Metóda detekcie relácie OpenVPN
V článkoch o bezpečnosti a zraniteľnostiach, ktoré som zdieľal tu na blogu, sa zvyčajne uvádza, že žiadny systém, hardvér alebo implementácia nie sú bezpečné, pretože bez ohľadu na to, ako veľmi sa vyhlasujú za 100% spoľahlivé, správy o zistených zraniteľnostiach nám ukázali opak. .
Dôvodom je to, že nedávno a skupina výskumníkov z University of Michigan uskutočnila štúdiu o identifikácii pripojení VPN založených na OpenVPN, čo nám ukazuje, že používanie sietí VPN nezabezpečuje bezpečnosť našej inštancie v sieti.
Metóda, ktorú výskumníci používajú, je tzv "VPN odtlačky prstov", ktoré monitorujú tranzitnú dopravu a vo vykonanej štúdii Boli objavené tri účinné metódy na identifikáciu protokolu OpenVPN okrem iných sieťových paketov, ktoré možno použiť v systémoch kontroly premávky na blokovanie virtuálnych sietí, ktoré používajú OpenVPN.
V uskutočnených testoch na sieti internetového poskytovateľa Merit, ktorý má viac ako milión užívateľov, to ukázal Tieto metódy by mohli identifikovať 85 % relácií OpenVPN s nízkou úrovňou falošných poplachov. Na vykonanie testov bola použitá sada nástrojov, ktoré detegovali prevádzku OpenVPN v reálnom čase v pasívnom režime a následne overili správnosť výsledku aktívnou kontrolou so serverom. Počas experimentu analyzátor vytvorený výskumníkmi zvládal tok premávky s intenzitou približne 20 Gbps.
Použité metódy identifikácie sú založené na pozorovaní vzorov špecifických pre OpenVPN v nešifrovaných hlavičkách paketov, veľkosti paketov ACK a odozvy servera.
- V Prvý prípad je prepojený so vzorom v poli „kód operácie“.» v hlavičke paketu počas fázy vyjednávania o pripojení, ktorá sa predvídateľne mení v závislosti od konfigurácie pripojenia. Identifikácia sa dosiahne identifikáciou špecifickej sekvencie zmien operačného kódu v prvých niekoľkých paketoch dátového toku.
- Druhá metóda je založená na špecifickej veľkosti ACK paketov používané v OpenVPN počas fázy vyjednávania o pripojení. Identifikácia sa vykonáva rozpoznaním, že ACK pakety danej veľkosti sa vyskytujú iba v určitých častiach relácie, ako napríklad pri inicializácii OpenVPN spojenia, kde prvý ACK paket je zvyčajne tretí dátový paket odoslaný v relácii.
- El Tretia metóda zahŕňa aktívnu kontrolu požiadaním o obnovenie pripojenia, kde server OpenVPN odošle špecifický paket RST ako odpoveď. Dôležité je, že táto kontrola nefunguje pri použití režimu tls-auth, pretože server OpenVPN ignoruje požiadavky od neoverených klientov cez TLS.
Výsledky štúdie ukázali, že analyzátor dokázal úspešne identifikovať 1.718 2.000 z 40 39 testovacích pripojení OpenVPN vytvorených podvodným klientom pomocou 40 rôznych typických konfigurácií OpenVPN. Metóda úspešne fungovala pre 3.638 zo 3.245 testovaných konfigurácií. Okrem toho počas ôsmich dní experimentu bolo v tranzitnej premávke identifikovaných celkovo XNUMX XNUMX relácií OpenVPN, z ktorých bolo XNUMX XNUMX relácií potvrdených ako platných.
Je dôležité si uvedomiť, že Navrhovaná metóda má hornú hranicu falošne pozitívnych výsledkov o tri rády menšie ako predchádzajúce metódy založené na využití strojového učenia. To naznačuje, že metódy vyvinuté výskumníkmi z University of Michigan sú presnejšie a efektívnejšie pri identifikácii pripojení OpenVPN v sieťovej prevádzke.
Výkon metód ochrany prenosu OpenVPN na komerčné služby bol hodnotený prostredníctvom samostatných testov. Zo 41 testovaných služieb VPN, ktoré používali metódy maskovania prenosu OpenVPN, bola návštevnosť identifikovaná v 34 prípadoch. Služby, ktoré nebolo možné zistiť, používali ďalšie vrstvy nad OpenVPN na skrytie prenosu, ako je napríklad presmerovanie prenosu OpenVPN cez ďalší šifrovaný tunel. Väčšina služieb úspešne identifikovala použité skreslenie prevádzky XOR, ďalšie vrstvy zahmlievania bez primeraného náhodného vypĺňania premávky alebo prítomnosť nezakrytých služieb OpenVPN na rovnakom serveri.
Ak máte záujem dozvedieť sa o ňom viac, podrobnosti môžete konzultovať na nasledujúci odkaz.