Një studim i fundit tregon se si është e mundur të identifikohen lidhjet që përdorin OpenVPN

Darkcrizt

Minuta 4

Gjurmët e gishtave VPN

Metoda e zbulimit të sesionit OpenVPN

Në artikujt mbi sigurinë dhe dobësitë që kam shpërndarë këtu në blog, zakonisht përmendin se asnjë sistem, harduer apo zbatim nuk është i sigurt, pasi sado që pretendon se është 100% i besueshëm, lajmet për dobësitë e zbuluara na kanë treguar. e kundërta. .

Arsyeja e përmendjes së kësaj është se kohët e fundit a grup studiuesish nga Universiteti i Miçiganit kreu një studim për identifikimin e lidhjeve VPN të bazuara në OpenVPN, që na tregon se përdorimi i VPN-ve nuk siguron që shembulli ynë në rrjet të jetë i sigurt.

Metoda e përdorur nga studiuesit quhet "Gjurmë gishtash VPN", të cilat monitorojnë trafikun transit dhe në studimin e kryer U zbuluan tre metoda efektive për të identifikuar protokollin OpenVPN ndër paketat e tjera të rrjetit, të cilat mund të përdoren në sistemet e inspektimit të trafikut për të bllokuar rrjetet virtuale që përdorin OpenVPN.

Në testet e kryera në rrjetin e ofruesit të internetit Merit, i cili ka më shumë se një milion përdorues, tregoi se këto metoda mund të identifikojnë 85% të seancave OpenVPN me një nivel të ulët të pozitivëve të rremë. Për të kryer testet, u përdor një grup mjetesh që zbuluan trafikun OpenVPN në kohë reale në modalitetin pasiv dhe më pas verifikuan saktësinë e rezultatit përmes një kontrolli aktiv me serverin. Gjatë eksperimentit, analizuesi i krijuar nga studiuesit trajtoi një fluks trafiku me një intensitet prej afërsisht 20 Gbps.

Metodat e identifikimit të përdorura bazohen në vëzhgimin e modeleve specifike të OpenVPN në titujt e paketave të pakriptuara, madhësitë e paketave ACK dhe përgjigjet e serverit.

  • Rasti i parë, është i lidhur me një model në fushën "kodi i funksionimit".» në kokën e paketës gjatë fazës së negocimit të lidhjes, e cila ndryshon në mënyrë të parashikueshme në varësi të konfigurimit të lidhjes. Identifikimi arrihet duke identifikuar një sekuencë specifike të ndryshimeve të kodit optik në paketat e para të rrjedhës së të dhënave.
  • Metoda e dytë bazohet në madhësinë specifike të paketave ACK përdoret në OpenVPN gjatë fazës së negociatave të lidhjes. Identifikimi bëhet duke njohur që paketat ACK të një madhësie të caktuar ndodhin vetëm në pjesë të caktuara të seancës, si për shembull kur filloni një lidhje OpenVPN ku paketa e parë ACK është zakonisht paketa e tretë e të dhënave e dërguar në seancë.
  • El Metoda e tretë përfshin një kontroll aktiv duke kërkuar një rivendosje të lidhjes, ku serveri OpenVPN dërgon një paketë specifike RST si përgjigje. E rëndësishmja, ky kontroll nuk funksionon kur përdorni modalitetin tls-auth, pasi serveri OpenVPN injoron kërkesat nga klientët e paautentikuar përmes TLS.

Rezultatet e studimit treguan se analizuesi ishte në gjendje të identifikonte me sukses 1.718 nga 2.000 lidhjet testuese të OpenVPN të krijuara nga një klient mashtrues duke përdorur 40 konfigurime të ndryshme tipike OpenVPN. Metoda funksionoi me sukses për 39 nga 40 konfigurimet e testuara. Për më tepër, gjatë tetë ditëve të eksperimentit, gjithsej 3.638 seanca OpenVPN u identifikuan në trafikun transit, nga të cilat 3.245 seanca u konfirmuan si të vlefshme.

Shtë e rëndësishme të theksohet se Metoda e propozuar ka një kufi të sipërm të pozitivëve të rremë tre renditje të madhësisë më të vogla se metodat e mëparshme të bazuara në përdorimin e mësimit të makinerive. Kjo sugjeron që metodat e zhvilluara nga studiuesit e Universitetit të Miçiganit janë më të sakta dhe efikase në identifikimin e lidhjeve OpenVPN në trafikun e rrjetit.

Performanca e metodave të mbrojtjes nga nuhatja e trafikut OpenVPN në shërbimet tregtare u vlerësua përmes testeve të veçanta. Nga 41 shërbimet VPN të testuara që përdorën metoda të fshehjes së trafikut OpenVPN, trafiku u identifikua në 34 raste. Shërbimet që nuk mund të zbuloheshin përdorën shtresa shtesë në krye të OpenVPN për të fshehur trafikun, siç është përcjellja e trafikut OpenVPN përmes një tuneli shtesë të koduar. Shumica e shërbimeve të identifikuara me sukses përdorën shtrembërimin e trafikut XOR, shtresa shtesë të turbullimit pa mbushje adekuate të rastësishme të trafikut, ose praninë e shërbimeve OpenVPN jo të turbulluara në të njëjtin server.

Nëse jeni të interesuar të mësoni më shumë rreth tij, mund të konsultoni detajet në lidhja e mëposhtme.


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.