Sådan skjules OpenVPN-trafik – En begyndervejledning

Efterhånden som internetcensur strammes over hele verden, bliver regeringerne mere og mere bekymrede over at forhindre brugen af ​​VPN til at omgå deres begrænsninger. Kina har med sin store firewall været særlig aktiv i denne henseende, og der har været mange rapporter fra folk, der bruger en VPN'er i Kina, hvor deres forbindelser er blokeret.

Problemet er, at selvom det er umuligt at 'se' dataene i en krypteret VPN-tunnel, er stadig mere sofistikerede firewalls i stand til at bruge Deep Packet Inspection (DPI) teknikker til at bestemme, at der bruges kryptering (for at detektere for eksempel den anvendte SSL-kryptering af OpenVPN).

Der er en række løsninger på dette problem, men de fleste af dem kræver en vis teknisk ekspertise og konfiguration på serversiden, hvorfor denne artikel blot er en introduktion til de tilgængelige muligheder. Hvis det at skjule dit VPN-signal er vigtigt for dig, og Port 443-videresendelse (se nedenfor) er utilstrækkelig, skal du kontakte din VPN-udbyder for at diskutere, om de ville være villige til at implementere en af ​​de løsninger, der er beskrevet nedenfor (eller alternativt finde en udbyder, f.eks. som AirVPN, der allerede tilbyder denne type support).

Port fremad OpenVPN gennem TCP-port 443

Langt den enkleste metode, en, der let kan udføres fra din (klienten) ende, kræver ingen implementering på serversiden og fungerer i de fleste tilfælde er at videresende din OpenVPN-trafik gennem TCP-port 443.

OpenVPN bruger som standard UDP-port 1194, så det er almindeligt, at firewalls overvåger port 1194 (og andre almindeligt anvendte porte) og afviser krypteret trafik, der prøver at bruge den (eller dem). TCP-port 443 er standardporten, der bruges af HTTPS (Hypertext Transfer Protocol Secure), protokollen, der bruges til at sikre https: // websteder, og bruges over hele internettet af banker, Gmail, Twitter og mange flere vigtige webservices.

Ikke kun er brugen af ​​OpenVPN, som ligesom HTTPS bruger SSL-kryptering, meget vanskelig at opdage via port 443, men at blokere denne port ville alvorligt lette adgangen til internettet og er derfor normalt ikke en levedygtig mulighed for webcensorer..

Portvideresendelse er en af ​​de mest almindeligt understøttede funktioner i brugerdefinerede OpenVPN-klienter, hvilket gør skiftende til TCP-port 443 latterligt let. Hvis din VPN-udbyder ikke leverer en sådan klient, skal du kontakte dem.

Desværre er SSL-krypteringen, der bruges af OpenVPN, ikke nøjagtigt det samme som 'standard' SSL og avanceret Deep Packet Inspection (af den type, der i stigende grad bruges på steder som Kina), kan fortælle, om krypteret trafik er i overensstemmelse med den 'rigtige' SSL / HTP-håndtryk. I sådanne tilfælde skal alternative metoder til at undgå detektion findes.

Obfsproxy

Obfsproxy er et værktøj designet til at pakke data ind i et tilslørende lag, hvilket gør det vanskeligt at opdage, at OpenVPN (eller andre VPN-protokoller) bruges. Det er for nylig blevet vedtaget af Tor-netværket, stort set som et svar på, at Kina blokerer adgangen til offentlige Tor-noder, men det er uafhængigt af Tor og kan konfigureres til OpenVPN.

For at arbejde skal obfsproxy installeres på både klientens computer (ved hjælp af f.eks. Port 1194) og VPN-serveren. Alt, hvad der derefter kræves, er, at følgende kommandolinje indtastes på serveren:

obfsproxy obfs2 –dest = 127.0.0.1: 1194-server x.x.x.x: 5573

Dette fortæller obfsproxy at lytte på port 1194, at oprette forbindelse lokalt til port 1194 og videresende de de indkapslede data til den (x.x.x.x skal erstattes med din IP-adresse eller 0.0.0.0 for at lytte på alle netværksgrænseflader). Det er sandsynligvis bedst at konfigurere en statisk IP med din VPN-udbyder, så serveren ved, hvilken port du skal lytte til på.

Sammenlignet med de tunneling-indstillinger, der er præsenteret nedenfor, er obfsproxy ikke så sikker, da den ikke indpakker trafikken i kryptering, men den har en meget lavere båndbredde overhead, da den ikke bærer et ekstra lag kryptering. Dette kan være særligt relevant for brugere på steder som Syrien eller Etiopien, hvor båndbredde ofte er en kritisk ressource. Obfsproxy er også noget lettere at konfigurere og konfigurere.

OpenVPN gennem en SSL-tunnel

En Secure Socket Layer (SSL) tunnel kan alene bruges som et effektivt alternativ til OpenVPN, og faktisk bruger mange proxy-servere en til at sikre deres forbindelser. Det kan også bruges til at skjule det faktum, at du bruger OpenVPN.

Som vi bemærkede ovenfor, bruger OpenVPN en TLS / SSL-krypteringsprotokol, der er lidt anderledes end 'ægte' SSL, og som kan detekteres af sofistikerede DPI'er. For at undgå dette er det muligt at 'indpakke' OpenVPN-dataene i et ekstra krypteringslag. Da DPI'er ikke er i stand til at trænge igennem dette 'ydre' lag af SSL-kryptering, er de ikke i stand til at registrere OpenVPN-krypteringen 'inde'..

SSL-tunneler laves normalt ved hjælp af multiplatformstunnelsoftwaren, som skal konfigureres på både serveren (i dette tilfælde din VPN-udbyders VPN-server) og klienten (din computer). Det er derfor nødvendigt at drøfte situationen med din VPN-udbyder, hvis du vil bruge SSL-tunneling, og modtage konfigurationsinstruktioner fra dem, hvis de er enige. Et par udbydere tilbyder dette som en standardtjeneste, men AirVPN er den eneste, vi hidtil har gennemgået (anonypoz er en anden).

Brug af denne teknik har et performance hit, da der tilføjes et ekstra lag med data til signalet.

OpenVPN gennem en SSH-tunnel

Dette fungerer på en meget lignende måde som at bruge OpenVPN gennem en SSL-tunnel, bortset fra at de OpenVPN-krypterede data er pakket ind i et lag af Secure Shell (SSH) -kryptering i stedet. SSH bruges primært til at få adgang til shell-konti på Unix-systemer, så dets anvendelse er hovedsageligt begrænset til erhvervslivet og er ikke i nærheden så populær som SSL.

Som med SSL-tunneling, bliver du nødt til at tale med din VPN-udbyder for at få den til at fungere, selvom AirVPN understøtter den 'ude af kassen'.

Konklusion

Uden meget dyb pakkeinspektion ligner OpenVPN-krypterede data ligesom almindelig SSL-trafik. Dette gælder især, hvis det dirigeres via TCP-port 443, hvor a) du ville forvente at se SSL-trafik og b) at blokere den ville ramme internettet.

Amter som Iran og Kina er imidlertid meget fast besluttet på at kontrollere deres befolknings ucensurerede adgang til internettet og har indført teknisk imponerende (hvis moralsk forkastelige) foranstaltninger til at opdage OpenVPN-krypteret trafik. Da selv det at blive opdaget ved hjælp af OpenVPN kan få dig i problemer med loven i sådanne lande, er det i disse situationer en meget god ide at bruge en af ​​de ekstra forholdsregler, der er beskrevet ovenfor.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me