OpenVPN-sessionsdetekteringsmetod
I artiklarna om säkerhet och sårbarheter som jag har delat här på bloggen brukar de nämna att inget system, hårdvara eller implementering är säker, eftersom hur mycket den än påstår sig vara 100% tillförlitlig så har nyheterna om upptäckta sårbarheter visat oss motsatsen. .
Anledningen till att nämna detta är att nyligen en forskargrupp från University of Michigan genomförde en studie om att identifiera OpenVPN-baserade VPN-anslutningar, vilket visar oss att användningen av VPN inte säkerställer att vår instans på nätverket är säker.
Metoden som forskarna använder kallas "VPN-fingeravtryck", som övervakar transittrafiken och i den genomförda studien Tre effektiva metoder upptäcktes för att identifiera OpenVPN-protokollet bland andra nätverkspaket, som kan användas i trafikinspektionssystem för att blockera virtuella nätverk som använder OpenVPN.
I de utförda testerna på nätet hos internetleverantören Merit, som har mer än en miljon användare, visade det dessa metoder kunde identifiera 85 % av OpenVPN-sessioner med en låg nivå av falska positiva. För att utföra testerna användes en uppsättning verktyg som upptäckte OpenVPN-trafik i realtid i passivt läge och sedan verifierade resultatets riktighet genom en aktiv kontroll med servern. Under experimentet hanterade analysatorn som skapats av forskarna ett trafikflöde med en intensitet på cirka 20 Gbps.
Identifieringsmetoderna som används är baserade på observation av OpenVPN-specifika mönster i okrypterade pakethuvuden, ACK-paketstorlekar och serversvar.
- I Första fallet är det kopplat till ett mönster i fältet "operation code".» i pakethuvudet under anslutningsförhandlingssteget, som ändras förutsägbart beroende på anslutningskonfigurationen. Identifiering uppnås genom att identifiera en specifik sekvens av opkodändringar i de första paketen av dataflödet.
- Den andra metoden är baserad på den specifika storleken på ACK-paketen används i OpenVPN under anslutningsförhandlingsstadiet. Identifiering görs genom att erkänna att ACK-paket av en given storlek endast förekommer i vissa delar av sessionen, till exempel när man initierar en OpenVPN-anslutning där det första ACK-paketet vanligtvis är det tredje datapaketet som skickas i sessionen.
- El Den tredje metoden innebär en aktiv kontroll genom att begära en anslutningsåterställning, där OpenVPN-servern skickar ett specifikt RST-paket som svar. Viktigt är att denna kontroll inte fungerar när du använder tls-auth-läge, eftersom OpenVPN-servern ignorerar förfrågningar från oautentiserade klienter via TLS.
Resultaten av studien visade att analysatorn framgångsrikt kunde identifiera 1.718 2.000 av 40 39 test OpenVPN-anslutningar som upprättats av en bedräglig klient med hjälp av 40 olika typiska OpenVPN-konfigurationer. Metoden fungerade framgångsrikt för 3.638 av de 3.245 testade konfigurationerna. Dessutom, under experimentets åtta dagar, identifierades totalt XNUMX XNUMX OpenVPN-sessioner i transittrafik, varav XNUMX XNUMX sessioner bekräftades som giltiga.
Det är viktigt att notera det Den föreslagna metoden har en övre gräns för falska positiva tre storleksordningar mindre än tidigare metoder baserade på användning av maskininlärning. Detta tyder på att metoderna som utvecklats av University of Michigans forskare är mer exakta och effektiva för att identifiera OpenVPN-anslutningar i nätverkstrafik.
Prestandan hos OpenVPN-trafiksniffningsskyddsmetoder på kommersiella tjänster utvärderades genom separata tester. Av de 41 testade VPN-tjänsterna som använde OpenVPN-trafikmaskeringsmetoder identifierades trafik i 34 fall. Tjänsterna som inte kunde detekteras använde ytterligare lager ovanpå OpenVPN för att dölja trafik, som att vidarebefordra OpenVPN-trafik genom en extra krypterad tunnel. De flesta av de tjänster som framgångsrikt identifierades använde XOR-trafikförvrängning, ytterligare lager av obfuskation utan tillräcklig slumpmässig trafikutfyllnad eller närvaron av icke-obfuskerade OpenVPN-tjänster på samma server.
Om du är intresserad av att lära dig mer om det kan du konsultera detaljerna på följande länk.