Πώς να κρύψετε την κίνηση OpenVPN – Οδηγός για αρχάριους

Καθώς η λογοκρισία του Διαδικτύου σφίγγει σε όλο τον κόσμο, οι κυβερνήσεις ανησυχούν ολοένα και περισσότερο για την αποτροπή της χρήσης του VPN για την παράκαμψη των περιορισμών τους. Η Κίνα με το Μεγάλο Τείχος προστασίας της είναι ιδιαίτερα δραστήρια σε αυτό το θέμα και έχουν υπάρξει πολλές αναφορές από άτομα που χρησιμοποιούν ένα VPN στην Κίνα έχοντας συνδέσεις τους αποκλεισμένες.


Το πρόβλημα είναι ότι ενώ είναι αδύνατο να «βλέπετε» τα δεδομένα σε μια κρυπτογραφημένη σήραγγα VPN, τα ολοένα και πιο εξελιγμένα τείχη προστασίας είναι σε θέση να χρησιμοποιούν τεχνικές Deep Packet Inspection (DPI) για να προσδιορίσουν την κρυπτογράφηση που χρησιμοποιείται (για να ανιχνεύσει για παράδειγμα την κρυπτογράφηση SSL από το OpenVPN).

Υπάρχουν ορισμένες λύσεις σε αυτό το πρόβλημα, αλλά οι περισσότεροι απαιτούν ένα βαθμό τεχνικής εμπειρογνωμοσύνης και διαμόρφωσης από πλευράς εξυπηρετητή, γι 'αυτό το άρθρο είναι απλώς μια εισαγωγή στις διαθέσιμες επιλογές. Αν η απόκρυψη του σήματος VPN είναι σημαντική για εσάς και η προώθηση του Port 443 (βλ. Παρακάτω) είναι ανεπαρκής, τότε θα πρέπει να επικοινωνήσετε με τον πάροχο VPN για να συζητήσετε εάν θα ήταν πρόθυμοι να εφαρμόσουν μία από τις λύσεις που περιγράφονται παρακάτω (ή, εναλλακτικά, ως AirVPN, ο οποίος ήδη προσφέρει αυτό το είδος υποστήριξης).

Port Forward OpenVPN μέσω θύρας TCP 443

Η απλούστερη μέθοδος, η οποία μπορεί εύκολα να εκτελεστεί από το τέλος του πελάτη σας, δεν απαιτεί εφαρμογή από την πλευρά του διακομιστή και θα λειτουργήσει στις περισσότερες περιπτώσεις, είναι η προώθηση της ροής OpenVPN μέσω της θύρας TCP 443.

Το OpenVPN χρησιμοποιεί από προεπιλογή τη θύρα UDP 1194, οπότε είναι συνηθισμένο τα τείχη προστασίας να παρακολουθούν τη θύρα 1194 (και άλλες συχνά χρησιμοποιούμενες θύρες) απορρίπτοντας την κρυπτογραφημένη κίνηση που προσπαθεί να την χρησιμοποιήσει. Η θύρα TCP 443 είναι η προεπιλεγμένη θύρα που χρησιμοποιείται από το HTTPS (Hypertext Transfer Protocol Secure), το πρωτόκολλο που χρησιμοποιείται για τη διασφάλιση https: // ιστοσελίδες και χρησιμοποιείται στο Διαδίκτυο από τις τράπεζες, το Gmail, το Twitter και πολλές άλλες βασικές υπηρεσίες web.

Όχι μόνο η χρήση του OpenVPN, το οποίο όπως το HTTPS χρησιμοποιεί κρυπτογράφηση SSL, είναι πολύ δύσκολο να εντοπιστεί από τη θύρα 443, αλλά η παρεμπόδιση αυτής της θύρας θα παρεμποδίσει σοβαρά την πρόσβαση στο διαδίκτυο και συνεπώς δεν είναι συνήθως μια βιώσιμη επιλογή για τους υποτιμημένους διαδικτυακούς λογοκριστές.

