Kajian terbaru menunjukkan bagaimana mungkin untuk mengenal pasti sambungan yang menggunakan OpenVPN

Darkcrizt

Minit 4

Cap Jari VPN

Kaedah pengesanan sesi OpenVPN

Dalam artikel tentang keselamatan dan kelemahan yang telah saya kongsikan di blog ini, mereka biasanya menyebut bahawa tiada sistem, perkakasan atau pelaksanaan yang selamat, kerana tidak kira betapa ia mendakwa 100% boleh dipercayai, berita tentang kelemahan yang dikesan telah menunjukkan kepada kami. bertentangan dengan. .

Sebab untuk menyebut perkara ini ialah baru-baru ini a kumpulan penyelidik dari Universiti Michigan menjalankan kajian tentang mengenal pasti sambungan VPN berasaskan OpenVPN, yang menunjukkan kepada kami bahawa penggunaan VPN tidak memastikan contoh kami pada rangkaian adalah selamat.

Kaedah yang digunakan oleh penyelidik dipanggil “Pencapan Jari VPN”, yang memantau trafik transit dan dalam kajian yang dijalankan Tiga kaedah berkesan telah ditemui untuk mengenal pasti protokol OpenVPN antara paket rangkaian lain, yang boleh digunakan dalam sistem pemeriksaan trafik untuk menyekat rangkaian maya yang menggunakan OpenVPN.

Dalam ujian yang dijalankan pada rangkaian penyedia Internet Merit, yang mempunyai lebih daripada sejuta pengguna, menunjukkan bahawa Kaedah ini boleh mengenal pasti 85% sesi OpenVPN dengan tahap positif palsu yang rendah. Untuk menjalankan ujian, satu set alat telah digunakan yang mengesan trafik OpenVPN dalam masa nyata dalam mod pasif dan kemudian mengesahkan ketepatan keputusan melalui semakan aktif dengan pelayan. Semasa percubaan, penganalisis yang dicipta oleh penyelidik mengendalikan aliran trafik dengan intensiti kira-kira 20 Gbps.

Kaedah pengenalan yang digunakan adalah berdasarkan pemerhatian corak khusus OpenVPN dalam pengepala paket yang tidak disulitkan, saiz paket ACK dan tindak balas pelayan.

  • Di dalamnya Kes pertama, ia dipautkan kepada corak dalam medan "kod operasi".» dalam pengepala paket semasa peringkat rundingan sambungan, yang berubah mengikut ramalan bergantung pada konfigurasi sambungan. Pengenalpastian dicapai dengan mengenal pasti urutan tertentu perubahan opcode dalam beberapa paket pertama aliran data.
  • Kaedah kedua adalah berdasarkan saiz khusus paket ACK digunakan dalam OpenVPN semasa peringkat rundingan sambungan. Pengenalpastian dilakukan dengan mengiktiraf bahawa paket ACK dengan saiz tertentu berlaku hanya dalam bahagian tertentu sesi, seperti semasa memulakan sambungan OpenVPN di mana paket ACK pertama biasanya merupakan paket data ketiga yang dihantar dalam sesi.
  • El Kaedah ketiga melibatkan pemeriksaan aktif dengan meminta tetapan semula sambungan, di mana pelayan OpenVPN menghantar paket RST tertentu sebagai tindak balas. Yang penting, semakan ini tidak berfungsi apabila menggunakan mod tls-auth, kerana pelayan OpenVPN mengabaikan permintaan daripada pelanggan yang tidak disahkan melalui TLS.

Hasil kajian menunjukkan bahawa penganalisis berjaya mengenal pasti 1.718 daripada 2.000 ujian sambungan OpenVPN yang diwujudkan oleh klien penipuan menggunakan 40 konfigurasi OpenVPN biasa yang berbeza. Kaedah ini berjaya berfungsi untuk 39 daripada 40 konfigurasi yang diuji. Selain itu, sepanjang lapan hari percubaan, sebanyak 3.638 sesi OpenVPN telah dikenal pasti dalam trafik transit, yang mana 3.245 sesi telah disahkan sebagai sah.

Adalah penting untuk ambil perhatian bahawa Kaedah yang dicadangkan mempunyai had atas positif palsu tiga susunan magnitud lebih kecil daripada kaedah sebelumnya berdasarkan penggunaan pembelajaran mesin. Ini menunjukkan bahawa kaedah yang dibangunkan oleh penyelidik Universiti Michigan adalah lebih tepat dan cekap dalam mengenal pasti sambungan OpenVPN dalam trafik rangkaian.

Prestasi kaedah perlindungan menghidu trafik OpenVPN pada perkhidmatan komersial dinilai melalui ujian berasingan. Daripada 41 perkhidmatan VPN yang diuji yang menggunakan kaedah penyelubungan trafik OpenVPN, trafik dikenal pasti dalam 34 kes. Perkhidmatan yang tidak dapat dikesan menggunakan lapisan tambahan di atas OpenVPN untuk menyembunyikan trafik, seperti memajukan trafik OpenVPN melalui terowong tambahan yang disulitkan. Kebanyakan perkhidmatan yang berjaya dikenal pasti menggunakan herotan trafik XOR, lapisan tambahan kekeliruan tanpa padding trafik rawak yang mencukupi, atau kehadiran perkhidmatan OpenVPN yang tidak dikaburkan pada pelayan yang sama.

Jika anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh merujuk butiran di pautan berikut.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.