Kuinka piilottaa OpenVPN-liikenne – Aloittelijan opas

Internet-sensuurin kiristyessä ympäri maailmaa hallitukset ovat yhä enemmän huolissaan VPN: n käytön estämisestä rajoitusten kiertämiseksi. Kiina ja sen suuri palomuuri ovat olleet erityisen aktiivisia tässä suhteessa, ja Kiinassa VPN-verkkoja käyttäneiltä ihmisiltä on saatu paljon raportteja yhteyksiensä estämisestä.

Ongelmana on, että vaikka tietoja on mahdotonta 'nähdä' salatussa VPN-tunnelissa, entistä kehittyneemmät palomuurit voivat käyttää DPI (Deep Packet Inspection) -tekniikoita salauksen käytön määrittämiseen (esimerkiksi käytetyn SSL-salauksen havaitsemiseksi) kirjoittanut OpenVPN).

Tähän ongelmaan on olemassa useita ratkaisuja, mutta suurin osa niistä vaatii teknistä asiantuntemusta ja palvelinpuolen määrityksiä, minkä vuoksi tämä artikkeli on vain johdanto käytettävissä oleviin vaihtoehtoihin. Jos VPN-signaalin piilottaminen on sinulle tärkeää ja Port 443 -lähetykset (katso alla) eivät ole riittäviä, sinun tulee ottaa yhteyttä VPN-palveluntarjoajaasi keskustellaksesi siitä, haluavatko he ottaa käyttöön jonkin alla esitetyistä ratkaisuista (tai vaihtoehtoisesti löytää tarjoajan, kuten AirVPN: nä, joka tarjoaa jo tämän tyyppistä tukea).

Portti eteenpäin OpenVPN TCP-portin 443 kautta

Ylivoimaisesti yksinkertaisin menetelmä, joka voidaan helposti suorittaa (asiakas) loppupuolella, ei vaadi palvelinpuolen toteutusta ja toimii useimmissa tapauksissa, on välittää OpenVPN-liikenne TCP-portin 443 kautta.

Oletuksena OpenVPN käyttää UDP-porttia 1194, joten palomuurit seuraavat yleisesti porttia 1194 (ja muita yleisesti käytettyjä portteja) ja hylkäävät salatun liikenteen, joka yrittää käyttää sitä (tai niitä). TCP-portti 443 on oletusportti, jota käyttää HTTPS (Hypertext Transfer Protocol Secure), protokolla, jota käytetään https: // -sivustojen suojaamiseen, ja jota pankit, Gmail, Twitter ja monet muut tärkeät verkkopalvelut käyttävät kaikkialla Internetissä..

OpenVPN: n käyttö, joka, kuten HTTPS, käyttää SSL-salausta, on erittäin vaikea havaita portin 443 kautta, mutta tämän portin estäminen vahingoittaisi vakavasti Internet-yhteyttä, eikä se siksi ole yleensä käyttökelpoinen vaihtoehto mahdollisille verkkosensuureille..

Portin edelleenlähetys on yksi yleisimmin tuetuista ominaisuuksista mukautetuissa OpenVPN-asiakkaissa, mikä tekee vaihtamisen TCP-porttiin 443 naurettavan helpoksi. Jos VPN-palveluntarjoajasi ei toimita tällaista asiakasta, ota yhteyttä heihin.

Valitettavasti OpenVPN: n käyttämä SSL-salaus ei ole täsmälleen sama kuin 'tavallinen' SSL, ja edistynyt syväpakettivalvonta (tyyppi, jota käytetään yhä enemmän esimerkiksi Kiinassa) voi kertoa, onko salattu liikenne 'todellisen' SSL / HTP-kättely. Tällaisissa tapauksissa on löydettävä vaihtoehtoisia menetelmiä havaitsemisen välttämiseksi.

Obfsproxy

Obfsproxy on työkalu, joka on suunniteltu kääntämään tietoja hämärtämiskerrokseen, jolloin on vaikea havaita, että OpenVPN (tai muita VPN-protokollia) käytetään. Tor-verkko on äskettäin hyväksynyt sen, pääasiassa vastauksena Kiinan estämään pääsyn julkisiin Tor-solmuihin, mutta se on Torista riippumaton, ja se voidaan määrittää OpenVPN: lle.

