OpenVPN 세션 감지 방법
여기 블로그에서 공유한 보안 및 취약점에 대한 기사에서는 시스템, 하드웨어 또는 구현이 안전하지 않다고 일반적으로 언급합니다. 아무리 100% 신뢰할 수 있다고 주장하더라도 발견된 취약점에 대한 뉴스를 통해 우리는 이를 알 수 있기 때문입니다. 반대. .
이것을 언급하는 이유는 최근에 연구원 그룹 미시간 대학교 출신 OpenVPN 기반 VPN 연결 식별에 대한 연구를 수행했습니다.이는 VPN을 사용해도 네트워크의 인스턴스가 안전하다는 것을 보장하지 않는다는 것을 보여줍니다.
연구진이 사용한 방법은 다음과 같다. "VPN 핑거프린팅", 대중 교통을 모니터링하고 연구를 수행했습니다. OpenVPN 프로토콜을 식별하는 세 가지 효과적인 방법이 발견되었습니다. OpenVPN을 사용하는 가상 네트워크를 차단하기 위해 트래픽 검사 시스템에서 사용할 수 있는 다른 네트워크 패킷 중 하나입니다.
실시한 테스트에서는 백만 명 이상의 사용자를 보유한 인터넷 제공업체 Merit의 네트워크에서 다음과 같은 결과가 나타났습니다. 이러한 방법을 사용하면 낮은 수준의 오탐률로 OpenVPN 세션의 85%를 식별할 수 있습니다. 테스트를 수행하기 위해 패시브 모드에서 실시간으로 OpenVPN 트래픽을 감지한 후 서버와의 액티브 체크를 통해 결과의 정확성을 검증하는 일련의 도구가 사용되었습니다. 실험 동안 연구진이 만든 분석기는 약 20Gbps 강도의 트래픽 흐름을 처리했습니다.
사용된 식별 방법은 OpenVPN 관련 패턴 관찰을 기반으로 합니다. 암호화되지 않은 패킷 헤더, ACK 패킷 크기 및 서버 응답.
- 의 첫 번째 경우, "작업 코드" 필드의 패턴에 연결됩니다.» 연결 협상 단계 중 패킷 헤더에 포함되며 연결 구성에 따라 예상대로 변경됩니다. 데이터 흐름의 처음 몇 패킷에서 특정 opcode 변경 시퀀스를 식별하여 식별이 이루어집니다.
- 두 번째 방법은 ACK 패킷의 특정 크기를 기반으로 합니다. 연결 협상 단계에서 OpenVPN에서 사용됩니다. 식별은 첫 번째 ACK 패킷이 일반적으로 세션에서 전송된 세 번째 데이터 패킷인 OpenVPN 연결을 시작할 때와 같이 특정 크기의 ACK 패킷이 세션의 특정 부분에서만 발생한다는 것을 인식하여 수행됩니다.
- El 세 번째 방법은 연결 재설정을 요청하여 능동적으로 확인하는 것입니다., OpenVPN 서버는 응답으로 특정 RST 패킷을 보냅니다. 중요한 점은 OpenVPN 서버가 TLS를 통해 인증되지 않은 클라이언트의 요청을 무시하므로 tls-auth 모드를 사용할 때 이 검사가 작동하지 않는다는 것입니다.
연구 결과에 따르면 이 분석기는 1.718가지 일반적인 OpenVPN 구성을 사용하여 사기 클라이언트가 설정한 2.000개의 테스트 OpenVPN 연결 중 40개를 성공적으로 식별할 수 있었습니다. 이 방법은 테스트된 39개 구성 중 40개에서 성공적으로 작동했습니다. 또한 실험 3.638일 동안 전송 트래픽에서 총 3.245개의 OpenVPN 세션이 확인되었으며, 이 중 XNUMX개의 세션이 유효한 것으로 확인되었습니다.
주의해야 할 점은 제안하는 방법은 거짓양성(false positive)의 상한선을 가지고 있다. 기계 학습을 기반으로 한 이전 방법보다 3배 더 작은 크기입니다. 이는 미시간 대학 연구진이 개발한 방법이 네트워크 트래픽에서 OpenVPN 연결을 식별하는 데 더 정확하고 효율적이라는 것을 의미합니다.
상용 서비스에 대한 OpenVPN 트래픽 스니핑 보호 방법의 성능은 별도의 테스트를 통해 평가되었습니다. OpenVPN 트래픽 클로킹 방법을 사용하여 테스트된 41개 VPN 서비스 중 34개 사례에서 트래픽이 식별되었습니다. 감지할 수 없는 서비스는 OpenVPN 위에 추가 레이어를 사용하여 추가 암호화 터널을 통해 OpenVPN 트래픽을 전달하는 등 트래픽을 숨겼습니다. 대부분의 서비스는 사용된 XOR 트래픽 왜곡, 적절한 무작위 트래픽 패딩이 없는 추가 난독화 계층 또는 동일한 서버에 난독화되지 않은 OpenVPN 서비스의 존재를 성공적으로 식별했습니다.
자세한 내용을 알고 싶으시면 다음에서 자세한 내용을 참조하십시오. 다음 링크.