วิธีการตรวจจับเซสชัน OpenVPN
ในบทความเกี่ยวกับความปลอดภัยและช่องโหว่ที่ฉันได้แชร์ในบล็อก พวกเขามักจะกล่าวถึงว่าไม่มีระบบ ฮาร์ดแวร์ หรือการใช้งานใดที่ปลอดภัย เนื่องจากไม่ว่าจะอ้างว่าเชื่อถือได้ 100% มากเพียงใด ข่าวเกี่ยวกับช่องโหว่ที่ตรวจพบก็แสดงให้เราเห็น ตรงข้าม. .
เหตุผลที่กล่าวถึงเรื่องนี้ก็คือว่าเมื่อไม่นานนี้ก กลุ่มนักวิจัย จากมหาวิทยาลัยมิชิแกน ดำเนินการศึกษาเกี่ยวกับการระบุการเชื่อมต่อ VPN ที่ใช้ OpenVPNซึ่งแสดงให้เราเห็นว่าการใช้ VPN ไม่ได้รับประกันว่าอินสแตนซ์ของเราบนเครือข่ายมีความปลอดภัย
โดยวิธีการที่นักวิจัยใช้เรียกว่า “ลายนิ้วมือ VPN”, ซึ่งติดตามการจราจรและในการศึกษาที่ดำเนินการ มีการค้นพบวิธีการที่มีประสิทธิภาพสามวิธีเพื่อระบุโปรโตคอล OpenVPN ท่ามกลางแพ็กเก็ตเครือข่ายอื่นๆ ซึ่งสามารถใช้ในระบบตรวจสอบการรับส่งข้อมูลเพื่อบล็อกเครือข่ายเสมือนที่ใช้ OpenVPN
ในการทดสอบที่ดำเนินการ บนเครือข่ายผู้ให้บริการอินเทอร์เน็ต Merit ซึ่งมีผู้ใช้มากกว่าล้านคนแสดงให้เห็นว่า วิธีการเหล่านี้สามารถระบุเซสชัน OpenVPN ได้ 85% ที่มีผลบวกลวงในระดับต่ำ ในการดำเนินการทดสอบ มีการใช้ชุดเครื่องมือที่ตรวจจับการรับส่งข้อมูล OpenVPN แบบเรียลไทม์ในโหมดพาสซีฟ จากนั้นตรวจสอบความถูกต้องของผลลัพธ์ผ่านการตรวจสอบที่ใช้งานกับเซิร์ฟเวอร์ ในระหว่างการทดลอง เครื่องวิเคราะห์ที่สร้างขึ้นโดยนักวิจัยได้จัดการกับกระแสการรับส่งข้อมูลที่มีความเข้มข้นประมาณ 20 Gbps
วิธีการระบุตัวตนที่ใช้นั้นขึ้นอยู่กับการสังเกตรูปแบบเฉพาะของ OpenVPN ในส่วนหัวของแพ็กเก็ตที่ไม่ได้เข้ารหัส, ขนาดแพ็คเก็ต ACK และการตอบกลับของเซิร์ฟเวอร์
- ใน กรณีแรก มีการเชื่อมโยงกับรูปแบบในช่อง "รหัสการดำเนินการ"» ในส่วนหัวของแพ็กเก็ตระหว่างขั้นตอนการเจรจาการเชื่อมต่อ ซึ่งเปลี่ยนแปลงได้อย่างคาดเดาได้ขึ้นอยู่กับการกำหนดค่าการเชื่อมต่อ การระบุสามารถทำได้โดยการระบุลำดับเฉพาะของการเปลี่ยนแปลง opcode ในสองสามแพ็กเก็ตแรกของกระแสข้อมูล
