Metoda zaznavanja seje OpenVPN
V člankih o varnosti in ranljivostih, ki sem jih delil tukaj na blogu, običajno omenjajo, da noben sistem, strojna oprema ali izvedba ni varen, saj ne glede na to, koliko trdi, da je 100% zanesljiv, so nam novice o odkritih ranljivostih pokazale nasprotno. .
Razlog za omembo tega je, da je nedavno a skupina raziskovalcev z Univerze v Michiganu je izvedel študijo o prepoznavanju povezav VPN, ki temeljijo na OpenVPN, ki nam pokaže, da uporaba VPN-jev ne zagotavlja, da je naš primerek v omrežju varen.
Metoda, ki so jo uporabili raziskovalci, se imenuje "VPN prstni odtis", ki spremljajo tranzitni promet in v izvedeni študiji Za prepoznavanje protokola OpenVPN so bile odkrite tri učinkovite metode med drugimi omrežnimi paketi, ki se lahko uporabljajo v sistemih za nadzor prometa za blokiranje virtualnih omrežij, ki uporabljajo OpenVPN.
V opravljenih testih v omrežju internetnega ponudnika Merit, ki ima več kot milijon uporabnikov, je pokazala, da te metode bi lahko identificirale 85 % sej OpenVPN z nizko stopnjo lažno pozitivnih rezultatov. Za izvedbo testov je bil uporabljen nabor orodij, ki so v realnem času v pasivnem načinu zaznala promet OpenVPN in nato z aktivnim preverjanjem s strežnikom preverila točnost rezultata. Med poskusom je analizator, ki so ga ustvarili raziskovalci, obravnaval prometni tok z intenzivnostjo približno 20 Gbps.
Uporabljene metode identifikacije temeljijo na opazovanju vzorcev, specifičnih za OpenVPN v nešifriranih glavah paketov, velikosti paketov ACK in odzivov strežnika.
- V V prvem primeru je povezan z vzorcem v polju "koda operacije".» v glavi paketa med fazo pogajanj o povezavi, ki se predvidljivo spreminja glede na konfiguracijo povezave. Identifikacija se doseže z identifikacijo določenega zaporedja sprememb operacijske kode v prvih nekaj paketih pretoka podatkov.
- Druga metoda temelji na določeni velikosti paketov ACK ki se uporablja v OpenVPN med fazo pogajanj o povezavi. Identifikacija se izvede s prepoznavanjem, da se paketi ACK določene velikosti pojavijo samo v določenih delih seje, na primer pri vzpostavitvi povezave OpenVPN, kjer je prvi paket ACK običajno tretji podatkovni paket, poslan v seji.
- El Tretja metoda vključuje aktivno preverjanje z zahtevo po ponastavitvi povezave, kjer strežnik OpenVPN kot odgovor pošlje določen paket RST. Pomembno je, da to preverjanje ne deluje pri uporabi načina tls-auth, saj strežnik OpenVPN ignorira zahteve nepreverjenih odjemalcev prek TLS.
Rezultati študije so pokazali, da je analizator uspel uspešno identificirati 1.718 od 2.000 testnih povezav OpenVPN, ki jih je vzpostavil goljufivi odjemalec z uporabo 40 različnih tipičnih konfiguracij OpenVPN. Metoda je uspešno delovala pri 39 od 40 testiranih konfiguracij. Poleg tega je bilo v osmih dneh poskusa identificiranih skupno 3.638 sej OpenVPN v tranzitnem prometu, od katerih je bilo 3.245 sej potrjenih kot veljavnih.
Pomembno je to upoštevati Predlagana metoda ima zgornjo mejo lažno pozitivnih rezultatov tri velikosti manjši od prejšnjih metod, ki temeljijo na uporabi strojnega učenja. To nakazuje, da so metode, ki so jih razvili raziskovalci Univerze v Michiganu, natančnejše in učinkovitejše pri prepoznavanju povezav OpenVPN v omrežnem prometu.
Delovanje metod zaščite pred vohanjem prometa OpenVPN pri komercialnih storitvah je bilo ovrednoteno z ločenimi testi. Od 41 testiranih storitev VPN, ki so uporabljale metode prikrivanja prometa OpenVPN, je bil promet identificiran v 34 primerih. Storitve, ki jih ni bilo mogoče zaznati, so uporabljale dodatne plasti na vrhu OpenVPN za skrivanje prometa, kot je posredovanje prometa OpenVPN prek dodatnega šifriranega tunela. Večina storitev je uspešno identificirala uporabljeno izkrivljanje prometa XOR, dodatne plasti zakrivanja brez ustreznega naključnega oblazinjenja prometa ali prisotnost nezakritih storitev OpenVPN na istem strežniku.
Če vas zanima več o tem, si lahko ogledate podrobnosti na naslednjo povezavo.