мрежата на интернет доставчика Merit, който има повече от милион потребители, показа това тези методи могат да идентифицират 85% от OpenVPN сесиите с ниско ниво на фалшиви положителни резултати. За извършване на тестовете беше използван набор от инструменти, които откриваха OpenVPN трафик в реално време в пасивен режим и след това проверяваха точността на резултата чрез активна проверка със сървъра. По време на експеримента анализаторът, създаден от изследователите, се справи с трафик с интензитет от приблизително 20 Gbps.
Използваните методи за идентификация се основават на наблюдението на специфични за OpenVPN модели в некриптирани заглавки на пакети, размери на ACK пакети и отговори на сървъра.
- В Първият случай е свързан с шаблон в полето „код на операцията“.» в заглавката на пакета по време на етапа на договаряне на връзката, която се променя предвидимо в зависимост от конфигурацията на връзката. Идентификацията се постига чрез идентифициране на специфична последователност от промени на кода на операцията в първите няколко пакета от потока от данни.
- Вторият метод се основава на конкретния размер на ACK пакетите използвани в OpenVPN по време на етапа на преговори за връзка. Идентифицирането се извършва чрез разпознаване, че ACK пакети с даден размер се появяват само в определени части от сесията, като например при иницииране на OpenVPN връзка, където първият ACK пакет обикновено е третият пакет данни, изпратен в сесията.
- El Третият метод включва активна проверка чрез заявка за нулиране на връзката, където OpenVPN сървърът изпраща специфичен RST пакет в отговор. Важно е, че тази проверка не работи, когато се използва tls-auth режим, тъй като OpenVPN сървърът игнорира заявки от неавтентифицирани клиенти чрез TLS.
Резултатите от проучването показват, че анализаторът е успял успешно да идентифицира 1.718 от 2.000 тестови OpenVPN връзки, установени от измамен клиент, използвайки 40 различни типични OpenVPN конфигурации. Методът работи успешно за 39 от 40-те тествани конфигурации. Освен това, по време на осемте дни на експеримента, общо 3.638 OpenVPN сесии бяха идентифицирани в транзитен трафик, от които 3.245 сесии бяха потвърдени като валидни.
Важно е да се отбележи това Предложеният метод има горна граница на фалшиви положителни резултати три порядъка по-малък от предишните методи, базирани на използването на машинно обучение. Това предполага, че методите, разработени от изследователите на Университета на Мичиган, са по-точни и ефективни при идентифицирането на OpenVPN връзки в мрежовия трафик.
Ефективността на OpenVPN методите за защита от подслушване на трафик при търговски услуги беше оценена чрез отделни тестове. От 41 тествани VPN услуги, които използват OpenVPN методи за прикриване на трафик, трафикът е идентифициран в 34 случая. Услугите, които не можаха да бъдат открити, използваха допълнителни слоеве върху OpenVPN, за да скрият трафика, като например пренасочване на OpenVPN трафик през допълнителен криптиран тунел. Повечето от услугите успешно идентифицираха използваното XOR изкривяване на трафика, допълнителни слоеве на обфускиране без подходящо произволно подпълване на трафика или наличието на необускирани OpenVPN услуги на същия сървър.
Ако се интересувате да научите повече за това, можете да се консултирате с подробности на следната връзка.