Jak skrýt provoz OpenVPN – Příručka pro začátečníky

Jak se cenzura internetu napíná po celém světě, vlády se čím dál více obávají zabránění používání VPN k obcházení svých omezení. Čína s velkým Firewallem je v tomto ohledu obzvláště aktivní a existuje mnoho zpráv od lidí používajících VPN v Číně, jejichž připojení je blokováno.

Problém je v tom, že zatímco je nemožné „vidět“ data v šifrovaném tunelu VPN, stále sofistikovanější brány firewall jsou schopné použít techniky hloubkové kontroly paketů (DPI), aby určily, že se používá šifrování (například k detekci použitého šifrování SSL) podle OpenVPN).

Existuje řada řešení tohoto problému, ale většina z nich vyžaduje určitý stupeň technických znalostí a konfigurace na straně serveru, proto je tento článek jednoduše úvodem k dostupným možnostem. Pokud je pro vás důležité skrýt váš signál VPN a přesměrování portů 443 (viz níže) je nedostatečné, měli byste se obrátit na svého poskytovatele VPN a prodiskutovat, zda by byli ochotni implementovat jedno z níže uvedených řešení (nebo alternativně najít poskytovatele, například jako AirVPN, který již tento typ podpory nabízí).

Port Forward OpenVPN prostřednictvím portu TCP 443

Nejjednodušší metoda, kterou lze snadno provést z vašeho (klientského) konce, nevyžaduje žádnou implementaci na straně serveru a bude ve většině případů fungovat, je předat provoz OpenVPN přes TCP port 443..

OpenVPN ve výchozím nastavení používá port UDP 1194, proto je běžné, že brány firewall monitorují port 1194 (a další běžně používané porty) a odmítají šifrovaný přenos, který se ho pokouší použít (nebo je použít). TCP port 443 je výchozí port používaný HTTPS (Hypertext Transfer Protocol Secure), protokol používaný k zabezpečení https: // webů a používaný na celém internetu bankami, Gmailem, Twitterem a mnoha dalšími důležitými webovými službami.

Nejenže je použití OpenVPN, které stejně jako HTTPS používá šifrování SSL, velmi obtížně detekovatelné přes port 443, ale zablokování tohoto portu by vážně ochromilo přístup k internetu, a proto obvykle není životaschopnou možností pro budoucí webové cenzory..

Předávání portů je jednou z nejčastěji podporovaných funkcí v uživatelských OpenVPN klientech, což činí směšně snadnou změnu na TCP port 443. Pokud váš poskytovatel VPN takový klient nedodává, měli byste je kontaktovat.

Bohužel šifrování SSL používané OpenVPN není úplně stejné jako „standardní“ SSL a pokročilá inspekce Deep Packet Inspection (typu, který se stále častěji používá v místech, jako je Čína), může zjistit, zda je šifrovaný provoz v souladu se „skutečným“ SSL / HTP handshake. V takových případech je třeba najít alternativní metody vyhýbání se detekci.

Obfsproxy

Obfsproxy je nástroj určený k zabalení dat do vrstvy zmatku, což ztěžuje detekci použití OpenVPN (nebo jiných VPN protokolů). Nedávno byla přijata sítí Tor, převážně jako reakce na to, že Čína blokuje přístup k veřejným uzlům Tor, ale je nezávislá na Tor a může být nakonfigurována pro OpenVPN..

Aby fungoval, musí být obfsproxy nainstalován na klientském počítači (například pomocí portu 1194) a na serveru VPN. Poté se však vyžaduje pouze zadání následujícího příkazového řádku na serveru:

obfsproxy obfs2 –dest = 127.0.0.1: 1194 server x.x.x.x: 5573

Toto říká obfsproxy, aby poslouchal na portu 1194, aby se připojil lokálně na port 1194 a předal na něj de-zapouzdřená data (x.x.x.x by měl být nahrazen vaší IP adresou nebo 0.0.0.0 pro poslech na všech síťových rozhraních). Pravděpodobně je nejlepší nastavit statickou IP u vašeho poskytovatele VPN, aby server věděl, na kterém portu bude naslouchat.

Ve srovnání s níže uvedenými možnostmi tunelování není obfsproxy tak bezpečné, protože nezakrývá provoz v šifrování, ale má mnohem nižší režii šířky pásma, protože nenese další vrstvu šifrování. To může být zvláště důležité pro uživatele na místech, jako je Sýrie nebo Etiopie, kde je často kritickým zdrojem šířka pásma. Nastavení a konfigurace Obfsproxy je také o něco jednodušší.

OpenVPN prostřednictvím SSL tunelu

Tunel Secure Socket Layer (SSL) může být sám o sobě použit jako efektivní alternativa k OpenVPN, a ve skutečnosti mnoho proxy serverů používá jeden k zabezpečení jejich připojení. Může být také použit k úplnému skrytí skutečnosti, že používáte OpenVPN.

Jak jsme poznamenali výše, OpenVPN používá šifrovací protokol TLS / SSL, který se mírně liší od „pravého“ SSL a který lze detekovat pomocí sofistikovaných DPI. Aby se tomu zabránilo, je možné „zabalit“ data OpenVPN do další vrstvy šifrování. Protože DPI nejsou schopny proniknout do této „vnější“ vrstvy šifrování SSL, nemohou detekovat šifrování OpenVPN „uvnitř“..

SSL tunely se obvykle vytvářejí pomocí multiplatformového softwaru stunnel, který musí být nakonfigurován jak na serveru (v tomto případě na serveru VPN vašeho poskytovatele VPN), tak na klientovi (počítači). Pokud chcete použít tunelování SSL, je nutné situaci prodiskutovat s poskytovatelem VPN a pokud s tím souhlasí, obdrží od nich pokyny pro konfiguraci. Několik poskytovatelů toto nabízí jako standardní službu, ale AirVPN je jediný, kterého jsme dosud přezkoumali (anonypoz je další).

Při použití této techniky dojde k zásahu výkonu, protože do signálu se přidává další vrstva dat.

OpenVPN tunelem SSH

Toto funguje velmi podobným způsobem jako použití OpenVPN prostřednictvím tunelu SSL, kromě toho, že data šifrovaná OpenVPN jsou namísto toho zabalena do vrstvy šifrování Secure Shell (SSH). SSH se používá především pro přístup k shell účtům na unixových systémech, takže jeho použití je omezeno hlavně na obchodní svět a není nikde tak populární jako SSL.

Stejně jako v případě SSL tunelování budete muset hovořit s poskytovatelem VPN, aby to fungovalo, i když to AirVPN podporuje „out of the box“.

Závěr

Bez velmi důkladné kontroly paketů vypadá šifrovaná data OpenVPN stejně jako běžný přenos SSL. To platí zejména v případě, že je směrováno přes TCP port 443, kde a) byste očekávali přenos SSL a b) blokování by narušilo internet.

Kraje, jako je Írán a Čína, jsou však velmi rozhodnuty kontrolovat necenzurovaný přístup své populace na internet a zavedly technicky působivá (pokud morálně nevhodná) opatření k detekci šifrovaného přenosu OpenVPN. Protože se objevení pomocí OpenVPN může v takových zemích dostat do potíží se zákonem, je v těchto situacích velmi dobrý nápad použít jedno z výše uvedených preventivních opatření..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me