Jak ukryć ruch OpenVPN – przewodnik dla początkujących

W miarę jak na całym świecie zaostrza się cenzura internetowa, rządy są coraz bardziej zaniepokojone zapobieganiem korzystaniu z VPN w celu obejścia ich ograniczeń. Chiny ze swoją wielką zaporą firewall są szczególnie aktywne w tym względzie, a wiele osób zgłaszało przypadki korzystania z VPN w Chinach, których połączenia były blokowane.


Problem polega na tym, że chociaż nie można „zobaczyć” danych w zaszyfrowanym tunelu VPN, coraz bardziej wyrafinowane zapory ogniowe są w stanie korzystać z technik Deep Packet Inspection (DPI) w celu ustalenia, czy szyfrowanie jest używane (na przykład do wykrycia używanego szyfrowania SSL przez OpenVPN).

Istnieje wiele rozwiązań tego problemu, ale większość z nich wymaga pewnego poziomu wiedzy technicznej i konfiguracji po stronie serwera, dlatego ten artykuł jest po prostu wstępem do dostępnych opcji. Jeśli ukrywanie sygnału VPN jest dla Ciebie ważne, a przekierowanie portu 443 (patrz poniżej) jest niewystarczające, powinieneś skontaktować się z dostawcą VPN w celu omówienia, czy byłby skłonny wdrożyć jedno z rozwiązań opisanych poniżej (lub ewentualnie znaleźć dostawcę, takiego jak jako AirVPN, który już oferuje tego rodzaju wsparcie).

Port Forward OpenVPN przez port TCP 443

Zdecydowanie najprostszą metodą, którą można łatwo wykonać z poziomu twojego (klienta), nie wymaga implementacji po stronie serwera i będzie działać w większości przypadków, jest przekazywanie ruchu OpenVPN przez port TCP 443.

OpenVPN domyślnie używa portu UDP 1194, więc zapory często monitorują port 1194 (i inne powszechnie używane porty), odrzucając zaszyfrowany ruch, który próbuje go użyć (lub ich). Port TCP 443 jest domyślnym portem używanym przez HTTPS (Hypertext Transfer Protocol Secure), protokół używany do zabezpieczania stron https: // i używany w Internecie przez banki, Gmail, Twitter i wiele innych niezbędnych usług internetowych.

Korzystanie z OpenVPN, które podobnie jak HTTPS wykorzystuje szyfrowanie SSL, jest bardzo trudne do wykrycia przez port 443, ale blokowanie tego portu poważnie utrudnia dostęp do Internetu, a zatem zwykle nie jest realną opcją dla potencjalnych cenzorów internetowych.

Przekazywanie portów jest jedną z najczęściej obsługiwanych funkcji niestandardowych klientów OpenVPN, dzięki czemu przejście na port TCP 443 jest niezwykle łatwe. Jeśli Twój dostawca VPN nie dostarcza takiego klienta, powinieneś się z nim skontaktować.

Niestety szyfrowanie SSL używane przez OpenVPN nie jest dokładnie takie samo jak „standardowe” SSL, a zaawansowana głęboka inspekcja pakietów (tego typu coraz częściej stosowana w miejscach takich jak Chiny) pozwala stwierdzić, czy zaszyfrowany ruch jest zgodny z „prawdziwym” SSL / Uzgadnianie HTP. W takich przypadkach należy znaleźć alternatywne metody unikania wykrywania.

Obfsproksy

Obfsproxy to narzędzie zaprojektowane do owijania danych w warstwę zaciemniającą, co utrudnia wykrycie, że używany jest OpenVPN (lub inne protokoły VPN). Niedawno został przyjęty przez sieć Tor, głównie w odpowiedzi na blokowanie przez Chiny dostępu do publicznych węzłów Tora, ale jest niezależny od Tora i można go skonfigurować dla OpenVPN.

