كيفية إخفاء حركة مرور OpenVPN – دليل المبتدئين

مع تشديد الرقابة على الإنترنت في جميع أنحاء العالم ، أصبحت الحكومات أكثر قلقًا بشأن منع استخدام VPN للتحايل على قيودها. الصين ، بجدارها الناري العظيم ، كانت نشطة بشكل خاص في هذا الصدد ، وكان هناك العديد من التقارير من الأشخاص الذين يستخدمون شبكات VPN في الصين وتم حظر اتصالاتهم.

تكمن المشكلة في أنه على الرغم من أنه من المستحيل "رؤية" البيانات في نفق VPN مشفر ، فإن جدران الحماية المتطورة بشكل متزايد قادرة على استخدام تقنيات التفتيش العميق للحزم (DPI) لتحديد استخدام التشفير (للكشف على سبيل المثال عن تشفير SSL المستخدم بواسطة OpenVPN).

هناك عدد من الحلول لهذه المشكلة ، ولكن معظمها يتطلب درجة من الخبرة الفنية والتكوين من جانب الخادم ، وهذا هو السبب في أن هذه المقالة هي ببساطة مقدمة للخيارات المتاحة. إذا كان إخفاء إشارة VPN مهمًا بالنسبة لك ولم تكن إعادة توجيه منفذ 443 (انظر أدناه) كافية ، فيجب عليك الاتصال بمزود VPN لمناقشة ما إذا كانوا على استعداد لتنفيذ أحد الحلول الموضحة أدناه (أو بدلاً من ذلك ، ابحث عن مزود ، كما AirVPN ، الذي يقدم بالفعل هذا النوع من الدعم).

منفذ للأمام OpenVPN من خلال منفذ TCP 443

إن أبسط طريقة ، الطريقة التي يمكن تنفيذها بسهولة من طرفك (العميل) ، ولا تتطلب أي تنفيذ من جانب الخادم ، وستعمل في معظم الحالات ، هي إعادة توجيه حركة مرور OpenVPN عبر منفذ TCP 443.

يستخدم OpenVPN افتراضيًا منفذ UDP 1194 ، لذلك من الشائع لجدران الحماية مراقبة المنفذ 1194 (والمنافذ الأخرى الشائعة الاستخدام) ، ورفض حركة المرور المشفرة التي تحاول استخدامها (أو استخدامها). منفذ TCP 443 هو المنفذ الافتراضي الذي تستخدمه HTTPS (بروتوكول نقل النص التشعبي الآمن) ، وهو البروتوكول المستخدم لتأمين https: // مواقع الويب ، ويستخدم عبر الإنترنت من قبل البنوك و Gmail و Twitter والعديد من خدمات الويب الأساسية الأخرى.

لا يقتصر الأمر على استخدام OpenVPN ، الذي يستخدم HTTPS مثل تشفير طبقة المقابس الآمنة ، ومن الصعب للغاية اكتشافه عبر المنفذ 443 ، ولكن حجب هذا المنفذ سيؤدي إلى تشويش شديد الوصول إلى الإنترنت ، وبالتالي لا يعد عادةً خيارًا قابلاً للتطبيق لرقابة الويب المحتملة.

تعد إعادة توجيه المنافذ واحدة من أكثر الميزات المدعومة شيوعًا في برامج OpenVPN المخصصة ، مما يجعل التغيير إلى منفذ TCP 443 أمرًا سهلاً للغاية. إذا كان مزود VPN الخاص بك لا يوفر مثل هذا العميل ، فعليك الاتصال بهم.

لسوء الحظ ، فإن تشفير طبقة المقابس الآمنة (SSL) المستخدمة من قِبل OpenVPN لا يتطابق تمامًا مع طبقة المقابس الآمنة (SSL) "القياسية" ، وفحص الحزمة العميقة المتقدم (من النوع المستخدم بشكل متزايد في أماكن مثل الصين) ، يمكنه معرفة ما إذا كانت حركة المرور المشفرة تتوافق مع طبقة المقابس الآمنة "الحقيقية" مصافحة HTP. في مثل هذه الحالات ، يجب إيجاد طرق بديلة للكشف عن التهرب.

Obfsproxy

Obfsproxy هي أداة مصممة للالتفاف على البيانات في طبقة التشويش ، مما يجعل من الصعب اكتشاف استخدام OpenVPN (أو بروتوكولات VPN الأخرى). تم اعتماده مؤخرًا بواسطة شبكة Tor ، إلى حد كبير كرد على الصين التي تمنع الوصول إلى عقد Tor العامة ، ولكنها مستقلة عن Tor ، ويمكن تهيئتها لـ OpenVPN.