Toimiaksesi obfsproxy on asennettava sekä asiakkaan tietokoneeseen (esimerkiksi käyttämällä porttia 1194) että VPN-palvelimeen. Tarvitsee kuitenkin seuraavan komentorivin syöttämistä palvelimelle:

obfsproxy obfs2 – vanhin = 127.0.0.1: 1194 palvelin x.x.x.x: 5573

Tämä käskee obfsproxya kuuntelemaan porttia 1194, muodostamaan yhteyden paikallisesti porttiin 1194 ja lähettämään kapseloimattomat tiedot sille (x.x.x.x tulisi korvata IP-osoitteellasi tai 0.0.0.0 kuunnella kaikissa verkkoliittymissä). On todennäköisesti parasta asettaa staattinen IP VPN-palveluntarjoajan kanssa, jotta palvelin tietää, mitä porttia kuunnella.

Jäljempänä esitettyihin tunnelointivaihtoehtoihin verrattuna obfsproxy ei ole yhtä turvallinen, koska se ei kääri liikennettä salaukseen, mutta sillä on paljon pienempi kaistanleveys yläpuolella, koska siinä ei ole ylimääräistä salauskerrosta. Tämä voi olla erityisen merkityksellinen käyttäjille paikoissa, kuten Syyria tai Etiopia, joissa kaistanleveys on usein kriittinen resurssi. Obfsproxy on myös jonkin verran helpompi asentaa ja määrittää.

OpenVPN SSL-tunnelin kautta

SSL-tunnelia (Secure Socket Layer) voidaan yksinään käyttää tehokkaana vaihtoehtona OpenVPN: lle, ja itse asiassa monet välityspalvelimet käyttävät yhtä yhteyksiensä turvaamiseen. Sitä voidaan käyttää myös piilottamaan kokonaan se, että käytät OpenVPN: tä.

Kuten edellä huomautimme, OpenVPN käyttää TLS / SSL-salausprotokollaa, joka on hiukan erilainen kuin 'todellinen' SSL ja joka voidaan havaita hienostuneiden DPI: ien avulla. Tämän välttämiseksi on mahdollista kääriä OpenVPN-tiedot ylimääräiseen salauskerrokseen. Koska DPI: t eivät pysty tunkeutumaan tähän SSL-salauksen 'ulkoiseen' kerrokseen, he eivät pysty tunnistamaan OpenVPN-salausta 'sisällä'.

SSL-tunnelit tehdään yleensä monialustaisen stunnel-ohjelmiston avulla, joka on määritettävä sekä palvelimelle (tässä tapauksessa VPN-palveluntarjoajan VPN-palvelimelle) että asiakkaalle (tietokoneellesi). Siksi on välttämätöntä keskustella tilanteesta VPN-palveluntarjoajasi kanssa, jos haluat käyttää SSL-tunnelointia, ja vastaanottaa konfigurointiohjeita heiltä, ​​jos he sopivat. Muutama palveluntarjoaja tarjoaa tätä tavallisena palveluna, mutta AirVPN on ainoa, jota olemme tähän mennessä tarkistaneet (anonypoz on toinen).

Tämän tekniikan käyttäminen tuottaa suorituskyvyn osuman, koska signaaliin lisätään ylimääräinen datakerros.

OpenVPN SSH-tunnelin läpi

Tämä toimii hyvin samalla tavalla kuin OpenVPN: n käyttäminen SSL-tunnelin läpi, paitsi että OpenVPN-salatut tiedot kääritään SSH (Secure Shell) -salauskerroksen sisälle. SSH: ta käytetään pääasiassa shell-tilien käyttämiseen Unix-järjestelmissä, joten sen käyttö on rajoitettu pääasiassa yritysmaailmaan, eikä se ole läheskään niin suosittua kuin SSL.

Kuten SSL-tunneloinnissa, joudut keskustelemaan VPN-palveluntarjoajasi saadaksesi sen toimimaan, vaikka AirVPN tukee sitä "paikoillaan".

johtopäätös

Ilman erittäin syvää pakettivalvontaa OpenVPN-salatut tiedot näyttävät aivan kuten tavalliselta SSL-liikenteeltä. Tämä on erityisen totta, jos reititetään TCP-portin 443 kautta, missä a) luulet näkeväsi SSL-liikenteen ja b) estämällä se haittaisi Internetiä.

Iranin ja Kiinan kaltaiset maakunnat ovat kuitenkin erittäin päättäneitä hallitsemaan väestön sensuroimatonta pääsyä Internetiin, ja ne ovat ottaneet käyttöön teknisesti vaikuttavia (jos moraalisesti epäasianmukaisia) toimenpiteitä OpenVPN-salatun liikenteen havaitsemiseksi. Koska jopa OpenVPN: n käyttäminen voi saada sinut vaikeuksiin tällaisten maiden lainsäädännön suhteen, on erittäin hyvä idea käyttää näitä yllä mainituista lisävarotoimenpiteistä..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me