Aby działać, obfsproxy musi być zainstalowany zarówno na komputerze klienta (używając na przykład portu 1194), jak i na serwerze VPN. Jednak wszystko, co jest wtedy wymagane, to wpisanie następującego wiersza poleceń na serwerze:

obfsproksy obfs2 - test = 127.0.0.1: serwer 1194 x.x.x.x: 5573

To mówi obfsproxy, aby nasłuchiwał na porcie 1194, aby połączyć się lokalnie z portem 1194 i przesłać do niego zdekapsułkowane dane (x.x.x.x należy zastąpić adresem IP lub 0.0.0.0, aby nasłuchiwać na wszystkich interfejsach sieciowych). Prawdopodobnie najlepiej jest ustawić statyczny adres IP u swojego dostawcy VPN, aby serwer wiedział, na którym porcie nasłuchiwać.

W porównaniu z opcjami tunelowania przedstawionymi poniżej, obfsproxy nie jest tak bezpieczny, ponieważ nie ogranicza ruchu w szyfrowaniu, ale ma znacznie niższy narzut przepustowości, ponieważ nie przenosi dodatkowej warstwy szyfrowania. Może to być szczególnie istotne dla użytkowników w miejscach takich jak Syria lub Etiopia, gdzie przepustowość jest często kluczowym zasobem. Obfsproxy jest również nieco łatwiejszy w konfiguracji i konfiguracji.

OpenVPN przez tunel SSL

Tunel Secure Socket Layer (SSL) może sam w sobie być skuteczną alternatywą dla OpenVPN, a wiele serwerów proxy używa jednego do zabezpieczenia swoich połączeń. Można go również użyć do całkowitego ukrycia faktu, że używasz OpenVPN.

Jak zauważyliśmy powyżej, OpenVPN używa protokołu szyfrowania TLS / SSL, który nieco różni się od „prawdziwego” SSL i który można wykryć za pomocą wyrafinowanych DPI. Aby tego uniknąć, możliwe jest „zawinięcie” danych OpenVPN w dodatkową warstwę szyfrowania. Ponieważ DPI nie są w stanie przeniknąć do tej „zewnętrznej” warstwy szyfrowania SSL, nie są w stanie wykryć szyfrowania OpenVPN „wewnątrz”.

Tunele SSL są zwykle tworzone przy użyciu wieloplatformowego oprogramowania stunnelowego, które należy skonfigurować zarówno na serwerze (w tym przypadku na serwerze VPN dostawcy VPN), jak i na kliencie (na komputerze). Dlatego konieczne jest omówienie sytuacji z dostawcą VPN, jeśli chcesz korzystać z tunelowania SSL, i otrzymanie od nich instrukcji konfiguracji, jeśli się zgodzą. Kilku dostawców oferuje to jako usługę standardową, ale AirVPN jest jedynym, który do tej pory sprawdziliśmy (anonypoz to kolejny).

Użycie tej techniki powoduje pogorszenie wydajności, ponieważ do sygnału dodawana jest dodatkowa warstwa danych.

OpenVPN przez tunel SSH

Działa to w bardzo podobny sposób jak używanie OpenVPN przez tunel SSL, z tym wyjątkiem, że zaszyfrowane dane OpenVPN są opakowane w warstwę szyfrowania Secure Shell (SSH). SSH służy przede wszystkim do uzyskiwania dostępu do kont shellowych w systemach Unix, więc jego użycie jest ograniczone głównie do świata biznesu i nie jest tak popularne jak SSL.

Podobnie jak w przypadku tunelowania SSL, musisz porozmawiać z dostawcą VPN, aby go uruchomić, chociaż AirVPN obsługuje go „od razu po wyjęciu z pudełka”.

Wniosek

Bez bardzo głębokiej kontroli pakietów zaszyfrowane dane OpenVPN wyglądają jak zwykły ruch SSL. Jest to szczególnie prawdziwe, jeśli jest kierowane przez port TCP 443, gdzie a) można oczekiwać ruchu SSL ib) jego zablokowanie utrudniłoby Internet.

Jednak hrabstwa, takie jak Iran i Chiny, są bardzo zdeterminowane, aby kontrolować nieocenzurowany dostęp ich ludności do Internetu i wprowadziły imponujące technicznie (jeśli moralnie nieuzasadnione) środki w celu wykrycia szyfrowanego ruchu OpenVPN. Ponieważ nawet odkrycie przy użyciu OpenVPN może wpędzić cię w kłopoty z prawem w takich krajach, w takich sytuacjach bardzo dobrym pomysłem jest zastosowanie jednego z dodatkowych środków ostrożności opisanych powyżej.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me