Um estudo recente mostra como é possível identificar conexões que utilizam OpenVPN

Darkcrizt

Minutos 4

Impressão digital VPN

Método de detecção de sessão OpenVPN

Nos artigos sobre segurança e vulnerabilidades que tenho compartilhado aqui no blog, costumam mencionar que nenhum sistema, hardware ou implementação é seguro, pois por mais que se diga 100% confiável, as notícias sobre vulnerabilidades detectadas têm nos mostrado o oposto. .

A razão para mencionar isto é que recentemente um grupo de pesquisadores da Universidade de Michigan conduziu um estudo sobre como identificar conexões VPN baseadas em OpenVPN, o que nos mostra que o uso de VPNs não garante que nossa instância na rede seja segura.

O método utilizado pelos pesquisadores é denominado “Impressão digital VPN”, que monitoram o tráfego de trânsito e no estudo realizado Três métodos eficazes foram descobertos para identificar o protocolo OpenVPN entre outros pacotes de rede, que podem ser utilizados em sistemas de inspeção de tráfego para bloquear redes virtuais que utilizam OpenVPN.

Nos testes realizados na rede do provedor de Internet Merit, que conta com mais de um milhão de usuários, mostrou que esses métodos poderiam identificar 85% das sessões OpenVPN com um baixo nível de falsos positivos. Para a realização dos testes foi utilizado um conjunto de ferramentas que detectou o tráfego OpenVPN em tempo real em modo passivo e posteriormente verificou a veracidade do resultado através de uma verificação ativa com o servidor. Durante o experimento, o analisador criado pelos pesquisadores administrou um fluxo de tráfego com intensidade de aproximadamente 20 Gbps.

Os métodos de identificação utilizados são baseados na observação de padrões específicos do OpenVPN em cabeçalhos de pacotes não criptografados, tamanhos de pacotes ACK e respostas do servidor.

  • No Primeiro caso, está vinculado a um padrão no campo “código de operação”» no cabeçalho do pacote durante o estágio de negociação da conexão, que muda previsivelmente dependendo da configuração da conexão. A identificação é obtida identificando uma sequência específica de alterações no código de operação nos primeiros pacotes do fluxo de dados.
  • O segundo método é baseado no tamanho específico dos pacotes ACK usado no OpenVPN durante a fase de negociação da conexão. A identificação é feita reconhecendo que os pacotes ACK de um determinado tamanho ocorrem apenas em certas partes da sessão, como ao iniciar uma conexão OpenVPN, onde o primeiro pacote ACK é normalmente o terceiro pacote de dados enviado na sessão.
  • El O terceiro método envolve uma verificação ativa solicitando uma redefinição de conexão, onde o servidor OpenVPN envia um pacote RST específico em resposta. É importante ressaltar que esta verificação não funciona ao usar o modo tls-auth, pois o servidor OpenVPN ignora solicitações de clientes não autenticados via TLS.

Os resultados do estudo mostraram que o analisador foi capaz de identificar com sucesso 1.718 de 2.000 conexões OpenVPN de teste estabelecidas por um cliente fraudulento usando 40 configurações OpenVPN típicas diferentes. O método funcionou com sucesso em 39 das 40 configurações testadas. Além disso, durante os oito dias de experiência, foram identificadas um total de 3.638 sessões OpenVPN no tráfego de trânsito, das quais 3.245 sessões foram confirmadas como válidas.

É importante notar que O método proposto tem um limite superior de falsos positivos três ordens de grandeza menores que os métodos anteriores baseados no uso de aprendizado de máquina. Isto sugere que os métodos desenvolvidos pelos pesquisadores da Universidade de Michigan são mais precisos e eficientes na identificação de conexões OpenVPN no tráfego de rede.

O desempenho dos métodos de proteção contra detecção de tráfego OpenVPN em serviços comerciais foi avaliado através de testes separados. Dos 41 serviços VPN testados que usaram métodos de camuflagem de tráfego OpenVPN, o tráfego foi identificado em 34 casos. Os serviços que não puderam ser detectados usaram camadas adicionais sobre o OpenVPN para ocultar o tráfego, como o encaminhamento do tráfego OpenVPN através de um túnel criptografado adicional. A maioria dos serviços identificados com sucesso usavam distorção de tráfego XOR, camadas adicionais de ofuscação sem preenchimento de tráfego aleatório adequado ou a presença de serviços OpenVPN não ofuscados no mesmo servidor.

Se você estiver interessado em saber mais sobre isso, você pode consultar os detalhes em o seguinte link.


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.