Ko se internetna cenzura zaostruje po vsem svetu, vlade postajajo vse bolj zaskrbljene zaradi preprečevanja uporabe VPN, da bi zaobšle svoje omejitve. Kitajska s svojim velikim požarnim zidom je bila še posebej dejavna v zvezi s tem, zato je bilo veliko poročil ljudi, ki uporabljajo kode VPN na Kitajskem, ki imajo svoje blokade blokirane.

Težava je v tem, da je nemogoče "videti" podatkov v šifriranem tunelu VPN, vse bolj izpopolnjene požarne zidove pa lahko z uporabo tehnike globokega preverjanja paketov (DPI) uporabijo za določitev, da se šifriranje uporablja (za odkrivanje na primer uporabljenega šifriranja SSL avtor: OpenVPN).

Za to težavo obstaja več rešitev, vendar večina od njih zahteva določeno tehnično znanje in konfiguracijo na strani strežnika, zato je ta članek preprosto uvod v razpoložljive možnosti. Če je skrivanje vašega VPN signala pomembno za vas in je posredovanje Port 443 (glejte spodaj) nezadostno, se obrnite na svojega ponudnika VPN in se pogovorite o tem, ali bi bili pripravljeni implementirati katero od spodnjih rešitev (ali pa najti ponudnika, npr. kot AirVPN, ki že ponuja tovrstno podporo).

Odprite vrata OpenVPN skozi vrata TCP 443

Daleč najpreprostejša metoda, ki jo je mogoče enostavno izvajati s svojega (odjemalskega) konca, ne zahteva nobene izvedbe na strani strežnika in bo delovala v večini primerov, je, da vaš OpenVPN promet posredujete skozi vrata TCP 443.

OpenVPN privzeto uporablja vrata UDP 1194, tako da požarni zidovi običajno nadzorujejo vrata 1194 (in druga pogosto uporabljena vrata), zavračajo šifriran promet, ki ga poskuša uporabiti (ali njih). TCP vrata 443 so privzeta vrata, ki jih uporablja HTTPS (Hypertext Transfer Protocol Secure), protokol, ki se uporablja za zaščito spletnih strani https: // in ga uporabljajo internet, banke, Gmail, Twitter in številne druge bistvene spletne storitve.


Ne samo, da je uporaba OpenVPN, ki kot HTTPS uporablja šifriranje SSL, zelo težko zaznati prek vrat 443, ampak da bi blokirala ta vrata močno okrnila dostop do interneta in zato običajno ni izvedljiva možnost za potencialne spletne cenzorje.

Posredovanje vrat je ena najpogosteje podprtih funkcij pri naročnikih OpenVPN po meri, zato je spreminjanje na vrata TCP 443 smešno enostavno. Če vaš ponudnik VPN ne ponuja takšne stranke, se obrnite na njih.

Na žalost šifriranje SSL, ki ga uporablja OpenVPN, ni popolnoma enako "standardnemu" SSL-ju, napredni inšpekcijski pregled globokih paketov (ki se vedno pogosteje uporablja na mestih, kot je Kitajska) pa lahko pove, ali je šifriran promet v skladu s "resničnim" SSL / Stisk roke HTP. V takšnih primerih je treba najti alternativne metode zaznavanja izogibanja.

Obfsproxy

Obfsproxy je orodje, ki je namenjeno zavijanju podatkov v zasedeni sloj in otežuje zaznavanje, da se uporabljajo OpenVPN (ali drugi VPN protokoli). Omrežje Tor je pred kratkim sprejelo, večinoma kot odgovor na to, da Kitajska preprečuje dostop do javnih vozlišč Tor, vendar je neodvisno od Tor in ga je mogoče konfigurirati za OpenVPN.

