Недавнее исследование показывает, как можно идентифицировать соединения, использующие OpenVPN.

Darkcrizt

4 минут

VPN-отпечатки пальцев

Метод определения сеанса OpenVPN

В статьях о безопасности и уязвимостях, которыми я делюсь здесь, в блоге, обычно упоминается, что ни одна система, оборудование или реализация не являются безопасными, поскольку, как бы они ни претендули на 100% надежность, новости об обнаруженных уязвимостях показали нам противоположный. .

Причиной упоминания об этом является то, что недавно группа исследователей из Мичиганского университета провели исследование по выявлению VPN-подключений на базе OpenVPN, который показывает нам, что использование VPN не гарантирует безопасность нашего экземпляра в сети.

Метод, используемый исследователями, называется «VPN-дактилоскопия», которые контролируют транзитные перевозки и в ходе исследования проведены Обнаружено три эффективных метода идентификации протокола OpenVPN среди других сетевых пакетов, которые можно использовать в системах проверки трафика для блокировки виртуальных сетей, использующих OpenVPN.

В проведенных испытаниях в сети интернет-провайдера Merit, имеющей более миллиона пользователей, показало, что эти методы могут идентифицировать 85% сеансов OpenVPN с низким уровнем ложных срабатываний. Для проведения тестов использовался набор инструментов, которые обнаруживали OpenVPN-трафик в реальном времени в пассивном режиме, а затем проверяли точность результата посредством активной проверки с сервером. В ходе эксперимента созданный исследователями анализатор обрабатывал трафик интенсивностью около 20 Гбит/с.

Используемые методы идентификации основаны на наблюдении специфичных для OpenVPN шаблонов. в незашифрованных заголовках пакетов, размеры пакетов ACK и ответы сервера.

  • В В первом случае он привязан к шаблону в поле «код операции».» в заголовке пакета на этапе согласования соединения, который предсказуемо меняется в зависимости от конфигурации соединения. Идентификация достигается путем идентификации конкретной последовательности изменений кода операции в первых нескольких пакетах потока данных.
  • Второй метод основан на конкретном размере пакетов ACK. используется в OpenVPN на этапе согласования соединения. Идентификация осуществляется путем распознавания того, что пакеты ACK заданного размера возникают только в определенных частях сеанса, например, при инициировании соединения OpenVPN, где первый пакет ACK обычно является третьим пакетом данных, отправленным в сеансе.
  • El Третий метод предполагает активную проверку путем запроса сброса соединения., где сервер OpenVPN отправляет в ответ определенный пакет RST. Важно отметить, что эта проверка не работает при использовании режима tls-auth, поскольку сервер OpenVPN игнорирует запросы от неаутентифицированных клиентов через TLS.

Результаты исследования показали, что анализатору удалось успешно идентифицировать 1.718 из 2.000 тестовых OpenVPN-соединений, установленных мошенническим клиентом с использованием 40 различных типовых конфигураций OpenVPN. Метод успешно сработал в 39 из 40 протестированных конфигураций. Кроме того, за восемь дней эксперимента всего в транзитном трафике было выявлено 3.638 сессий OpenVPN, из них 3.245 сессий были подтверждены как действительные.

Важно Предлагаемый метод имеет верхний предел ложных срабатываний. на три порядка меньше, чем предыдущие методы, основанные на использовании машинного обучения. Это говорит о том, что методы, разработанные исследователями Мичиганского университета, более точны и эффективны при выявлении соединений OpenVPN в сетевом трафике.

Эффективность методов защиты от перехвата трафика OpenVPN на коммерческих сервисах оценивалась посредством отдельных тестов. Из 41 протестированного VPN-сервиса, использовавшего методы маскировки трафика OpenVPN, трафик был идентифицирован в 34 случаях. Службы, которые не удалось обнаружить, использовали дополнительные уровни поверх OpenVPN для сокрытия трафика, например перенаправление трафика OpenVPN через дополнительный зашифрованный туннель. Большинство успешно идентифицированных сервисов использовали искажение трафика XOR, дополнительные уровни запутывания без адекватного заполнения случайного трафика или наличие незапутанных сервисов OpenVPN на том же сервере.

Если вы хотите узнать больше об этом, вы можете ознакомиться с подробностями на по следующей ссылке.


Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.