Metode deteksi sesi OpenVPN
Dalam artikel tentang keamanan dan kerentanan yang saya bagikan di blog ini, mereka biasanya menyebutkan bahwa tidak ada sistem, perangkat keras, atau implementasi yang aman, karena tidak peduli seberapa diklaim 100% dapat diandalkan, berita tentang kerentanan yang terdeteksi telah menunjukkan kepada kita sebaliknya. .
Alasan untuk menyebutkan hal ini adalah karena baru-baru ini a sekelompok peneliti dari Universitas Michigan melakukan penelitian tentang mengidentifikasi koneksi VPN berbasis OpenVPN, yang menunjukkan kepada kita bahwa penggunaan VPN tidak menjamin bahwa instance kita di jaringan aman.
Metode yang digunakan peneliti disebut “Sidik Jari VPN”, yang memantau lalu lintas transit dan dalam penelitian yang dilakukan Tiga metode efektif ditemukan untuk mengidentifikasi protokol OpenVPN di antara paket jaringan lainnya, yang dapat digunakan dalam sistem pemeriksaan lalu lintas untuk memblokir jaringan virtual yang menggunakan OpenVPN.
Dalam pengujian yang dilakukan di jaringan penyedia Internet Merit, yang memiliki lebih dari satu juta pengguna, menunjukkan hal itu metode ini dapat mengidentifikasi 85% sesi OpenVPN dengan tingkat positif palsu yang rendah. Untuk melakukan pengujian, seperangkat alat digunakan yang mendeteksi lalu lintas OpenVPN secara real time dalam mode pasif dan kemudian memverifikasi keakuratan hasilnya melalui pemeriksaan aktif dengan server. Selama percobaan, alat analisa yang dibuat oleh peneliti menangani arus lalu lintas dengan intensitas sekitar 20 Gbps.
Metode identifikasi yang digunakan didasarkan pada observasi pola spesifik OpenVPN dalam header paket yang tidak terenkripsi, ukuran paket ACK dan respons server.
- Dalam Kasus pertama, ini terkait dengan pola di bidang "kode operasi".» di header paket selama tahap negosiasi koneksi, yang dapat diperkirakan berubah tergantung pada konfigurasi koneksi. Identifikasi dicapai dengan mengidentifikasi urutan perubahan opcode tertentu dalam beberapa paket pertama aliran data.
- Metode kedua didasarkan pada ukuran spesifik paket ACK digunakan di OpenVPN selama tahap negosiasi koneksi. Identifikasi dilakukan dengan mengenali bahwa paket ACK dengan ukuran tertentu hanya terjadi di bagian tertentu dari sesi, misalnya saat memulai koneksi OpenVPN di mana paket ACK pertama biasanya merupakan paket data ketiga yang dikirim dalam sesi tersebut.
- El Metode ketiga melibatkan pemeriksaan aktif dengan meminta reset koneksi, tempat server OpenVPN mengirimkan paket RST tertentu sebagai respons. Yang penting, pemeriksaan ini tidak berfungsi saat menggunakan mode tls-auth, karena server OpenVPN mengabaikan permintaan dari klien yang tidak diautentikasi melalui TLS.
Hasil penelitian menunjukkan bahwa penganalisis berhasil mengidentifikasi 1.718 dari 2.000 pengujian koneksi OpenVPN yang dibuat oleh klien palsu menggunakan 40 konfigurasi OpenVPN yang berbeda. Metode ini berhasil untuk 39 dari 40 konfigurasi yang diuji. Selain itu, selama delapan hari percobaan, total 3.638 sesi OpenVPN diidentifikasi dalam lalu lintas transit, dan 3.245 sesi di antaranya dipastikan valid.
Penting untuk dicatat bahwa Metode yang diusulkan memiliki batas atas positif palsu tiga kali lipat lebih kecil dari metode sebelumnya yang didasarkan pada penggunaan pembelajaran mesin. Hal ini menunjukkan bahwa metode yang dikembangkan oleh peneliti Universitas Michigan lebih akurat dan efisien dalam mengidentifikasi koneksi OpenVPN dalam lalu lintas jaringan.
Kinerja metode perlindungan sniffing lalu lintas OpenVPN pada layanan komersial dievaluasi melalui pengujian terpisah. Dari 41 layanan VPN yang diuji menggunakan metode penyelubungan lalu lintas OpenVPN, lalu lintas teridentifikasi dalam 34 kasus. Layanan yang tidak dapat dideteksi menggunakan lapisan tambahan di atas OpenVPN untuk menyembunyikan lalu lintas, seperti meneruskan lalu lintas OpenVPN melalui terowongan terenkripsi tambahan. Sebagian besar layanan yang berhasil diidentifikasi menggunakan distorsi lalu lintas XOR, lapisan kebingungan tambahan tanpa bantalan lalu lintas acak yang memadai, atau adanya layanan OpenVPN yang tidak dikaburkan di server yang sama.
Jika Anda tertarik untuk mempelajarinya lebih lanjut, Anda dapat berkonsultasi detailnya di link berikut.