Η προώθηση των θυρών είναι μία από τις πιο κοινά υποστηριζόμενες λειτουργίες σε προσαρμοσμένους πελάτες OpenVPN, καθιστώντας γελοία εύκολη την αλλαγή στη θύρα TCP 443. Εάν ο πάροχος VPN δεν παρέχει έναν τέτοιο πελάτη, θα πρέπει να επικοινωνήσετε μαζί του.

Δυστυχώς, η κρυπτογράφηση SSL που χρησιμοποιείται από το OpenVPN δεν είναι ακριβώς η ίδια με την τυπική SSL και η προηγμένη βαθιά επιθεώρηση πακέτων (που χρησιμοποιείται όλο και περισσότερο σε μέρη όπως η Κίνα) μπορεί να δείξει εάν η κρυπτογραφημένη κυκλοφορία είναι σύμφωνη με το πραγματικό SSL / HTP χειραψία. Σε τέτοιες περιπτώσεις, πρέπει να βρεθούν εναλλακτικές μέθοδοι αποφυγής ανίχνευσης.

Obfsproxy

Το Obfsproxy είναι ένα εργαλείο που έχει σχεδιαστεί για να επικαλύπτει τα δεδομένα σε ένα στρώμα εμπλοκής, καθιστώντας δύσκολη την ανίχνευση ότι χρησιμοποιούνται τα OpenVPN (ή άλλα πρωτόκολλα VPN). Έχει υιοθετηθεί πρόσφατα από το δίκτυο Tor, σε μεγάλο βαθμό ως απάντηση στην Κίνα που εμποδίζει την πρόσβαση σε δημόσιους κόμβους Tor, αλλά είναι ανεξάρτητη από τον Tor και μπορεί να ρυθμιστεί για το OpenVPN.

Για να λειτουργήσει, το obfsproxy πρέπει να εγκατασταθεί και στον υπολογιστή του πελάτη (χρησιμοποιώντας, για παράδειγμα, τη θύρα 1194) και στον διακομιστή VPN. Ωστόσο, το μόνο που απαιτείται στη συνέχεια είναι να εισαχθεί η ακόλουθη γραμμή εντολών στον διακομιστή:

obfsproxy obfs2 -dest = 127.0.0.1: 1194 διακομιστής x.x.x.x: 5573

Αυτό αναφέρει το obfsproxy να ακούει τη θύρα 1194, να συνδεθεί τοπικά στη θύρα 1194 και να προωθήσει τα απεγκατεστημένα δεδομένα σε αυτήν (το x.x.x.x πρέπει να αντικατασταθεί με τη διεύθυνση IP σας ή το 0.0.0.0 για να ακούσει σε όλες τις διεπαφές δικτύου). Ίσως είναι καλύτερο να ρυθμίσετε μια στατική διεύθυνση IP με τον παροχέα VPN, ώστε ο διακομιστής να γνωρίζει ποια θύρα θα ακούει.

Σε σύγκριση με τις επιλογές σήραγγας που παρουσιάζονται παρακάτω, το obfsproxy δεν είναι τόσο ασφαλές, καθώς δεν περικλείει την κυκλοφορία στην κρυπτογράφηση, αλλά έχει πολύ χαμηλότερο εύρος ζώνης, δεδομένου ότι δεν φέρει πρόσθετο επίπεδο κρυπτογράφησης. Αυτό μπορεί να είναι ιδιαίτερα σημαντικό για χρήστες σε μέρη όπως η Συρία ή η Αιθιοπία, όπου το εύρος ζώνης είναι συχνά ένας κρίσιμος πόρος. Το Obfsproxy είναι επίσης κάπως πιο εύκολο να εγκατασταθεί και να ρυθμιστεί.

OpenVPN μέσω σήραγγας SSL

Μια σήραγγα Secure Socket Layer (SSL) μπορεί από μόνη της να χρησιμοποιηθεί ως αποτελεσματική εναλλακτική λύση έναντι του OpenVPN και στην πραγματικότητα πολλοί διακομιστές μεσολάβησης χρησιμοποιούν ένα για να ασφαλίσουν τις συνδέσεις τους. Μπορεί επίσης να χρησιμοποιηθεί για να αποκρύψει πλήρως το γεγονός ότι χρησιμοποιείτε το OpenVPN.

