Метод виявлення сесії OpenVPN
У статтях про безпеку та вразливості, якими я поділився тут, у блозі, зазвичай згадується, що жодна система, апаратне забезпечення чи впровадження не є безпечними, оскільки незалежно від того, наскільки вони заявляють про 100% надійність, новини про виявлені вразливості показали нам протилежність. .
Причиною згадки про це є те, що нещодавно а група дослідників з Мічиганського університету провели дослідження щодо виявлення VPN-з’єднань на основі OpenVPN, який показує нам, що використання VPN не гарантує безпеки нашого екземпляра в мережі.
Метод, яким користуються дослідники, називається «Відбитки пальців VPN», які відстежують транзитний рух і в проведеному дослідженні Виявлено три ефективні методи ідентифікації протоколу OpenVPN серед інших мережевих пакетів, які можна використовувати в системах перевірки трафіку для блокування віртуальних мереж, які використовують OpenVPN.
У проведених тестах в мережі інтернет-провайдера Merit, який нараховує понад мільйон користувачів, показали це ці методи можуть ідентифікувати 85% сеансів OpenVPN з низьким рівнем помилкових спрацьовувань. Для проведення тестів використовувався набір інструментів, які виявляли трафік OpenVPN у реальному часі в пасивному режимі, а потім перевіряли точність результату за допомогою активної перевірки на сервері. Під час експерименту створений дослідниками аналізатор обробляв потік трафіку з інтенсивністю приблизно 20 Гбіт/с.
Використовувані методи ідентифікації ґрунтуються на спостереженні специфічних для OpenVPN шаблонів у незашифрованих заголовках пакетів, розміри пакетів ACK і відповіді сервера.
- В У першому випадку він пов’язаний із шаблоном у полі «код операції».» у заголовку пакета під час етапу узгодження з’єднання, який передбачувано змінюється залежно від конфігурації з’єднання. Ідентифікація досягається ідентифікацією певної послідовності змін коду операції в перших кількох пакетах потоку даних.
- Другий метод базується на конкретному розмірі пакетів ACK використовується в OpenVPN на етапі узгодження з’єднання. Ідентифікація здійснюється шляхом визнання того, що пакети ACK певного розміру виникають лише в певних частинах сеансу, наприклад, під час ініціювання з’єднання OpenVPN, де перший пакет ACK зазвичай є третім пакетом даних, надісланим у сеансі.
- El Третій спосіб передбачає активну перевірку шляхом запиту на скидання з'єднання, де сервер OpenVPN надсилає у відповідь певний пакет RST. Важливо, що ця перевірка не працює в режимі tls-auth, оскільки сервер OpenVPN ігнорує запити від неавтентифікованих клієнтів через TLS.
Результати дослідження показали, що аналізатор зміг успішно ідентифікувати 1.718 із 2.000 тестових з’єднань OpenVPN, встановлених клієнтом-шахраєм, використовуючи 40 різних типових конфігурацій OpenVPN. Метод успішно спрацював для 39 із 40 протестованих конфігурацій. Крім того, протягом восьми днів експерименту в транзитному трафіку було ідентифіковано 3.638 сеансів OpenVPN, з яких 3.245 сеансів підтверджено як дійсні.
Важливо це зазначити Запропонований метод має верхню межу помилкових спрацьовувань на три порядки менше, ніж попередні методи, засновані на використанні машинного навчання. Це свідчить про те, що методи, розроблені дослідниками Мічиганського університету, є більш точними та ефективними для визначення підключень OpenVPN у мережевому трафіку.
Ефективність методів захисту від перехоплення трафіку OpenVPN на комерційних сервісах оцінювалася за допомогою окремих тестів. З 41 перевіреної служби VPN, які використовували методи маскування трафіку OpenVPN, трафік було виявлено в 34 випадках. Служби, які не вдалося виявити, використовували додаткові рівні поверх OpenVPN, щоб приховати трафік, як-от пересилання трафіку OpenVPN через додатковий зашифрований тунель. Більшість служб успішно визначили використання спотворення трафіку XOR, додаткових рівнів обфускації без відповідного доповнення випадкового трафіку або наявності незахищених служб OpenVPN на тому самому сервері.
Якщо вам цікаво дізнатися більше про це, ви можете переглянути подробиці за адресою за наступним посиланням.