Pe măsură ce cenzura pe internet se strânge în întreaga lume, guvernele sunt din ce în ce mai preocupate de prevenirea utilizării VPN pentru a eluda restricțiile lor. China, cu Marele său Firewall, a fost deosebit de activă în această privință și au existat multe rapoarte de la persoane care folosesc VPN-uri în China, cu conexiunile blocate.


Problema este că, deși este imposibil de „văzut” datele dintr-un tunel VPN criptat, firewall-urile din ce în ce mai sofisticate sunt capabile să utilizeze tehnici Deep Packet Inspection (DPI) pentru a determina că se utilizează criptarea (pentru a detecta, de exemplu, criptarea SSL folosită) de OpenVPN).

Există o serie de soluții pentru această problemă, dar majoritatea necesită un grad de expertiză tehnică și configurare pe partea de server, motiv pentru care acest articol este pur și simplu o introducere în opțiunile disponibile. Dacă ascunderea semnalului dvs. VPN este importantă pentru dvs. și redirecționarea port 443 (a se vedea mai jos) este insuficient, atunci ar trebui să contactați furnizorul VPN pentru a discuta dacă ar fi dispus să implementeze una dintre soluțiile prezentate mai jos (sau să găsească alternativ un furnizor, cum ar fi în calitate de AirVPN, care oferă deja acest tip de asistență).

Port Forward OpenVPN prin portul TCP 443

De departe, cea mai simplă metodă, una care poate fi executată cu ușurință de la capătul (clientul), nu necesită nicio implementare din partea serverului și va funcționa în cele mai multe cazuri, este să redirecționați traficul OpenVPN prin portul TCP 443.

OpenVPN în mod implicit utilizează portul UDP 1194, astfel încât firewall-urile să monitorizeze portul 1194 (și alte porturi utilizate frecvent), respingând traficul criptat care încearcă să-l folosească (sau ei). Portul TCP 443 este portul implicit folosit de HTTPS (Hypertext Transfer Protocol Secure), protocolul utilizat pentru securizarea site-urilor https: // și utilizat pe internet de bănci, Gmail, Twitter și multe alte servicii web esențiale..

Nu numai că utilizarea OpenVPN, care, la fel ca HTTPS, folosește criptarea SSL, foarte greu de detectat prin portul 443, dar blocarea acelui port ar cripta sever accesul la internet și, prin urmare, nu este de obicei o opțiune viabilă pentru cenzorii web..

Redirecționarea porturilor este una dintre caracteristicile cele mai des acceptate la clienții personalizați OpenVPN, ceea ce face ușor ridicule schimbarea în portul TCP 443. Dacă furnizorul dvs. VPN nu furnizează un astfel de client, ar trebui să îi contactați.

Din păcate, criptarea SSL folosită de OpenVPN nu este exact aceeași ca SSL „standard”, iar Advanced Packet Inspection (de tipul din ce în ce mai utilizat în locuri precum China), poate spune dacă traficul criptat este conform cu SSL-ul „real” / Strângere de mână HTP. În astfel de cazuri, trebuie găsite metode alternative de evadare a detectării.

Obfsproxy

Obfsproxy este un instrument conceput pentru a înfășura datele într-un strat de ofuscări, ceea ce face dificilă detectarea utilizării OpenVPN (sau a altor protocoale VPN). Acesta a fost adoptat recent de rețeaua Tor, în mare parte ca un răspuns la China care blochează accesul la nodurile Tor publice, dar este independent de Tor și poate fi configurat pentru OpenVPN.

