Samazinoties interneta cenzūrai visā pasaulē, valdības arvien vairāk uztraucas par to, kā novērst VPN izmantošanu, lai apietu ierobežojumus. Ķīna ar savu Lielo ugunsmūri šajā ziņā ir bijusi īpaši aktīva, un ir saņemti daudzi ziņojumi no cilvēkiem, kuri Ķīnā izmanto VPN un kuru savienojumi ir bloķēti.


Problēma ir tā, ka, lai arī šifrētā VPN tunelī nav iespējams "redzēt" datus, aizvien sarežģītāki ugunsmūri var izmantot Deep Packet Inspection (DPI) paņēmienus, lai noteiktu, vai tiek izmantota šifrēšana (lai, piemēram, noteiktu izmantoto SSL šifrēšanu). autors: OpenVPN).

Šai problēmai ir vairāki risinājumi, taču lielākajai daļai no tām nepieciešama zināma tehniskā kompetence un servera puses konfigurācija, tāpēc šis raksts ir vienkārši ievads par pieejamajām iespējām. Ja jums ir svarīga VPN signāla slēpšana un porta 443 pāradresācija (skat. Zemāk) ir nepietiekama, tad jums jāsazinās ar savu VPN pakalpojumu sniedzēju, lai pārrunātu, vai viņi būtu gatavi ieviest kādu no tālāk aprakstītajiem risinājumiem (vai arī alternatīvi atrast pakalpojumu sniedzēju, piemēram, kā AirVPN, kurš jau piedāvā šāda veida atbalstu).

Port Forward OpenVPN caur TCP portu 443

Līdz šim vienkāršākā metode, kuru var viegli izpildīt no jūsu (klienta) gala, nav nepieciešama servera puses ieviešana, un tā darbosies vairumā gadījumu, ir jūsu OpenVPN trafika pārsūtīšana caur TCP portu 443.

Pēc noklusējuma OpenVPN izmanto UDP portu 1194, tāpēc ugunsmūriem ir ierasts uzraudzīt portu 1194 (un citus parasti izmantojamos portus), noraidot šifrētu trafiku, kas mēģina to (vai tos) izmantot. TCP ports 443 ir noklusējuma ports, ko izmanto HTTPS (Hypertext Transfer Protocol Secure), protokols, ko izmanto, lai aizsargātu https: // vietnes, un ko visā internetā izmanto bankas, Gmail, Twitter un daudzi citi svarīgi tīmekļa pakalpojumi..

Ne tikai OpenVPN izmantošanu, kas, piemēram, HTTPS, izmanto SSL šifrēšanu, ir ļoti grūti noteikt, izmantojot portu 443, bet arī šī porta bloķēšana nopietni kropļo piekļuvi internetam, un tāpēc tā parasti nav piemērota iespējamo tīmekļa censoņu iespēja..

Portu pāradresācija ir viena no visbiežāk atbalstītajām funkcijām pielāgotajos OpenVPN klientos, padarot smieklīgi vieglu pāreju uz TCP portu 443. Ja jūsu VPN pakalpojumu sniedzējs nepiegādā šādu klientu, jums vajadzētu sazināties ar viņu.

Diemžēl SSL šifrēšana, ko izmanto OpenVPN, nav tieši tāda pati kā “standarta” SSL, un uzlabotā dziļo pakešu pārbaude (tāda veida, ko arvien vairāk izmanto tādās vietās kā Ķīna) var noteikt, vai šifrētā trafiks atbilst “īstajam” SSL / HTP rokasspiediens. Šādos gadījumos jāatrod alternatīvas metodes izvairīšanās no atklāšanas.

Obfsproxy

Obfsproxy ir rīks, kas paredzēts datu iesaiņošanai apmulsināšanas slānī, padarot to grūti atklāt, ka tiek izmantots OpenVPN (vai citi VPN protokoli). To nesen pieņēma Tor tīkls, galvenokārt kā reakcija uz Ķīnu, kas bloķē piekļuvi publiskajiem Tor mezgliem, taču tas nav atkarīgs no Tor un to var konfigurēt OpenVPN.

