S cenzúrou internetu na celom svete sa vlády čoraz viac obávajú prevencie používania VPN na obchádzanie svojich obmedzení. Čína s veľkým firewallom bola v tomto ohľade obzvlášť aktívna a od Číny, ktoré používajú siete VPN v Číne, existuje veľa správ o zablokovaní spojenia.


Problém je v tom, že zatiaľ čo nie je možné „vidieť“ údaje v šifrovanom tuneli VPN, stále sofistikovanejšie brány firewall môžu pomocou techník Deep Packet Inspection (DPI) určiť, či sa používa šifrovanie (napríklad na zistenie použitého šifrovania SSL) podľa OpenVPN).

Existuje niekoľko riešení tohto problému, ale väčšina z nich vyžaduje určitý stupeň technickej odbornosti a konfigurácie na strane servera, čo je dôvod, prečo tento článok predstavuje iba úvod k dostupným možnostiam. Ak je pre vás dôležité skryť váš signál VPN a presmerovanie portov 443 (pozri nižšie) je nedostatočné, mali by ste sa obrátiť na svojho poskytovateľa VPN, aby ste prediskutovali, či by boli ochotní implementovať jedno z riešení uvedených nižšie (alebo prípadne nájsť poskytovateľa, napríklad ako AirVPN, ktorý už tento druh podpory ponúka).

Port Forward OpenVPN cez port TCP 443

Zďaleka najjednoduchšia metóda, ktorá sa dá ľahko vykonať z vášho (klientskeho) konca, nevyžaduje implementáciu na strane servera a bude vo väčšine prípadov fungovať, je presmerovať vašu komunikáciu OpenVPN cez TCP port 443..

OpenVPN štandardne používa port UDP 1194, takže je bežné, že brány firewall monitorujú port 1194 (a iné bežne používané porty) a odmietajú šifrovaný prenos, ktorý sa ho pokúša použiť (alebo ich). TCP port 443 je predvolený port používaný HTTPS (Hypertext Transfer Protocol Secure), protokol používaný na zabezpečenie https: // webových stránok a používaný na celom internete bankami, Gmailom, Twitterom a mnohými ďalšími dôležitými webovými službami..

Použitie protokolu OpenVPN, ktoré rovnako ako HTTPS používa šifrovanie SSL, nie je len ťažké detekovať cez port 443, ale blokovanie tohto portu by vážne narušilo prístup na internet, a preto zvyčajne nie je životaschopnou možnosťou pre prípadné webové cenzory..

Presmerovanie portov je jednou z najbežnejšie podporovaných funkcií v klientoch OpenVPN, vďaka čomu je prechod na TCP port 443 smiešne ľahký. Ak poskytovateľ VPN neposkytuje takého klienta, mali by ste ho kontaktovať.

Bohužiaľ, šifrovanie SSL, ktoré používa OpenVPN, nie je úplne to isté ako „štandardné“ SSL a pokročilá inšpekcia hlbokých paketov (typu, ktorý sa stále častejšie používa v miestach, ako je Čína), môže zistiť, či šifrovaný prenos vyhovuje „skutočnému“ SSL / HTP handshake. V takýchto prípadoch je potrebné nájsť alternatívne metódy vyhýbania sa detekcii.

Obfsproxy

Obfsproxy je nástroj určený na zalamovanie údajov do vrstvy zmätenosti, čo sťažuje zistenie, že sa používa OpenVPN (alebo iné VPN protokoly). Nedávno bol prijatý sieťou Tor, väčšinou ako reakcia na to, že Čína blokuje prístup k verejným uzlom Tor, ale je nezávislá od Tor a môže byť nakonfigurovaná pre OpenVPN..

