Uit een recent onderzoek blijkt hoe het mogelijk is om verbindingen te identificeren die gebruik maken van OpenVPN

Darkcrizt

4 minuten

VPN-vingerafdrukken

OpenVPN-sessiedetectiemethode

In de artikelen over beveiliging en kwetsbaarheden die ik hier op de blog heb gedeeld, vermelden ze meestal dat geen enkel systeem, hardware of implementatie veilig is, want hoezeer het ook claimt 100% betrouwbaar te zijn, het nieuws over gedetecteerde kwetsbaarheden heeft ons laten zien het tegenovergestelde. .

De reden om dit te vermelden is dat onlangs a groep onderzoekers van de Universiteit van Michigan heeft een onderzoek uitgevoerd naar het identificeren van op OpenVPN gebaseerde VPN-verbindingen, waaruit blijkt dat het gebruik van VPN's er niet voor zorgt dat onze instantie op het netwerk veilig is.

De methode die de onderzoekers gebruiken heet “VPN-vingerafdrukken”, die het transitverkeer monitoren en in het uitgevoerde onderzoek Er zijn drie effectieve methoden ontdekt om het OpenVPN-protocol te identificeren onder andere netwerkpakketten, die kunnen worden gebruikt in verkeersinspectiesystemen om virtuele netwerken te blokkeren die OpenVPN gebruiken.

In de uitgevoerde tests op het netwerk van internetprovider Merit, die ruim een ​​miljoen gebruikers heeft, bleek dat deze methoden zouden 85% van de OpenVPN-sessies kunnen identificeren met een laag aantal valse positieven. Om de tests uit te voeren, werd een set tools gebruikt die OpenVPN-verkeer in realtime in passieve modus detecteerden en vervolgens de nauwkeurigheid van het resultaat verifieerden via een actieve controle met de server. Tijdens het experiment verwerkte de door de onderzoekers gemaakte analyser een verkeersstroom met een intensiteit van ongeveer 20 Gbps.

De gebruikte identificatiemethoden zijn gebaseerd op de observatie van OpenVPN-specifieke patronen in niet-versleutelde pakketheaders, ACK-pakketgroottes en serverreacties.

  • In de In het eerste geval is het gekoppeld aan een patroon in het veld "bewerkingscode".» in de pakketheader tijdens de verbindingsonderhandelingsfase, die voorspelbaar verandert afhankelijk van de verbindingsconfiguratie. Identificatie wordt bereikt door het identificeren van een specifieke reeks opcodewijzigingen in de eerste paar pakketten van de datastroom.
  • De tweede methode is gebaseerd op de specifieke grootte van de ACK-pakketten gebruikt in OpenVPN tijdens de verbindingsonderhandelingsfase. Identificatie wordt gedaan door te herkennen dat ACK-pakketten van een bepaalde grootte alleen in bepaalde delen van de sessie voorkomen, zoals bij het initiëren van een OpenVPN-verbinding waarbij het eerste ACK-pakket doorgaans het derde datapakket is dat in de sessie wordt verzonden.
  • El De derde methode omvat een actieve controle door een verbindingsreset aan te vragen, waarbij de OpenVPN-server als reactie een specifiek RST-pakket verzendt. Belangrijk is dat deze controle niet werkt bij gebruik van de tls-auth-modus, omdat de OpenVPN-server verzoeken van niet-geverifieerde clients via TLS negeert.

De resultaten van het onderzoek toonden aan dat de analysator met succes 1.718 van de 2.000 test-OpenVPN-verbindingen kon identificeren die tot stand waren gebracht door een frauduleuze klant met behulp van 40 verschillende typische OpenVPN-configuraties. De methode werkte succesvol voor 39 van de 40 geteste configuraties. Bovendien werden tijdens de acht dagen van het experiment in totaal 3.638 OpenVPN-sessies geïdentificeerd in het transitverkeer, waarvan 3.245 sessies als geldig werden bevestigd.

Het is belangrijk om op te merken dat De voorgestelde methode heeft een bovengrens voor valse positieven drie ordes van grootte kleiner dan eerdere methoden gebaseerd op het gebruik van machine learning. Dit suggereert dat de methoden die zijn ontwikkeld door onderzoekers van de Universiteit van Michigan nauwkeuriger en efficiënter zijn in het identificeren van OpenVPN-verbindingen in netwerkverkeer.

De prestaties van OpenVPN-beveiligingsmethoden voor het snuiven van verkeer op commerciële diensten werden geëvalueerd via afzonderlijke tests. Van de 41 geteste VPN-diensten die gebruik maakten van OpenVPN-verkeerscamouflagemethoden, werd in 34 gevallen verkeer geïdentificeerd. De diensten die niet konden worden gedetecteerd, gebruikten extra lagen bovenop OpenVPN om verkeer te verbergen, zoals het doorsturen van OpenVPN-verkeer via een extra gecodeerde tunnel. De meeste met succes geïdentificeerde services maakten gebruik van XOR-verkeersvervorming, extra verduisteringslagen zonder voldoende willekeurige verkeersopvulling, of de aanwezigheid van niet-versluierde OpenVPN-services op dezelfde server.

Als u er meer over wilt weten, kunt u de details raadplegen op: de volgende link.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.