ОпенВПН метод откривања сесије
У чланцима о безбедности и рањивости које сам поделио овде на блогу, обично се помиње да ниједан систем, хардвер или имплементација није безбедан, јер колико год тврдио да је 100% поуздан, вести о откривеним рањивостима су нам показале супротно. .
Разлог за ово је да је недавно а grupa istraživača са Универзитета у Мичигену спровео студију о идентификацији ВПН веза заснованих на ОпенВПН-у, што нам показује да употреба ВПН-ова не осигурава да је наша инстанца на мрежи безбедна.
Метода коју користе истраживачи се зове „ВПН отисак прста“, који прате транзитни саобраћај и у спроведеној студији Откривене су три ефикасне методе за идентификацију ОпенВПН протокола између осталих мрежних пакета, који се могу користити у системима за инспекцију саобраћаја за блокирање виртуелних мрежа које користе ОпенВПН.
У спроведеним тестовима на мрежи интернет провајдера Мерит, који има више од милион корисника, показао је то ове методе би могле да идентификују 85% ОпенВПН сесија са ниским нивоом лажних позитивних резултата. За спровођење тестова коришћен је сет алата који су детектовали ОпенВПН саобраћај у реалном времену у пасивном режиму, а затим проверавали тачност резултата кроз активну проверу са сервером. Током експеримента, анализатор који су креирали истраживачи управљао је протоком саобраћаја са интензитетом од приближно 20 Гбпс.
Коришћене методе идентификације засноване су на посматрању образаца специфичних за ОпенВПН у нешифрованим заглављима пакета, величине АЦК пакета и одговора сервера.
- У Први случај, он је повезан са шаблоном у пољу „код операције“.» у заглављу пакета током фазе преговарања о вези, што се предвидиво мења у зависности од конфигурације везе. Идентификација се постиже идентификовањем специфичне секвенце промена кода операција у првих неколико пакета тока података.
- Други метод се заснива на специфичној величини АЦК пакета користи се у ОпенВПН-у током фазе преговарања о повезивању. Идентификација се врши препознавањем да се АЦК пакети дате величине јављају само у одређеним деловима сесије, као што је при покретању ОпенВПН везе где је први АЦК пакет обично трећи пакет података који се шаље у сесији.
- El Трећи метод укључује активну проверу захтевањем ресетовања везе, где ОпенВПН сервер као одговор шаље одређени РСТ пакет. Важно је да ова провера не функционише када се користи тлс-аутх режим, пошто ОпенВПН сервер игнорише захтеве клијената који нису аутентификовани преко ТЛС-а.
Резултати студије су показали да је анализатор успео да успешно идентификује 1.718 од 2.000 тестних ОпенВПН веза које је успоставио лажни клијент користећи 40 различитих типичних ОпенВПН конфигурација. Метода је успешно функционисала за 39 од 40 тестираних конфигурација. Поред тога, током осам дана експеримента, идентификовано је укупно 3.638 ОпенВПН сесија у транзитном саобраћају, од којих је 3.245 сесија потврђено као валидно.
Важно је то напоменути Предложена метода има горњу границу лажних позитивних резултата три реда величине мање од претходних метода заснованих на коришћењу машинског учења. Ово сугерише да су методе које су развили истраживачи Универзитета у Мичигену тачније и ефикасније у идентификацији ОпенВПН веза у мрежном саобраћају.
Учинак ОпенВПН метода заштите од њушкања саобраћаја на комерцијалним услугама је процењен кроз одвојене тестове. Од 41 тестиране ВПН услуге које су користиле ОпенВПН методе прикривања саобраћаја, саобраћај је идентификован у 34 случаја. Услуге које нису могле да се открију користиле су додатне слојеве изнад ОпенВПН-а да сакрију саобраћај, као што је прослеђивање ОпенВПН саобраћаја кроз додатни шифровани тунел. Већина услуга је успешно идентификовала коришћено КСОР изобличење саобраћаја, додатне слојеве замагљивања без адекватног насумичног додавања саобраћаја или присуство ОпенВПН сервиса који нису замагљени на истом серверу.
Ако сте заинтересовани да сазнате више о томе, можете погледати детаље на следећи линк.