Lai darbotos, obfsproxy jāinstalē gan klienta datorā (izmantojot, piemēram, portu 1194), gan VPN serverī. Tomēr tikai tad ir nepieciešams, lai serverī tiktu ievadīta šāda komandrinda:

obfsproxy obfs2 – vecākais = 127.0.0.1: 1194 serveris x.x.x.x: 5573

Tas liek obfsproxy klausīties portā 1194, lokāli izveidot savienojumu ar portu 1194 un pārsūtīt tajā dekapsulētos datus (x.x.x.x jāaizstāj ar jūsu IP adresi vai 0.0.0.0, lai klausītos visās tīkla saskarnēs). Droši vien vislabāk ir iestatīt statisku IP pie sava VPN pakalpojumu sniedzēja, lai serveris zinātu, kuru portu klausīties.

Salīdzinājumā ar zemāk aprakstītajām tuneļošanas iespējām obfsproxy nav tik drošs, jo tas neietver trafiku šifrēšanā, taču tam ir daudz mazāks joslas platums, jo tam nav papildu šifrēšanas slāņa. Tas var būt īpaši svarīgi lietotājiem tādās vietās kā Sīrija vai Etiopija, kur joslas platums bieži ir kritisks resurss. Arī Obfsproxy ir nedaudz vieglāk iestatīt un konfigurēt.

OpenVPN caur SSL tuneli

Droša ligzdas slāņa (SSL) tuneli vienatnē var izmantot kā efektīvu alternatīvu OpenVPN, un faktiski daudzi starpniekserveri izmanto vienu, lai nodrošinātu savienojumus. To var arī izmantot, lai pilnībā slēptu faktu, ka jūs izmantojat OpenVPN.

Kā mēs atzīmējām iepriekš, OpenVPN izmanto TLS / SSL šifrēšanas protokolu, kas nedaudz atšķiras no “patiesā” SSL un kuru var noteikt sarežģīti DPI. Lai no tā izvairītos, ir iespējams “ietīt” OpenVPN datus papildu šifrēšanas slānī. Tā kā DPI nespēj iekļūt šajā SSL šifrēšanas “ārējā” slānī, viņi nespēj atklāt OpenVPN šifrēšanu “iekšpusē”..

SSL tuneļi parasti tiek izgatavoti, izmantojot daudzplatformu apdullināšanas programmatūru, kas jākonfigurē gan serverī (šajā gadījumā jūsu VPN pakalpojumu sniedzēja VPN serverī), gan klientā (jūsu datorā). Tāpēc, ja vēlaties izmantot SSL tunelēšanu, ir jāapspriež situācija ar savu VPN pakalpojumu sniedzēju un jāsaņem konfigurācijas instrukcijas no viņiem, ja viņi tam piekrīt. Daži pakalpojumu sniedzēji to piedāvā kā standarta pakalpojumu, taču AirVPN ir vienīgais, ko līdz šim esam pārskatījuši (anonypoz ir cits).

Izmantojot šo paņēmienu, rodas veiktspējas trieciens, jo signālam tiek pievienots papildu datu slānis.

OpenVPN caur SSH tuneli

Tas darbojas ļoti līdzīgi OpenVPN izmantošanai caur SSL tuneli, izņemot to, ka OpenVPN šifrētie dati tiek iesaiņoti Secure Shell (SSH) šifrēšanas slānī. SSH galvenokārt tiek izmantots piekļuvei čeku kontiem Unix sistēmās, tāpēc tās izmantošana galvenokārt ir ierobežota ar biznesa pasauli un nekur nav tik populāra kā SSL.

Tāpat kā SSL tunelēšanas gadījumā, lai tas darbotos, jums būs jārunā ar savu VPN pakalpojumu sniedzēju, lai gan AirVPN atbalsta to “ārpus iespējas”.

Secinājums

Bez ļoti dziļas pakešu pārbaudes OpenVPN šifrētie dati izskatās tāpat kā parastā SSL trafika. Tas jo īpaši attiecas uz maršruta cauri TCP portam 443, kur a) jūs varētu redzēt SSL trafiku un b) tā bloķēšana kaitētu internetam.

Tomēr tādi apgabali kā Irāna un Ķīna ir ļoti apņēmības pilni kontrolēt savu iedzīvotāju necenzētu piekļuvi internetam un ir ieviesuši tehniski iespaidīgus (ja tas ir morāli nepieņemami) pasākumus OpenVPN šifrētas trafika noteikšanai. Tā kā pat atklāšana, izmantojot OpenVPN, var sagādāt problēmas ar šādu valstu likumiem, šajās situācijās ir ļoti laba ideja izmantot kādu no iepriekš aprakstītajiem papildu piesardzības pasākumiem..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me