Paraan ng pagtuklas ng session ng OpenVPN
Sa mga artikulo tungkol sa seguridad at mga kahinaan na ibinahagi ko dito sa blog, kadalasang binabanggit nila na walang sistema, hardware o pagpapatupad na ligtas, dahil gaano man ito sinasabing 100% maaasahan, ipinakita sa amin ng balita tungkol sa mga natukoy na kahinaan. ang kabaliktaran. .
Ang dahilan ng pagbanggit nito ay kamakailan lamang a pangkat ng mga mananaliksik mula sa Unibersidad ng Michigan nagsagawa ng pag-aaral sa pagtukoy ng mga koneksyon sa VPN na nakabatay sa OpenVPN, na nagpapakita sa amin na ang paggamit ng mga VPN ay hindi nagsisiguro na ang aming instance sa network ay ligtas.
Ang pamamaraang ginamit ng mga mananaliksik ay tinatawag na "VPN Fingerprinting", na sumusubaybay sa trapiko ng transit at sa isinagawang pag-aaral Tatlong epektibong pamamaraan ang natuklasan upang makilala ang OpenVPN protocol bukod sa iba pang mga network packet, na maaaring magamit sa mga sistema ng inspeksyon ng trapiko upang harangan ang mga virtual network na gumagamit ng OpenVPN.
Sa mga pagsubok na isinagawa sa network ng Internet provider na Merit, na mayroong higit sa isang milyong user, ay nagpakita na matukoy ng mga pamamaraang ito ang 85% ng mga session ng OpenVPN na may mababang antas ng mga maling positibo. Upang maisagawa ang mga pagsubok, ginamit ang isang hanay ng mga tool na nakakita ng trapiko ng OpenVPN sa real time sa passive mode at pagkatapos ay na-verify ang katumpakan ng resulta sa pamamagitan ng aktibong pagsusuri sa server. Sa panahon ng eksperimento, pinangasiwaan ng analyzer na ginawa ng mga mananaliksik ang daloy ng trapiko na may intensity na humigit-kumulang 20 Gbps.
Ang mga pamamaraan ng pagkakakilanlan na ginamit ay batay sa obserbasyon ng mga pattern na partikular sa OpenVPN sa mga hindi naka-encrypt na packet header, mga laki ng packet ng ACK at mga tugon ng server.
- Sa Unang kaso, naka-link ito sa isang pattern sa field na "operation code".» sa packet header habang nasa yugto ng negosasyon sa koneksyon, na predictably nagbabago depende sa configuration ng koneksyon. Ang pagkakakilanlan ay nakakamit sa pamamagitan ng pagtukoy ng isang tiyak na pagkakasunud-sunod ng mga pagbabago sa opcode sa unang ilang packet ng daloy ng data.
- Ang pangalawang paraan ay batay sa tiyak na laki ng mga ACK packet ginamit sa OpenVPN sa yugto ng negosasyon sa koneksyon. Ginagawa ang pagkilala sa pamamagitan ng pagkilala na ang mga ACK packet ng isang partikular na laki ay nangyayari lamang sa ilang partikular na bahagi ng session, tulad ng kapag nagpasimula ng koneksyon sa OpenVPN kung saan ang unang ACK packet ay karaniwang ang ikatlong data packet na ipinadala sa session.
- El Ang ikatlong paraan ay nagsasangkot ng aktibong pagsusuri sa pamamagitan ng paghiling ng pag-reset ng koneksyon, kung saan nagpapadala ang OpenVPN server ng isang partikular na RST packet bilang tugon. Mahalaga, hindi gumagana ang check na ito kapag gumagamit ng tls-auth mode, dahil binabalewala ng OpenVPN server ang mga kahilingan mula sa mga hindi napatunayang kliyente sa pamamagitan ng TLS.
Ang mga resulta ng pag-aaral ay nagpakita na ang analyzer ay matagumpay na natukoy ang 1.718 sa 2.000 pagsubok na koneksyon sa OpenVPN na itinatag ng isang mapanlinlang na kliyente gamit ang 40 iba't ibang karaniwang mga configuration ng OpenVPN. Matagumpay na gumana ang pamamaraan para sa 39 sa 40 na mga configuration na nasubok. Bukod pa rito, sa loob ng walong araw ng eksperimento, kabuuang 3.638 OpenVPN session ang natukoy sa trapiko ng transit, kung saan 3.245 session ang nakumpirma bilang wasto.
Mahalagang tandaan iyon Ang iminungkahing paraan ay may pinakamataas na limitasyon ng mga maling positibo tatlong order ng magnitude na mas maliit kaysa sa mga naunang pamamaraan batay sa paggamit ng machine learning. Iminumungkahi nito na ang mga pamamaraan na binuo ng mga mananaliksik ng University of Michigan ay mas tumpak at mahusay sa pagtukoy ng mga koneksyon sa OpenVPN sa trapiko sa network.
Ang pagganap ng mga pamamaraan ng proteksyon sa pagsinghot ng trapiko ng OpenVPN sa mga komersyal na serbisyo ay nasuri sa pamamagitan ng magkahiwalay na mga pagsubok. Sa 41 na mga serbisyo ng VPN na nasubok na gumamit ng OpenVPN traffic cloaking method, natukoy ang trapiko sa 34 na kaso. Ang mga serbisyong hindi matukoy ay gumamit ng mga karagdagang layer sa ibabaw ng OpenVPN upang itago ang trapiko, gaya ng pagpapasa ng trapiko ng OpenVPN sa pamamagitan ng karagdagang naka-encrypt na tunnel. Karamihan sa mga serbisyo ay matagumpay na natukoy ang paggamit ng XOR traffic distortion, karagdagang mga layer ng obfuscation nang walang sapat na random traffic padding, o ang pagkakaroon ng hindi na-obfuscated na mga serbisyo ng OpenVPN sa parehong server.
Kung interesado kang matuto nang higit pa tungkol dito, maaari mong konsultahin ang mga detalye sa ang sumusunod na link.