Az internet cenzúrájának szigorodásával az egész világon a kormányok egyre inkább aggódnak a VPN használatának megakadályozása érdekében, hogy megkerüljék korlátozásaikat. Kína, a nagy tűzfallal, különösen aktív volt ebben a tekintetben, és számos jelentés érkezett a VPN-ket használó emberek számára Kínában, hogy kapcsolataik blokkolva vannak.


A probléma az, hogy míg az adatok titkosított VPN-alagútban "nem láthatók", az egyre kifinomultabb tűzfalak a Deep Packet Inspection (DPI) technikákat használhatják a titkosítás használatának meghatározására (például az alkalmazott SSL-titkosítás észlelésére). írta: OpenVPN).

A probléma számos megoldást kínál, de ezek többsége bizonyos fokú műszaki ismereteket és szerveroldali konfigurációt igényel, ezért ez a cikk egyszerűen csak a rendelkezésre álló lehetőségek bevezetése. Ha Ön számára fontos a VPN-jel elrejtése, és a Port 443 továbbítása (lásd alább) nem elegendő, akkor vegye fel a kapcsolatot a VPN-szolgáltatóval, hogy megvitassa, vajon hajlandóak-e megvalósítani az alábbiakban felvázolt megoldások valamelyikét (vagy pedig alternatív módon találnak szolgáltatót, például mint AirVPN, aki már kínál ilyen típusú támogatást).

Port OpenVPN továbbítása a TCP 443 porton keresztül

Messze a legegyszerűbb módszer, amelyet a (kliens) végéből könnyen végre lehet hajtani, nincs szükség szerveroldali megvalósításra, és a legtöbb esetben működni fog, az OpenVPN forgalom továbbítása a 443 TCP porton keresztül..

Az OpenVPN alapértelmezés szerint az UDP 1194-es portot használja, tehát a tűzfalak általában figyelik az 1194-es portot (és más általánosan használt portokat), és elutasítják a titkosított forgalmat, amely megpróbálja használni. A 443 TCP-port az alapértelmezett port, amelyet a HTTPS (Hypertext Transfer Protocol Secure) használ, a https: // webhelyek biztonságához használt protokollt, amelyet az interneten keresztül a bankok, a Gmail, a Twitter és még sok más alapvető webszolgáltatás használ..

Nemcsak az OpenVPN használata, amelyhez hasonlóan a HTTPS SSL titkosítást is használ, nagyon nehezen észlelhető a 443 porton keresztül, de e port letiltása súlyosan megrontja az internethez való hozzáférést, és ezért ez általában nem megvalósítható lehetőség a leendő webcenzúrák számára..

A port-átirányítás az egyéni OpenVPN-ügyfelek egyik leggyakrabban támogatott szolgáltatása, nevetségesen megkönnyítve ezzel a váltást a 443-as TCP-portra. Ha a VPN szolgáltatója nem szolgáltat ilyen ügyfelet, vegye fel velük a kapcsolatot.

Sajnos az OpenVPN által használt SSL titkosítás nem pontosan ugyanaz, mint a „standard” SSL, és az Advanced Deep Packet Inspection (az ilyen típusú területeken egyre gyakrabban használják) megmondja, hogy a titkosított forgalom megfelel-e a „valódi” SSL / HTP kézfogás. Ilyen esetekben alternatív módszereket kell keresni a detektálás elkerülésére.

Obfsproxy

Az Obfsproxy egy olyan eszköz, amelyet arra terveztek, hogy az adatokat egy obfuzációs rétegbe tekercseljék, megnehezítve ezzel az OpenVPN (vagy más VPN protokollok) használatának észlelését. A Tor-hálózat a közelmúltban elfogadta, nagyrészt válaszul arra, hogy Kína blokkolja a hozzáférést a nyilvános Tor-csomópontokhoz, de független a Tor-tól, és konfigurálható az OpenVPN-hez..

