OpenVPN sesijas noteikšanas metode
Rakstos par drošību un ievainojamībām, ko esmu kopīgojis šeit, emuārā, viņi parasti piemin, ka neviena sistēma, aparatūra vai ieviešana nav droša, jo neatkarīgi no tā, cik tā apgalvo, ka tā ir 100% uzticama, ziņas par atklātajām ievainojamībām mums ir parādījušas. pretējs. .
Iemesls tam ir tas, ka nesen a pētnieku grupa no Mičiganas universitātes veica pētījumu par OpenVPN balstītu VPN savienojumu identificēšanu, kas parāda, ka VPN izmantošana nenodrošina mūsu instances drošību tīklā.
Pētnieku izmantotā metode tiek saukta “VPN pirkstu nospiedumu noņemšana”, kas uzrauga tranzīta satiksmi un veiktajā pētījumā Tika atklātas trīs efektīvas metodes, lai identificētu OpenVPN protokolu starp citām tīkla paketēm, kuras var izmantot satiksmes pārbaudes sistēmās, lai bloķētu virtuālos tīklus, kas izmanto OpenVPN.
Veiktajos testos interneta nodrošinātāja Merit tīklā, kuram ir vairāk nekā miljons lietotāju, to parādīja Šīs metodes var identificēt 85% OpenVPN sesiju ar zemu viltus pozitīvu rezultātu līmeni. Lai veiktu testus, tika izmantots rīku komplekts, kas pasīvajā režīmā reāllaikā noteica OpenVPN trafiku un pēc tam, aktīvi pārbaudot ar serveri, pārbaudīja rezultāta precizitāti. Eksperimenta laikā pētnieku izveidotais analizators apstrādāja satiksmes plūsmu ar aptuveni 20 Gbps intensitāti.
Izmantotās identifikācijas metodes ir balstītas uz OpenVPN specifisku modeļu novērošanu nešifrētās pakešu galvenēs, ACK pakešu izmēri un servera atbildes.
- Jo Pirmajā gadījumā tas ir saistīts ar modeli laukā "darbības kods".» pakešu galvenē savienojuma sarunu posmā, kas paredzami mainās atkarībā no savienojuma konfigurācijas. Identifikācija tiek panākta, identificējot noteiktu opkoda izmaiņu secību pirmajās datu plūsmas paketēs.
- Otrā metode ir balstīta uz īpašo ACK pakešu lielumu izmanto OpenVPN savienojuma sarunu posmā. Identifikācija tiek veikta, atzīstot, ka noteikta izmēra ACK paketes notiek tikai noteiktās sesijas daļās, piemēram, uzsākot OpenVPN savienojumu, kur pirmā ACK pakete parasti ir trešā datu pakete, kas tiek nosūtīta sesijā.
- El Trešā metode ietver aktīvu pārbaudi, pieprasot savienojuma atiestatīšanu, kur OpenVPN serveris atbildē nosūta konkrētu RST paketi. Svarīgi, ka šī pārbaude nedarbojas, izmantojot tls-auth režīmu, jo OpenVPN serveris ignorē pieprasījumus no neautentificētiem klientiem, izmantojot TLS.
Pētījuma rezultāti parādīja, ka analizators spēja veiksmīgi identificēt 1.718 no 2.000 testa OpenVPN savienojumiem, ko izveidojis krāpniecisks klients, izmantojot 40 dažādas tipiskas OpenVPN konfigurācijas. Metode veiksmīgi darbojās 39 no 40 pārbaudītajām konfigurācijām. Turklāt astoņu eksperimenta dienu laikā tranzīta trafikā tika identificētas 3.638 OpenVPN sesijas, no kurām 3.245 sesijas tika apstiprinātas kā derīgas.
Ir svarīgi to atzīmēt Piedāvātajai metodei ir viltus pozitīvu rezultātu augšējā robeža par trim kārtām mazākas nekā iepriekšējās metodes, kuru pamatā ir mašīnmācīšanās. Tas liek domāt, ka Mičiganas Universitātes pētnieku izstrādātās metodes ir precīzākas un efektīvākas, lai identificētu OpenVPN savienojumus tīkla trafikā.
OpenVPN trafika smirdēšanas aizsardzības metožu veiktspēja komercpakalpojumos tika novērtēta, izmantojot atsevišķus testus. No 41 pārbaudītā VPN pakalpojuma, kurā tika izmantotas OpenVPN trafika maskēšanas metodes, trafika tika identificēta 34 gadījumos. Pakalpojumi, kurus nevarēja noteikt, izmantoja papildu slāņus OpenVPN virspusē, lai slēptu trafiku, piemēram, OpenVPN trafika pārsūtīšana caur papildu šifrētu tuneli. Lielākā daļa pakalpojumu veiksmīgi identificēja izmantotos XOR trafika kropļojumus, papildu neskaidrības slāņus bez atbilstoša nejauša trafika polsterējuma vai neapjauktu OpenVPN pakalpojumu klātbūtni tajā pašā serverī.
Ja vēlaties uzzināt vairāk par to, varat uzzināt sīkāku informāciju vietnē šo saiti.