OpenVPN metoda otkrivanja sesije
U člancima o sigurnosti i ranjivostima koje sam podijelio ovdje na blogu obično se spominje da niti jedan sustav, hardver ili implementacija nisu sigurni, jer koliko god tvrdili da su 100% pouzdani, vijesti o otkrivenim ranjivostima pokazale su nam suprotno. .
Razlog za ovo spominjanje je da je nedavno a skupina istraživača sa Sveučilišta u Michiganu proveli su studiju o identificiranju VPN veza temeljenih na OpenVPN-u, što nam pokazuje da korištenje VPN-a ne osigurava sigurnost naše instance na mreži.
Metoda koju su koristili istraživači tzv "VPN otisak prsta", koji prate tranzitni promet i u provedenoj studiji Otkrivene su tri učinkovite metode za prepoznavanje OpenVPN protokola između ostalih mrežnih paketa, koji se mogu koristiti u sustavima inspekcije prometa za blokiranje virtualnih mreža koje koriste OpenVPN.
U provedenim ispitivanjima na mreži internetskog provajdera Merit, koji ima više od milijun korisnika, pokazao je to Ove metode mogu identificirati 85% OpenVPN sesija s niskom razinom lažno pozitivnih rezultata. Za provođenje testova korišten je skup alata koji su detektirali OpenVPN promet u stvarnom vremenu u pasivnom načinu rada, a zatim potvrdili točnost rezultata aktivnom provjerom s poslužiteljem. Tijekom eksperimenta, analizator koji su izradili istraživači upravljao je protokom prometa intenzitetom od približno 20 Gbps.
Korištene metode identifikacije temelje se na promatranju obrazaca specifičnih za OpenVPN u nešifriranim zaglavljima paketa, veličine ACK paketa i odgovore poslužitelja.
- U Prvi slučaj, povezan je s uzorkom u polju "šifra operacije".» u zaglavlju paketa tijekom faze pregovora o vezi, koja se predvidljivo mijenja ovisno o konfiguraciji veze. Identifikacija se postiže identificiranjem specifičnog slijeda promjena operacijskog koda u prvih nekoliko paketa protoka podataka.
- Druga metoda temelji se na specifičnoj veličini ACK paketa koristi se u OpenVPN-u tijekom faze pregovora o povezivanju. Identifikacija se vrši prepoznavanjem da se ACK paketi određene veličine pojavljuju samo u određenim dijelovima sesije, kao što je prilikom pokretanja OpenVPN veze gdje je prvi ACK paket obično treći paket podataka poslan u sesiji.
- El Treća metoda uključuje aktivnu provjeru traženjem resetiranja veze, gdje OpenVPN poslužitelj kao odgovor šalje određeni RST paket. Važno je da ova provjera ne radi kada se koristi način rada tls-auth, budući da OpenVPN poslužitelj ignorira zahtjeve neautentificiranih klijenata putem TLS-a.
Rezultati studije pokazali su da je analizator uspio identificirati 1.718 od 2.000 testnih OpenVPN veza koje je uspostavio lažni klijent koristeći 40 različitih tipičnih OpenVPN konfiguracija. Metoda je uspješno funkcionirala za 39 od 40 testiranih konfiguracija. Dodatno, tijekom osam dana eksperimenta identificirano je ukupno 3.638 OpenVPN sesija u tranzitnom prometu, od kojih je 3.245 sesija potvrđeno kao valjano.
Važno je to napomenuti Predložena metoda ima gornju granicu lažno pozitivnih rezultata tri reda veličine manji od prethodnih metoda temeljenih na korištenju strojnog učenja. Ovo sugerira da su metode koje su razvili istraživači Sveučilišta u Michiganu preciznije i učinkovitije u identificiranju OpenVPN veza u mrežnom prometu.
Učinkovitost OpenVPN metoda zaštite od njuškanja prometa na komercijalnim uslugama ocijenjena je kroz zasebne testove. Od 41 testirane VPN usluge koja je koristila OpenVPN metode prikrivanja prometa, promet je identificiran u 34 slučaja. Usluge koje se nisu mogle otkriti koristile su dodatne slojeve povrh OpenVPN-a za skrivanje prometa, poput prosljeđivanja OpenVPN prometa kroz dodatni šifrirani tunel. Većina usluga koje su uspješno identificirale upotrijebilo je XOR izobličenje prometa, dodatne slojeve zamagljivanja bez odgovarajućeg nasumičnog popunjavanja prometa ili prisutnost nezamaskiranih OpenVPN usluga na istom poslužitelju.
Ako ste zainteresirani saznati više o tome, pojedinosti možete pogledati na sljedeći link.