Aby fungovala, musí byť obfsproxy nainštalovaný na klientskom počítači (napríklad pomocou portu 1194) a na serveri VPN. Potom sa však vyžaduje iba zadanie nasledujúceho príkazového riadku na serveri:

obfsproxy obfs2 –dest = 127.0.0.1: 1194 server x.x.x.x: 5573

Toto povie obfsproxy, aby počúval na porte 1194, aby sa lokálne pripojil k portu 1194 a poslal do neho dekapsulované údaje (x.x.x.x by sa mal nahradiť vašou IP adresou alebo 0.0.0.0, aby sa počúval na všetkých sieťových rozhraniach). Pravdepodobne je najlepšie nastaviť statickú IP u vášho poskytovateľa VPN, aby server vedel, na ktorom porte bude počúvať.

V porovnaní s nižšie uvedenými možnosťami tunelovania nie je obfsproxy tak bezpečný, pretože nezakrýva prenos v šifrovaní, ale má oveľa nižšiu réžiu šírky pásma, pretože nenesie ďalšiu vrstvu šifrovania. To môže byť obzvlášť dôležité pre používateľov na miestach, ako je Sýria alebo Etiópia, kde je šírka pásma často kritickým zdrojom. Nastavenie a konfigurácia obfsproxy je tiež o niečo ľahšia.

OpenVPN cez SSL tunel

Tunel Secure Socket Layer (SSL) môže byť použitý ako efektívna alternatíva k OpenVPN a veľa proxy serverov v skutočnosti používa jeden na zabezpečenie svojich spojení. Môže sa tiež použiť na úplné skrytie skutočnosti, že používate OpenVPN.

Ako sme už uviedli, OpenVPN používa šifrovací protokol TLS / SSL, ktorý sa mierne líši od „skutočného“ SSL a ktorý je možné zistiť pomocou sofistikovaných DPI. Aby sa tomu zabránilo, je možné possible zabaliť Open údaje OpenVPN do ďalšej vrstvy šifrovania. Keďže DPI nemôžu preniknúť do tejto „vonkajšej“ vrstvy šifrovania SSL, nedokážu zistiť šifrovanie OpenVPN „vnútri“..

Tunely SSL sa zvyčajne vyrábajú pomocou multiplatformového softvéru typu Stunnel, ktorý musí byť nakonfigurovaný na serveri (v tomto prípade na serveri VPN vášho poskytovateľa VPN), ako aj na klientovi (počítač). Preto je potrebné prediskutovať situáciu s poskytovateľom VPN, ak chcete používať tunelovanie SSL, a ak s tým súhlasia, od nich dostanete pokyny na konfiguráciu. Niekoľko poskytovateľov to ponúka ako štandardnú službu, ale AirVPN je jediný, ktorého sme doteraz preverili (anonypoz je ďalší).

Pri použití tejto techniky nevznikne výkonnostný zásah, pretože do signálu sa pridáva ďalšia vrstva údajov.

OpenVPN cez tunel SSH

Toto funguje veľmi podobným spôsobom ako pri použití OpenVPN cez tunel SSL, s výnimkou toho, že šifrované údaje OpenVPN sú namiesto toho zabalené do vrstvy šifrovania Secure Shell (SSH). SSH sa používa primárne na prístup k shell účtom v systémoch Unix, takže jeho použitie je obmedzené hlavne na obchodný svet a nie je ani zďaleka tak populárne ako SSL.

Podobne ako pri tunelovaní SSL budete musieť začať pracovať s poskytovateľom VPN, aj keď ho AirVPN podporuje „po vybalení“..

záver

Bez veľmi dôkladnej kontroly paketov vyzerajú šifrované dáta OpenVPN rovnako ako bežný prenos SSL. To platí najmä v prípade, ak je smerovaný cez TCP port 443, kde a) by ste očakávali prenos SSL a b) blokovanie by narušilo internet.

Kraje ako Irán a Čína sú však veľmi rozhodnuté kontrolovať necenzurovaný prístup svojej populácie na internet a zaviedli technicky pôsobivé (ak je to morálne nevhodné) opatrenia na detekciu šifrovaného prenosu OpenVPN. Keďže sa objavenie pomocou OpenVPN môže v týchto krajinách dostať do problémov so zákonom, v týchto situáciách je veľmi dobré použiť jedno z vyššie uvedených bezpečnostných opatrení..

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me