OpenVPN seanso aptikimo metodas
Straipsniuose apie saugumą ir pažeidžiamumus, kuriais pasidalinau čia, tinklaraštyje, jie paprastai mini, kad jokia sistema, aparatinė įranga ar diegimas nėra saugūs, nes nesvarbu, kiek jie teigia esantys 100% patikimi, naujienos apie aptiktus pažeidžiamumus mums parodė. priešingybė. .
Priežastis tai paminėti yra ta, kad neseniai a tyrėjų grupė iš Mičigano universiteto atliko OpenVPN pagrįstų VPN jungčių nustatymo tyrimą, kuris parodo, kad VPN naudojimas neužtikrina, kad mūsų egzempliorius tinkle yra saugus.
Tyrėjų naudojamas metodas vadinamas „VPN pirštų atspaudai“, kurie stebi tranzitinį eismą ir atliekamame tyrime Buvo atrasti trys veiksmingi metodai OpenVPN protokolui identifikuoti be kitų tinklo paketų, kurie gali būti naudojami eismo tikrinimo sistemose, siekiant blokuoti virtualius tinklus, kurie naudoja OpenVPN.
Atliktuose bandymuose daugiau nei milijoną vartotojų turinčiame interneto tiekėjo Merit tinkle tą parodė Šie metodai gali nustatyti 85% OpenVPN seansų su mažu klaidingų teigiamų rezultatų lygiu. Bandymams atlikti buvo naudojamas įrankių rinkinys, kuris realiuoju laiku aptikdavo OpenVPN srautą pasyviuoju režimu, o tada patikrino rezultato tikslumą per aktyvų patikrinimą su serveriu. Eksperimento metu mokslininkų sukurtas analizatorius valdė maždaug 20 Gbps intensyvumo srautą.
Naudojami identifikavimo metodai yra pagrįsti OpenVPN specifinių šablonų stebėjimu nešifruotose paketų antraštėse, ACK paketų dydžiai ir serverio atsakymai.
- Į Pirmuoju atveju jis susietas su šablonu lauke „operacijos kodas“.» paketo antraštėje prisijungimo derybų etape, kuri nuspėjamai keičiasi priklausomai nuo ryšio konfigūracijos. Identifikavimas pasiekiamas identifikuojant konkrečią operacinės sistemos pakeitimų seką keliuose pirmuosiuose duomenų srauto paketuose.
- Antrasis metodas pagrįstas konkrečiu ACK paketų dydžiu naudojamas OpenVPN prisijungimo derybų etape. Identifikavimas atliekamas pripažįstant, kad tam tikro dydžio ACK paketai atsiranda tik tam tikrose seanso dalyse, pavyzdžiui, inicijuojant OpenVPN ryšį, kur pirmasis ACK paketas paprastai yra trečiasis duomenų paketas, išsiųstas per sesiją.
- El Trečiasis metodas apima aktyvų patikrinimą, prašant atkurti ryšį, kur „OpenVPN“ serveris atsakydamas siunčia konkretų RST paketą. Svarbu tai, kad šis patikrinimas neveikia naudojant tls-auth režimą, nes OpenVPN serveris nepaiso neautentifikuotų klientų užklausų per TLS.
Tyrimo rezultatai parodė, kad analizatorius sugebėjo sėkmingai identifikuoti 1.718 iš 2.000 bandomųjų OpenVPN jungčių, kurias užmezgė apgaulingas klientas, naudodamas 40 skirtingų tipinių OpenVPN konfigūracijų. Metodas sėkmingai veikė 39 iš 40 išbandytų konfigūracijų. Be to, per aštuonias eksperimento dienas tranzito sraute iš viso buvo nustatytos 3.638 OpenVPN seansai, iš kurių 3.245 seansai buvo patvirtinti kaip galiojantys.
Svarbu tai pažymėti Siūlomas metodas turi viršutinę klaidingų teigiamų rezultatų ribą trimis dydžiais mažesnis nei ankstesni metodai, pagrįsti mašininio mokymosi naudojimu. Tai rodo, kad Mičigano universiteto mokslininkų sukurti metodai yra tikslesni ir efektyvesni nustatant OpenVPN ryšius tinklo sraute.
OpenVPN srauto užuostymo apsaugos metodų veikimas komercinėse paslaugose buvo įvertintas atliekant atskirus testus. Iš 41 patikrintos VPN paslaugos, kuriose buvo naudojami OpenVPN srauto maskavimo metodai, srautas buvo nustatytas 34 atvejais. Paslaugos, kurių nepavyko aptikti, naudojo papildomus „OpenVPN“ sluoksnius, kad paslėptų srautą, pvz., „OpenVPN“ srautą persiųsdavo per papildomą šifruotą tunelį. Dauguma paslaugų sėkmingai nustatė naudotą XOR srauto iškraipymą, papildomus užtemdymo sluoksnius be tinkamo atsitiktinio srauto užpildymo arba neužtemdytų OpenVPN paslaugų buvimą tame pačiame serveryje.
Jei norite sužinoti daugiau apie tai, išsamią informaciją galite rasti adresu šią nuorodą.