Pentru a funcționa, obfsproxy trebuie instalat atât pe computerul clientului (folosind, de exemplu, portul 1194), cât și pe serverul VPN. Cu toate acestea, tot ce este necesar este ca următoarea linie de comandă să fie introdusă pe server:

obfsproxy obfs2 –dest = 127.0.0.1: 1194 server x.x.x.x: 5573

Acest lucru îi spune obfsproxy să asculte pe portul 1194, să se conecteze local la portul 1194 și să-i înainteze datele decapsulate (x.x.x.x trebuie înlocuite cu adresa IP sau 0.0.0.0 pentru a asculta pe toate interfețele de rețea). Este probabil cel mai bine să configurați un IP static cu furnizorul VPN, astfel încât serverul să știe ce port să asculte.

În comparație cu opțiunile de tunelare prezentate mai jos, obfsproxy nu este la fel de sigur, deoarece nu înfășoară traficul în criptare, dar are o lățime de bandă mult mai mică, deoarece nu poartă un strat suplimentar de criptare. Acest lucru poate fi relevant în special pentru utilizatori în locuri precum Siria sau Etiopia, unde lățimea de bandă este adesea o resursă critică. Obfsproxy este, de asemenea, ceva mai ușor de configurat și configurat.

OpenVPN printr-un tunel SSL

Un tunel SSL (Secure Socket Layer) poate fi folosit, ca atare, ca o alternativă eficientă la OpenVPN și, de fapt, multe servere proxy folosesc unul pentru a-și asigura conexiunile. De asemenea, poate fi folosit pentru a ascunde complet faptul că utilizați OpenVPN.

După cum am menționat mai sus, OpenVPN folosește un protocol de criptare TLS / SSL care este ușor diferit de SSL „adevărat” și care poate fi detectat de DPI sofisticate. Pentru a evita acest lucru, este posibil să „înfășurați” datele OpenVPN într-un strat suplimentar de criptare. Deoarece IP-urile nu pot pătrunde acest strat „exterior” de criptare SSL, nu pot detecta criptarea OpenVPN „din interior”..

Tunelurile SSL sunt realizate de obicei folosind software-ul stunnel cu mai multe platforme, care trebuie configurat atât pe server (în acest caz, serverul VPN al furnizorului dvs. VPN) cât și pe client (computerul dvs.). Prin urmare, este necesar să discutăm situația cu furnizorul dvs. VPN dacă doriți să utilizați tunel SSL și să primiți instrucțiuni de configurare de la aceștia, dacă sunt de acord. Câțiva furnizori oferă acest serviciu ca un serviciu standard, dar AirVPN este singurul pe care l-am revizuit până acum (anonypoz fiind altul).

Folosirea acestei tehnici are un impact de performanță, deoarece se adaugă un strat suplimentar de date la semnal.

OpenVPN printr-un tunel SSH

Acest lucru funcționează într-un mod foarte similar cu utilizarea OpenVPN printr-un tunel SSL, cu excepția faptului că datele criptate OpenVPN sunt înfășurate într-un strat de criptare Secure Shell (SSH). SSH este utilizat în principal pentru accesarea conturilor shell pe sistemele Unix, astfel încât utilizarea sa este limitată în principal la lumea afacerilor și nu este niciodată atât de populară ca SSL..

La fel ca în cazul tunelării SSL, va trebui să discutați cu furnizorul dvs. VPN pentru a-l funcționa, deși AirVPN îl acceptă „din cutie”.

Concluzie

Fără o inspecție foarte profundă a pachetelor, datele criptate OpenVPN arată la fel ca traficul SSL obișnuit. Acest lucru este valabil mai ales dacă este dirijat prin portul TCP 443, unde a) așteptați să vedeți trafic SSL și b) blocarea acestuia ar împiedica internetul.

Cu toate acestea, județe precum Iran și China sunt foarte hotărâte să controleze accesul necenzurat al populației lor la internet și au pus în aplicare măsuri tehnice impresionante (dacă sunt moralmente obiectabile) pentru a detecta traficul criptat OpenVPN. Deoarece chiar dacă ați fost descoperit folosind OpenVPN vă poate pune probleme legii în astfel de țări, în aceste situații este o idee foarte bună să folosiți una dintre precauțiile suplimentare prezentate mai sus.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me