OpenVPN munkamenet-észlelési módszer
A biztonságról és a sebezhetőségekről szóló cikkekben, amelyeket itt a blogon megosztottam, általában megemlítik, hogy egyetlen rendszer, hardver vagy implementáció sem biztonságos, hiszen bármennyire állítja is magát 100%-ban megbízhatónak, az észlelt sebezhetőségekről szóló hírek megmutatták nekünk. az ellenkező. .
Ennek említésének oka, hogy a közelmúltban a kutatócsoport a Michigani Egyetemről tanulmányt végzett az OpenVPN-alapú VPN-kapcsolatok azonosításáról, ami azt mutatja, hogy a VPN-ek használata nem biztosítja, hogy példányunk a hálózaton biztonságos legyen.
A kutatók által alkalmazott módszer az ún "VPN ujjlenyomat", amelyek nyomon követik a tranzitforgalmat és az elvégzett tanulmányban Három hatékony módszert fedeztek fel az OpenVPN protokoll azonosítására egyéb hálózati csomagok között, amelyek a forgalomellenőrző rendszerekben használhatók az OpenVPN-t használó virtuális hálózatok blokkolására.
Az elvégzett tesztekben a több mint egymillió felhasználóval rendelkező Merit internetszolgáltató hálózatán ezt mutatta meg ezek a módszerek az OpenVPN-munkamenetek 85%-át tudták azonosítani alacsony hamis pozitív értékkel. A tesztek elvégzéséhez egy olyan eszközkészletet használtak, amely passzív módban valós időben észlelte az OpenVPN forgalmat, majd a szerverrel végzett aktív ellenőrzéssel ellenőrizte az eredmény pontosságát. A kísérlet során a kutatók által készített analizátor megközelítőleg 20 Gbps intenzitású forgalmi áramlást kezelt.
Az alkalmazott azonosítási módszerek az OpenVPN-specifikus minták megfigyelésén alapulnak titkosítatlan csomagfejlécekben, ACK csomagméretek és szerverválaszok.
- In the Első esetben a "műveleti kód" mezőben lévő mintához kapcsolódik» a csomag fejlécében a kapcsolat egyeztetési szakaszában, amely előre láthatóan változik a kapcsolat konfigurációjától függően. Az azonosítás az adatfolyam első néhány csomagjában a műveleti kód változásainak meghatározott sorozatának azonosításával érhető el.
- A második módszer az ACK-csomagok konkrét méretén alapul használják az OpenVPN-ben a csatlakozási egyeztetési szakaszban. Az azonosítás annak felismerésével történik, hogy adott méretű ACK-csomagok csak a munkamenet bizonyos részein fordulnak elő, például egy OpenVPN-kapcsolat kezdeményezésekor, ahol az első ACK-csomag jellemzően a munkamenetben elküldött harmadik adatcsomag.
- El A harmadik módszer aktív ellenőrzést foglal magában a kapcsolat visszaállításának kérésével, ahol az OpenVPN-kiszolgáló egy adott RST-csomagot küld válaszul. Fontos, hogy ez az ellenőrzés nem működik tls-auth mód használata esetén, mivel az OpenVPN-kiszolgáló figyelmen kívül hagyja a nem hitelesített ügyfelektől érkező kéréseket a TLS-n keresztül.
A tanulmány eredményei azt mutatták, hogy az elemző 1.718 teszt OpenVPN-kapcsolatból 2.000-at tudott sikeresen azonosítani egy csaló kliens által 40 különböző tipikus OpenVPN-konfiguráció használatával. A módszer a 39 tesztelt konfiguráció közül 40-nél sikeresen működött. Ezenkívül a kísérlet nyolc napja alatt összesen 3.638 OpenVPN-munkamenetet azonosítottak a tranzitforgalomban, amelyek közül 3.245 munkamenet érvényességét erősítették meg.
Fontos ezt megjegyezni A javasolt módszer a hamis pozitív értékek felső határával rendelkezik három nagyságrenddel kisebb, mint a korábbi, gépi tanuláson alapuló módszerek. Ez arra utal, hogy a Michigani Egyetem kutatói által kidolgozott módszerek pontosabbak és hatékonyabbak az OpenVPN kapcsolatok azonosításában a hálózati forgalomban.
Az OpenVPN forgalomszippelő védelmi módszereinek teljesítményét a kereskedelmi szolgáltatásokon külön tesztekkel értékelték. A 41 tesztelt VPN-szolgáltatás közül, amelyek OpenVPN forgalomálcázási módszereket alkalmaztak, 34 esetben azonosítottak forgalmat. A nem észlelhető szolgáltatások további rétegeket használtak az OpenVPN tetején a forgalom elrejtésére, például egy további titkosított alagúton keresztül továbbították az OpenVPN forgalmat. A legtöbb szolgáltatás sikeresen azonosította a használt XOR forgalom torzítását, a megfelelő véletlenszerű forgalmi kitöltés nélküli további homályosítási rétegeket, vagy nem homályos OpenVPN-szolgáltatásokat ugyanazon a szerveren.
Ha többet szeretne megtudni róla, tájékozódhat a részletekről a címen a következő link.