- วิธีที่สองจะขึ้นอยู่กับขนาดเฉพาะของแพ็กเก็ต ACK ใช้ใน OpenVPN ในระหว่างขั้นตอนการเจรจาการเชื่อมต่อ การระบุทำได้โดยการรับรู้ว่าแพ็กเก็ต ACK ในขนาดที่กำหนดจะเกิดขึ้นในบางส่วนของเซสชันเท่านั้น เช่น เมื่อเริ่มต้นการเชื่อมต่อ OpenVPN โดยที่แพ็กเก็ต ACK แรกมักจะเป็นแพ็กเก็ตข้อมูลที่สามที่ส่งในเซสชัน
- El วิธีที่สามเกี่ยวข้องกับการตรวจสอบที่ใช้งานอยู่โดยขอให้รีเซ็ตการเชื่อมต่อโดยที่เซิร์ฟเวอร์ OpenVPN ส่งแพ็กเก็ต RST เฉพาะเป็นการตอบกลับ ที่สำคัญ การตรวจสอบนี้ใช้ไม่ได้เมื่อใช้โหมด tls-auth เนื่องจากเซิร์ฟเวอร์ OpenVPN ละเว้นคำขอจากไคลเอนต์ที่ไม่ผ่านการรับรองความถูกต้องผ่าน TLS
ผลการศึกษาแสดงให้เห็นว่าเครื่องวิเคราะห์สามารถระบุการเชื่อมต่อ OpenVPN ทดสอบ 1.718 รายการจาก 2.000 รายการที่สร้างโดยไคลเอ็นต์ที่ฉ้อโกงโดยใช้การกำหนดค่า OpenVPN โดยทั่วไปที่แตกต่างกัน 40 รายการ วิธีการนี้ใช้ได้ผลสำเร็จกับการกำหนดค่า 39 รายการจากทั้งหมด 40 รายการที่ได้รับการทดสอบ นอกจากนี้ ในช่วงแปดวันของการทดสอบ มีการระบุเซสชัน OpenVPN ทั้งหมด 3.638 เซสชันในการรับส่งข้อมูล โดย 3.245 เซสชันได้รับการยืนยันว่าถูกต้อง
เป็นสิ่งสำคัญที่จะต้องทราบว่า วิธีการที่นำเสนอมีขีดจำกัดบนของผลบวกลวง ลำดับความสำคัญที่เล็กกว่าวิธีการก่อนหน้านี้สามลำดับโดยอิงจากการใช้การเรียนรู้ของเครื่อง สิ่งนี้ชี้ให้เห็นว่าวิธีการที่นักวิจัยของมหาวิทยาลัยมิชิแกนพัฒนาขึ้นนั้นมีความแม่นยำและมีประสิทธิภาพมากขึ้นในการระบุการเชื่อมต่อ OpenVPN ในการรับส่งข้อมูลเครือข่าย
ประสิทธิภาพของวิธีการป้องกันการดมกลิ่นการรับส่งข้อมูลของ OpenVPN ในบริการเชิงพาณิชย์ได้รับการประเมินผ่านการทดสอบแยกกัน จากบริการ VPN 41 บริการที่ทดสอบว่าใช้วิธีการปิดบังการรับส่งข้อมูลของ OpenVPN มีการระบุการรับส่งข้อมูลใน 34 กรณี บริการที่ไม่สามารถตรวจพบได้จะใช้เลเยอร์เพิ่มเติมนอกเหนือจาก OpenVPN เพื่อซ่อนการรับส่งข้อมูล เช่น การส่งต่อการรับส่งข้อมูล OpenVPN ผ่านอุโมงค์ที่เข้ารหัสเพิ่มเติม บริการส่วนใหญ่ระบุได้สำเร็จว่าใช้ XOR Traffic Distortion, เพิ่มชั้นของ Obfuscation โดยไม่มีการสุ่ม Traffic Distortion ที่เพียงพอ หรือมีบริการ OpenVPN ที่ไม่ Obfuscated บนเซิร์ฟเวอร์เดียวกัน
สนใจเรียนรู้เพิ่มเติมสามารถเข้าไปดูรายละเอียดได้ที่ ลิงค์ต่อไปนี้