للعمل ، يجب تثبيت obfsproxy على كل من كمبيوتر العميل (باستخدام ، على سبيل المثال ، المنفذ 1194) ، وخادم VPN. ومع ذلك ، كل ما هو مطلوب بعد ذلك هو إدخال سطر الأوامر التالي على الخادم:

obfsproxy obfs2 –dest = 127.0.0.1: 1194 خادم x.x.x.x: 5573

هذا يخبر obfsproxy بالاستماع على المنفذ 1194 ، والاتصال محليًا بالمنفذ 1194 وإعادة توجيه البيانات غير المُغلفة إليه (يجب استبدال x.x.x.x بعنوان IP الخاص بك أو 0.0.0.0 للاستماع على جميع واجهات الشبكة). قد يكون من الأفضل إعداد عنوان IP ثابت مع موفر VPN الخاص بك حتى يعرف الخادم أي منفذ للاستماع إليه.

مقارنة بخيارات الأنفاق الموضحة أدناه ، فإن obfsproxy ليس آمنًا ، حيث إنه لا يلف الحركة في التشفير ، ولكنه يحتوي على عرض نطاق ترددي أقل كثيرًا لأنه لا يحمل طبقة إضافية من التشفير. قد يكون هذا مناسبًا بشكل خاص للمستخدمين في أماكن مثل سوريا أو إثيوبيا ، حيث غالبًا ما يكون النطاق الترددي مورداً حاسماً. Obfsproxy هو أيضا أسهل إلى حد ما لإعداد وتكوين.

المسنجر عبر نفق SSL

يمكن استخدام نفق طبقة مآخذ التوصيل الآمنة (SSL) ، من تلقاء نفسه ، كبديل فعال لـ OpenVPN ، وفي الواقع ، تستخدم العديد من الخوادم الوكيلة أحدها لتأمين اتصالاتها. يمكن استخدامه أيضًا لإخفاء حقيقة أنك تستخدم OpenVPN.

كما أشرنا أعلاه ، يستخدم OpenVPN بروتوكول تشفير TLS / SSL يختلف قليلاً عن SSL "الحقيقي" ، والذي يمكن اكتشافه بواسطة DPI المتطورة. لتجنب ذلك ، من الممكن "التفاف" بيانات OpenVPN في طبقة إضافية من التشفير. نظرًا لأن DPIs غير قادر على اختراق هذه الطبقة "الخارجية" من تشفير طبقة المقابس الآمنة ، فإنها غير قادرة على اكتشاف تشفير OpenVPN "من الداخل".

عادة ما يتم تصنيع أنفاق SSL باستخدام برنامج stunnel متعدد الأنظمة ، والذي يجب تكوينه على كل من الخادم (في هذه الحالة خادم VPN الخاص بموفر VPN) والعميل (جهاز الكمبيوتر الخاص بك). لذلك ، من الضروري مناقشة الموقف مع موفر VPN الخاص بك إذا كنت ترغب في استخدام نفق SSL ، وتلقي تعليمات التكوين منهم إذا وافقوا. يقدم عدد قليل من مقدمي الخدمة هذه كخدمة قياسية ، ولكن AirVPN هي الوحيدة التي قمنا بمراجعتها حتى الآن (أنونيبوز هو آخر).

يؤدي استخدام هذه التقنية إلى تحقيق نجاح في الأداء ، حيث تتم إضافة طبقة إضافية من البيانات إلى الإشارة.

المسنجر من خلال نفق SSH

يعمل هذا بطريقة مشابهة تمامًا لاستخدام OpenVPN من خلال نفق SSL ، باستثناء أن البيانات المشفرة في OpenVPN يتم لفها داخل طبقة من تشفير Secure Shell (SSH) بدلاً من ذلك. يستخدم SSH في المقام الأول للوصول إلى حسابات shell على أنظمة Unix ، لذلك يقتصر استخدامه بشكل أساسي على عالم الأعمال ولا يعد قريبًا من شعبية SSL.

كما هو الحال مع نفق طبقة المقابس الآمنة (SSL) ، ستحتاج إلى التحدث مع مزود خدمة VPN الخاص بك لتشغيله ، على الرغم من أن AirVPN يدعمه "خارج الصندوق".

استنتاج

بدون فحص الحزمة بشكل عميق للغاية ، تبدو البيانات المشفرة في OpenVPN مثل حركة مرور SSL العادية. يكون هذا صحيحًا بشكل خاص إذا تم توجيهه عبر منفذ TCP 443 ، حيث أ) تتوقع أن ترى حركة مرور طبقة مآخذ توصيل آمنة (SSL) و (ب) حظرها سيعيق الإنترنت.

ومع ذلك ، فإن مقاطعات مثل إيران والصين مصممة جدًا على التحكم في وصول سكانها غير الخاضعين للرقابة إلى الإنترنت ، وقد وضعت تدابير مثيرة للإعجاب تقنياً (إذا كانت مرفوضة أخلاقيا) للكشف عن حركة المرور المشفرة لـ OpenVPN. نظرًا لأن اكتشافك باستخدام OpenVPN يمكن أن يزعجك القانون في مثل هذه البلدان ، فمن الأفضل في هذه الحالات استخدام أحد الاحتياطات الإضافية الموضحة أعلاه.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me