Če želite delovati, mora biti obfsproxy nameščen tako v računalniku odjemalca (na primer s pomočjo vrat 1194), kot tudi na strežniku VPN. Vendar je potrebno le, da se na strežnik vnese naslednja ukazna vrstica:

obfsproxy obfs2 –dest = 127.0.0.1: 1194 strežnik x.x.x.x: 5573

To govori obfsproxy, da posluša vrata 1194, da se lokalno poveže na vrata 1194 in vanj posreduje dekapsulirane podatke (x.x.x.x je treba zamenjati z vašim IP naslovom ali 0,0.0.0 za poslušanje na vseh omrežnih vmesnikih). Verjetno je najbolje, da s svojim ponudnikom VPN nastavite statični IP, tako da strežnik ve, katera vrata naj posluša.

V primerjavi s spodnjimi možnostmi tuneliranja obfsproxy ni tako varen, saj prometa ne širi v šifriranje, ima pa precej nižjo pasovno širino, saj ne nosi dodatnega sloja šifriranja. To je lahko še posebej pomembno za uporabnike v krajih, kot sta Sirija ali Etiopija, kjer je pasovna širina pogosto kritičen vir. Obfsproxy je tudi nekoliko lažje nastaviti in konfigurirati.

OpenVPN skozi tunel SSL

Tunel Secure Socket Layer (SSL) se lahko sam uporablja kot učinkovita alternativa OpenVPN, v resnici pa ga mnogi proxy strežniki uporabljajo za zaščito svojih povezav. Uporabite ga lahko tudi za popolno prikrivanje dejstva, da uporabljate OpenVPN.

Kot smo že omenili, OpenVPN uporablja šifrirni protokol TLS / SSL, ki se nekoliko razlikuje od pravega SSL in ga lahko zaznajo prefinjeni DPI-ji. Da bi se temu izognili, je mogoče podatke OpenVPN 'oviti' v dodatno plast šifriranja. Ker DPI ne morejo prodreti v to "zunanjo" plast šifriranja SSL, ne morejo zaznati šifriranja OpenVPN "znotraj".

Tuneli SSL so navadno narejeni s programsko opremo za večopravilno omamljanje, ki jo je treba konfigurirati tako na strežniku (v tem primeru strežnik VPN ponudnika VPN) kot na odjemalcu (v računalniku). Če želite uporabiti tuneliranje s SSL, se je treba pogovoriti o situaciji s ponudnikom VPN in od njih prejeti navodila za konfiguracijo, če se strinjajo. Kar nekaj ponudnikov to ponuja kot standardno storitev, vendar je AirVPN edini, ki smo ga doslej pregledali (anonymouspoz je drug).

Uporaba te tehnike povzroči uspešnost, saj se signalu doda dodaten sloj podatkov.

OpenVPN skozi tunel SSH

To deluje na zelo podoben način kot uporaba OpenVPN skozi tunel SSL, le da so namesto tega šifrirani podatki OpenVPN oviti v plast šifriranja varne lupine (SSH). SSH se uporablja predvsem za dostop do računov lupine v sistemih Unix, zato je njegova uporaba omejena predvsem na poslovni svet in nikjer tako priljubljena kot SSL.

Tako kot pri tuneliranju s SSL-om se boste morali pogovarjati s svojim ponudnikom VPN-ja, da bo ta deloval, čeprav ga AirVPN podpira "izven škatle".

Zaključek

Brez zelo globokega pregleda paketov so šifrirani podatki OpenVPN videti tako kot običajni SSL promet. To še posebej velja, če se usmerja prek portala TCP 443, kjer a) pričakujete, da bo viden promet SSL in b) blokiranje bi oviralo internet.

Vendar pa sta grofiji, kot sta Iran in Kitajska, zelo odločeni nadzorovati necenzuriran dostop svojega prebivalstva do interneta in uvedli tehnično impresivne (če moralno nasprotujoče) ukrepe za odkrivanje šifriranega prometa s OpenVPN. Ker vas lahko celo odkrije z uporabo OpenVPN v težavah z zakonodajo v takšnih državah, je v teh primerih zelo dobra ideja, da uporabite enega od zgoraj opisanih dodatnih previdnostnih ukrepov..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me