A működéshez az obfsproxyt telepíteni kell mind az ügyfél számítógépére (például az 1194-es port segítségével), mind a VPN-kiszolgálóra. Ehhez azonban csak a következő parancssort kell beírni a kiszolgálóra:

obfsproxy obfs2 –dest = 127.0.0.1: 1194 szerver x.x.x.x: 5573

Ez azt mondja az obfsproxy-nak, hogy hallgassa meg az 1194-es portot, csatlakozzon helyileg az 1194-es porthoz, és továbbítsa a bezárolt adatokat az IP-címre (az x.x.x.x-et az IP-címre kell cserélni, vagy a 0.0.0.0-at az összes hálózati interfész meghallgatására). Valószínűleg a legjobb statikus IP-t beállítani a VPN-szolgáltatóval, hogy a szerver tudja, melyik portot hallgassa meg.

Az alábbiakban bemutatott alagútbeállítási lehetőségekhez képest az obfsproxy nem olyan biztonságos, mivel nem titkosítja a forgalmat, de sokkal alacsonyabb sávszélességgel rendelkezik, mivel nem tartalmaz további réteget titkosítást. Ez különösen releváns lehet olyan helyek felhasználói számára, mint Szíria vagy Etiópia, ahol a sávszélesség gyakran kritikus erőforrás. Az Obfsproxy beállítása és konfigurálása szintén kissé könnyebb.

OpenVPN egy SSL-alagúton keresztül

A Secure Socket Layer (SSL) alagút önmagában is hatékony alternatíva lehet az OpenVPN számára, sőt, sok proxyszerver használ egyet az összeköttetésük biztosítására. Arra is felhasználható, hogy teljesen elrejtse azt a tényt, hogy OpenVPN-t használ.

Mint fentebb megjegyeztük, az OpenVPN olyan TLS / SSL titkosítási protokollt használ, amely kissé különbözik a „valódi” SSL-től, és amelyet a kifinomult DPI-k észlelhetnek. Ennek elkerülése érdekében lehetséges az OpenVPN-adatok „titkosítása” egy további titkosítási rétegben. Mivel a DPI-k nem képesek áthatolni az SSL titkosítás ezen „külső” rétegén, nem tudják felfedezni az „OpenVPN” titkosítást a „belül”.

Az SSL-alagutakat általában a többplatformi stunnel szoftver segítségével készítik, amelyet mind a kiszolgálón (ebben az esetben a VPN-szolgáltató VPN-szerverén), mind az ügyfélen (a számítógépen) konfigurálnia kell. Ezért meg kell vitatni a helyzetet a VPN szolgáltatóval, ha SSL alagútot akar használni, és konfigurációs utasításokat kell kapni tőlük, ha egyetértenek. Néhány szolgáltató ezt standard szolgáltatásként kínálja, de az AirVPN az egyetlen, amelyet eddig felülvizsgáltunk (az anonypoz egy másik).

Ennek a technikának a használatával teljesítmény-találat származik, mivel egy további adatréteg kerül hozzáadásra a jelhez.

OpenVPN egy SSH alagúton keresztül

Ez nagyon hasonlóan működik, mint az OpenVPN használata SSL alagúton, azzal a különbséggel, hogy az OpenVPN titkosított adatok inkább a Secure Shell (SSH) titkosítás egyik rétegébe vannak csomagolva. Az SSH-t elsősorban a shell-fiókok elérésére használják Unix rendszereken, így használata elsősorban az üzleti világra korlátozódik, és közel sem olyan népszerű, mint az SSL..

Az SSL-alagúthoz hasonlóan a működéshez is meg kell beszélnie a VPN-szolgáltatóval, bár az AirVPN támogatja „a dobozból”.

Következtetés

Nagyon mély csomag ellenőrzés nélkül az OpenVPN titkosított adatok ugyanúgy néznek ki, mint a szokásos SSL forgalom. Ez különösen igaz, ha a 443 TCP porton keresztül irányítják, ahol a) az SSL forgalmat láthatja, és b) annak blokkolása hátráltatja az internetet.

Azonban olyan megyék, mint Irán és Kína nagyon eltökélt szándéka, hogy ellenőrizzék lakosságának cenzúrázatlan internet-hozzáférését, és technikailag lenyűgöző (ha erkölcsileg kifogásolható) intézkedéseket hoztak az OpenVPN titkosított forgalmának felismerésére. Mivel az OpenVPN használatával való felfedezés is bajba kerülhet az ilyen országok törvényeivel, ilyen helyzetekben nagyon jó ötlet a fent vázolt kiegészítő óvintézkedések egyikének alkalmazása..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me