Niedawne badanie pokazuje, jak można zidentyfikować połączenia korzystające z OpenVPN

Darkcrizt

4 minut

Odcisk palca VPN

Metoda wykrywania sesji OpenVPN

W artykułach na temat bezpieczeństwa i luk, które udostępniam tutaj na blogu, zwykle wspominają, że żaden system, sprzęt ani wdrożenie nie jest bezpieczne, ponieważ niezależnie od tego, jak bardzo twierdzi, że jest w 100% niezawodny, wiadomość o wykrytych lukach pokazała nam przeciwieństwo. .

Powodem, dla którego o tym wspominam, jest to, że niedawno a grupa badaczy z Uniwersytetu Michigan przeprowadził badanie dotyczące identyfikacji połączeń VPN opartych na OpenVPN, co pokazuje nam, że korzystanie z VPN nie gwarantuje bezpieczeństwa naszej instancji w sieci.

Metoda zastosowana przez badaczy to tzw „Odcisk palca VPN”, monitorujących ruch tranzytowy oraz w prowadzonym badaniu Odkryto trzy skuteczne metody identyfikacji protokołu OpenVPN między innymi pakietami sieciowymi, które można wykorzystać w systemach kontroli ruchu do blokowania sieci wirtualnych korzystających z OpenVPN.

W przeprowadzonych testach Pokazał to w sieci dostawcy Internetu Merit, który ma ponad milion użytkowników metody te mogą zidentyfikować 85% sesji OpenVPN z niskim poziomem fałszywych alarmów. Do przeprowadzenia testów wykorzystano zestaw narzędzi, które wykrywały ruch OpenVPN w czasie rzeczywistym w trybie pasywnym, a następnie weryfikowały dokładność wyniku poprzez aktywną kontrolę z serwerem. W trakcie eksperymentu stworzony przez badaczy analizator obsługiwał ruch o natężeniu około 20 Gbps.

Stosowane metody identyfikacji opierają się na obserwacji wzorców specyficznych dla OpenVPN w niezaszyfrowanych nagłówkach pakietów, rozmiary pakietów ACK i odpowiedzi serwera.

  • W W pierwszym przypadku jest on powiązany ze wzorcem w polu „kod operacji”.» w nagłówku pakietu podczas etapu negocjacji połączenia, który zmienia się przewidywalnie w zależności od konfiguracji połączenia. Identyfikację osiąga się poprzez identyfikację określonej sekwencji zmian kodu operacyjnego w kilku pierwszych pakietach przepływu danych.
  • Druga metoda opiera się na określonym rozmiarze pakietów ACK używane w OpenVPN na etapie negocjacji połączenia. Identyfikacja odbywa się poprzez rozpoznanie, że pakiety ACK o danym rozmiarze występują tylko w niektórych częściach sesji, na przykład podczas inicjowania połączenia OpenVPN, gdzie pierwszy pakiet ACK jest zazwyczaj trzecim pakietem danych wysyłanym w sesji.
  • El Trzecia metoda obejmuje aktywną kontrolę poprzez żądanie resetowania połączenia, gdzie serwer OpenVPN wysyła w odpowiedzi określony pakiet RST. Co ważne, to sprawdzenie nie działa w przypadku korzystania z trybu tls-auth, ponieważ serwer OpenVPN ignoruje żądania od nieuwierzytelnionych klientów za pośrednictwem protokołu TLS.

Wyniki badania wykazały, że analizator był w stanie skutecznie zidentyfikować 1.718 z 2.000 testowych połączeń OpenVPN nawiązanych przez fałszywego klienta przy użyciu 40 różnych typowych konfiguracji OpenVPN. Metoda zadziałała pomyślnie w przypadku 39 z 40 przetestowanych konfiguracji. Dodatkowo w ciągu ośmiu dni eksperymentu w ruchu tranzytowym zidentyfikowano łącznie 3.638 sesji OpenVPN, z czego 3.245 sesji potwierdzono jako ważne.

Należy to zauważyć Proponowana metoda ma górną granicę wyników fałszywie dodatnich o trzy rzędy wielkości mniejsze niż poprzednie metody oparte na wykorzystaniu uczenia maszynowego. Sugeruje to, że metody opracowane przez badaczy z Uniwersytetu Michigan są dokładniejsze i skuteczniejsze w identyfikowaniu połączeń OpenVPN w ruchu sieciowym.

Skuteczność metod ochrony podsłuchiwania ruchu OpenVPN w usługach komercyjnych została oceniona w oddzielnych testach. Spośród 41 przetestowanych usług VPN, które korzystały z metod maskowania ruchu OpenVPN, ruch zidentyfikowano w 34 przypadkach. Usługi, których nie udało się wykryć, korzystały z dodatkowych warstw na wierzchu OpenVPN, aby ukryć ruch, na przykład przekierowując ruch OpenVPN przez dodatkowy zaszyfrowany tunel. Większość usług z powodzeniem zidentyfikowała używane zniekształcenia ruchu XOR, dodatkowe warstwy zaciemniania bez odpowiedniego dopełniania ruchu losowego lub obecność niezaciemnionych usług OpenVPN na tym samym serwerze.

Jeśli chcesz dowiedzieć się więcej na ten temat, możesz zapoznać się ze szczegółami pod adresem poniższy link.


Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.