OpenVPNセッション検出方法
私がこのブログで共有したセキュリティと脆弱性に関する記事では、通常、システム、ハードウェア、実装がどれだけ 100% 信頼できると主張していても安全ではないということが述べられていますが、検出された脆弱性に関するニュースはそれを示しています。反対。 。
このことについて言及する理由は、最近、 研究者グループ ミシガン大学から OpenVPN ベースの VPN 接続の識別に関する調査を実施これは、VPN を使用してもネットワーク上のインスタンスの安全性が保証されないことを示しています。
研究者が使用した方法はと呼ばれます 「VPN フィンガープリンティング」、 交通交通を監視し、実施された研究では OpenVPN プロトコルを識別するための 3 つの効果的な方法が発見されました これは、トラフィック検査システムで OpenVPN を使用する仮想ネットワークをブロックするために使用できます。
実施されたテストでは 100万人以上のユーザーを抱えるインターネットプロバイダーMeritのネットワーク上で、 これらの方法では、誤検知のレベルが低い OpenVPN セッションの 85% を特定できます。 テストを実行するには、パッシブ モードで OpenVPN トラフィックをリアルタイムで検出し、サーバーとのアクティブ チェックを通じて結果の正確性を検証する一連のツールが使用されました。実験中、研究者が作成したアナライザーは、約 20 Gbps の強度のトラフィック フローを処理しました。
使用される識別方法は、OpenVPN 固有のパターンの観察に基づいています。 暗号化されていないパケットヘッダー内、ACK パケットのサイズとサーバーの応答。
- で 最初のケースでは、「操作コード」フィールドのパターンにリンクされています。» 接続ネゴシエーション段階でのパケット ヘッダー内。これは、接続構成に応じて予測どおりに変化します。識別は、データ フローの最初の数パケット内のオペコード変更の特定のシーケンスを識別することによって行われます。
- 2 番目の方法は、ACK パケットの特定のサイズに基づいています。 OpenVPN で接続ネゴシエーション段階で使用されます。識別は、特定のサイズの ACK パケットがセッションの特定の部分でのみ発生することを認識することによって行われます。たとえば、最初の ACK パケットがセッションで送信される 3 番目のデータ パケットである OpenVPN 接続を開始するときなどです。
- El 3 番目の方法には、接続のリセットを要求することによるアクティブなチェックが含まれます。ここで、OpenVPN サーバーは応答として特定の RST パケットを送信します。重要なのは、OpenVPN サーバーは TLS 経由の未認証クライアントからのリクエストを無視するため、tls-auth モードを使用している場合はこのチェックが機能しないことです。
調査の結果、アナライザーは、1.718 の異なる典型的な OpenVPN 構成を使用して、不正なクライアントによって確立された 2.000 のテスト OpenVPN 接続のうち 40 を正常に識別できたことが示されました。この方法は、テストした 39 の構成のうち 40 で正常に機能しました。さらに、3.638 日間の実験中に、合計 3.245 の OpenVPN セッションがトランジット トラフィックで特定され、そのうち XNUMX セッションが有効であることが確認されました。
注意することが重要です 提案手法には誤検知の上限がある 機械学習の使用に基づく以前の方法よりも 3 桁小さくなります。これは、ミシガン大学の研究者が開発した方法の方が、ネットワーク トラフィック内の OpenVPN 接続をより正確かつ効率的に識別できることを示唆しています。
商用サービスにおける OpenVPN トラフィック スニッフィング保護方式のパフォーマンスは、別のテストを通じて評価されました。 OpenVPN トラフィック クローキング手法を使用したテストされた 41 の VPN サービスのうち、34 のケースでトラフィックが特定されました。検出できなかったサービスは、OpenVPN トラフィックを追加の暗号化トンネル経由で転送するなど、OpenVPN 上の追加レイヤーを使用してトラフィックを隠蔽していました。識別に成功したサービスのほとんどは、XOR トラフィックの歪み、適切なランダム トラフィック パディングのない追加の難読化レイヤー、または同じサーバー上の難読化されていない OpenVPN サービスの存在を使用していました。
詳細については、次の Web サイトで詳細を確認できます。 次のリンク。