Một nghiên cứu gần đây cho thấy cách có thể xác định các kết nối sử dụng OpenVPN

Darkcrizt

4 phút

Vân tay VPN

Phương pháp phát hiện phiên OpenVPN

Trong các bài viết về bảo mật và lỗ hổng mà tôi đã chia sẻ ở đây trên blog, họ thường đề cập rằng không có hệ thống, phần cứng hoặc cách triển khai nào là an toàn, vì dù nó có tuyên bố là đáng tin cậy 100% đến đâu thì tin tức về các lỗ hổng được phát hiện cũng đã cho chúng ta thấy mặt đối diện, sự đối nghịch. .

Lý do đề cập đến điều này là vì gần đây một nhóm các nhà nghiên cứu từ Đại học Michigan đã tiến hành một nghiên cứu về việc xác định các kết nối VPN dựa trên OpenVPN, điều này cho chúng ta thấy rằng việc sử dụng VPN không đảm bảo rằng phiên bản của chúng ta trên mạng được an toàn.

Phương pháp được các nhà nghiên cứu sử dụng được gọi là “Dấu vân tay VPN”, giám sát giao thông quá cảnh và trong nghiên cứu được thực hiện Ba phương pháp hiệu quả đã được phát hiện để xác định giao thức OpenVPN trong số các gói mạng khác, có thể được sử dụng trong hệ thống kiểm tra lưu lượng để chặn các mạng ảo sử dụng OpenVPN.

Trong các thử nghiệm được thực hiện trên mạng của nhà cung cấp Internet Merit, nơi có hơn một triệu người dùng, cho thấy rằng những phương pháp này có thể xác định 85% phiên OpenVPN có mức độ sai sót thấp. Để thực hiện các thử nghiệm, một bộ công cụ đã được sử dụng để phát hiện lưu lượng truy cập OpenVPN trong thời gian thực ở chế độ thụ động, sau đó xác minh tính chính xác của kết quả thông qua hoạt động kiểm tra với máy chủ. Trong quá trình thử nghiệm, máy phân tích do các nhà nghiên cứu tạo ra đã xử lý luồng lưu lượng truy cập với cường độ khoảng 20 Gbps.

Các phương pháp nhận dạng được sử dụng dựa trên việc quan sát các mẫu dành riêng cho OpenVPN trong các tiêu đề gói không được mã hóa, kích thước gói ACK và phản hồi của máy chủ.

  • Trong Trường hợp đầu tiên, nó được liên kết với một mẫu trong trường "mã hoạt động"» trong tiêu đề gói trong giai đoạn đàm phán kết nối, giai đoạn này thay đổi có thể dự đoán được tùy thuộc vào cấu hình kết nối. Việc nhận dạng đạt được bằng cách xác định một chuỗi thay đổi opcode cụ thể trong một số gói đầu tiên của luồng dữ liệu.
  • Phương pháp thứ hai dựa trên kích thước cụ thể của gói ACK được sử dụng trong OpenVPN trong giai đoạn đàm phán kết nối. Việc nhận dạng được thực hiện bằng cách nhận ra rằng các gói ACK có kích thước nhất định chỉ xuất hiện trong một số phần nhất định của phiên, chẳng hạn như khi bắt đầu kết nối OpenVPN trong đó gói ACK đầu tiên thường là gói dữ liệu thứ ba được gửi trong phiên.
  • El Phương pháp thứ ba liên quan đến việc kiểm tra hoạt động bằng cách yêu cầu thiết lập lại kết nối, trong đó máy chủ OpenVPN gửi gói RST cụ thể để phản hồi. Điều quan trọng là việc kiểm tra này không hoạt động khi sử dụng chế độ tls-auth, vì máy chủ OpenVPN bỏ qua các yêu cầu từ máy khách chưa được xác thực thông qua TLS.

Kết quả nghiên cứu cho thấy máy phân tích có thể xác định thành công 1.718 trong số 2.000 kết nối OpenVPN thử nghiệm được thiết lập bởi một máy khách lừa đảo bằng cách sử dụng 40 cấu hình OpenVPN điển hình khác nhau. Phương pháp này hoạt động thành công với 39 trong số 40 cấu hình được thử nghiệm. Ngoài ra, trong 3.638 ngày thử nghiệm, tổng cộng 3.245 phiên OpenVPN đã được xác định trong lưu lượng truy cập chuyển tuyến, trong đó XNUMX phiên được xác nhận là hợp lệ.

Điều quan trọng cần lưu ý là Phương pháp được đề xuất có giới hạn trên của kết quả dương tính giả nhỏ hơn ba bậc so với các phương pháp trước đây dựa trên việc sử dụng máy học. Điều này cho thấy các phương pháp do các nhà nghiên cứu của Đại học Michigan phát triển chính xác và hiệu quả hơn trong việc xác định các kết nối OpenVPN trong lưu lượng mạng.

Hiệu suất của các phương pháp bảo vệ đánh hơi lưu lượng truy cập OpenVPN trên các dịch vụ thương mại được đánh giá thông qua các thử nghiệm riêng biệt. Trong số 41 dịch vụ VPN được thử nghiệm sử dụng phương pháp che giấu lưu lượng truy cập OpenVPN, lưu lượng truy cập đã được xác định trong 34 trường hợp. Các dịch vụ không thể bị phát hiện đã sử dụng các lớp bổ sung bên trên OpenVPN để ẩn lưu lượng truy cập, chẳng hạn như chuyển tiếp lưu lượng OpenVPN qua một đường hầm được mã hóa bổ sung. Hầu hết các dịch vụ đã xác định thành công biến dạng lưu lượng truy cập XOR đã sử dụng, các lớp che giấu bổ sung mà không có đệm lưu lượng ngẫu nhiên đầy đủ hoặc sự hiện diện của các dịch vụ OpenVPN không bị xáo trộn trên cùng một máy chủ.

Nếu bạn muốn tìm hiểu thêm về nó, bạn có thể tham khảo thông tin chi tiết tại liên kết sau.


Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.