Όπως σημειώσαμε παραπάνω, το OpenVPN χρησιμοποιεί ένα πρωτόκολλο κρυπτογράφησης TLS / SSL που είναι ελαφρώς διαφορετικό από το 'true' SSL και το οποίο μπορεί να ανιχνευθεί από εξελιγμένα DPI. Προκειμένου να αποφευχθεί αυτό, είναι δυνατό να «τυλίγουμε» τα δεδομένα OpenVPN σε ένα πρόσθετο επίπεδο κρυπτογράφησης. Καθώς οι DPI δεν μπορούν να διεισδύσουν σε αυτό το «εξωτερικό» επίπεδο κρυπτογράφησης SSL, δεν είναι σε θέση να ανιχνεύσουν την κρυπτογράφηση OpenVPN 'μέσα'.

Οι σήραγγες SSL συνήθως εκτελούνται με τη χρήση του λογισμικού υποσυνόρθωσης πολλαπλών πλατφορμών, το οποίο πρέπει να διαμορφωθεί τόσο στον διακομιστή VPN του διακομιστή VPN του παρόχου όσο και στον υπολογιστή-πελάτη (στον υπολογιστή σας). Επομένως, είναι απαραίτητο να συζητήσετε την κατάσταση με τον πάροχο VPN αν θέλετε να χρησιμοποιήσετε σήραγγες SSL και να λάβετε οδηγίες διαμόρφωσης από αυτούς εάν συμφωνούν. Μερικοί πάροχοι προσφέρουν αυτό ως μια τυπική υπηρεσία, αλλά η AirVPN είναι η μόνη που έχουμε εξετάσει μέχρι τώρα (η anonypoz είναι άλλη).

Η χρήση αυτής της τεχνικής επιφέρει χτύπημα απόδοσης, καθώς προσθέτει ένα επιπλέον στρώμα δεδομένων στο σήμα.

OpenVPN μέσω σήραγγας SSH

Αυτό λειτουργεί με πολύ παρόμοιο τρόπο με τη χρήση του OpenVPN μέσω σήραγγας SSL, εκτός από το ότι τα κρυπτογραφημένα δεδομένα OpenVPN είναι τυλιγμένα μέσα σε ένα επίπεδο κρυπτογράφησης Secure Shell (SSH). Το SSH χρησιμοποιείται κυρίως για την πρόσβαση στους λογαριασμούς κελύφους σε συστήματα Unix, οπότε η χρήση του περιορίζεται κυρίως στον επιχειρηματικό κόσμο και δεν είναι τόσο δημοφιλής όσο ο SSL.

Όπως συμβαίνει με τη σήραγγα SSL, θα χρειαστεί να μιλήσετε με τον πάροχο VPN για να λειτουργήσει, παρόλο που το AirVPN το υποστηρίζει "έξω από το κουτί".

συμπέρασμα

Χωρίς πολύ βαθιά επιθεώρηση πακέτων, τα κρυπτογραφημένα δεδομένα OpenVPN μοιάζουν ακριβώς με την κανονική κίνηση SSL. Αυτό ισχύει ιδιαίτερα αν δρομολογηθεί μέσω θύρας TCP 443, όπου α) θα περιμένατε να βλέπετε την κυκλοφορία SSL και β) το κλείδωμα θα υπονόμευε το διαδίκτυο.

Ωστόσο, κομητείες όπως το Ιράν και η Κίνα είναι πολύ αποφασισμένα να ελέγξουν την ατιμώρητη πρόσβαση του πληθυσμού τους στο διαδίκτυο και έχουν θέσει σε εφαρμογή τεχνικά εντυπωσιακά (εάν είναι ηθικά ανάρμοστα) μέτρα για την ανίχνευση της κρυπτογραφημένης κίνησης OpenVPN. Καθώς ακόμη και αν ανακαλύψετε το OpenVPN μπορεί να σας προκαλέσει πρόβλημα με το νόμο σε τέτοιες χώρες, σε αυτές τις περιπτώσεις είναι πολύ καλή ιδέα να χρησιμοποιήσετε μία από τις πρόσθετες προφυλάξεις που περιγράφονται παραπάνω.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me