İnternet sansürü dünya çapında sıkılaştıkça, hükümetler kısıtlamalarını aşmak için VPN kullanımının önlenmesi konusunda giderek daha fazla endişe duymaktadır. Çin, Büyük Güvenlik Duvarı ile bu konuda özellikle aktif olmuştur ve Çin'de VPN kullanan kişilerin bağlantılarını engelleyen birçok rapor vardır..


Sorun şu ki, şifrelenmiş bir VPN tünelindeki verileri 'görmek' mümkün olmasa da, gittikçe karmaşıklaşan güvenlik duvarları şifrelemenin kullanıldığını belirlemek için Derin Paket İnceleme (DPI) tekniklerini kullanabiliyor (örneğin kullanılan SSL şifrelemesini tespit etmek için) OpenVPN tarafından).

Bu soruna bir dizi çözüm var, ancak çoğu teknik uzmanlık ve sunucu tarafı yapılandırması gerektiriyor, bu nedenle bu makale sadece mevcut seçeneklere bir giriş niteliğindedir. VPN sinyalinizi gizlemek sizin için önemliyse ve Port 443 iletme (aşağıya bakın) yetersizse, aşağıda özetlenen çözümlerden birini uygulamaya istekli olup olmadıklarını tartışmak için VPN sağlayıcınızla görüşmelisiniz (veya alternatif olarak bir sağlayıcı bulun. zaten bu tür bir destek sunan AirVPN olarak).

TCP Bağlantı Noktası 443 aracılığıyla Bağlantı Noktası İletme OpenVPN

Şimdiye kadar (istemci) ucunuzdan kolayca gerçekleştirilebilecek en basit yöntem, sunucu tarafı uygulaması gerektirmez ve çoğu durumda çalışacaktır, OpenVPN trafiğinizi 443 numaralı TCP bağlantı noktası üzerinden iletmektir..

OpenVPN varsayılan olarak UDP bağlantı noktası 1194'ü kullanır, bu nedenle güvenlik duvarlarının bağlantı noktası 1194'ü (ve yaygın olarak kullanılan diğer bağlantı noktalarını) izlemesi yaygındır ve kullanmaya çalışan şifreli trafiği reddeder. TCP bağlantı noktası 443, HTTPS (Köprü Metni Aktarım Protokolü Güvenli) tarafından kullanılan varsayılan bağlantı noktasıdır, https: // web sitelerini güvence altına almak için kullanılan ve bankalar, Gmail, Twitter ve daha birçok önemli web hizmeti tarafından internette kullanılan protokoldür..

HTTPS gibi SSL şifrelemesi kullanan OpenVPN'in kullanımı sadece 443 numaralı bağlantı noktası üzerinden algılanması çok zor olmakla kalmaz, aynı zamanda bu bağlantı noktasının internete erişimi ciddi şekilde engeller ve bu nedenle genellikle web sansürleri için uygun bir seçenek değildir..

Bağlantı noktası iletme, özel OpenVPN istemcilerinde en yaygın olarak desteklenen özelliklerden biridir ve 443 numaralı TCP bağlantı noktasına geçişi gülünç derecede kolaylaştırır. VPN sağlayıcınız böyle bir istemci sağlamazsa, onlarla iletişime geçmelisiniz.

Ne yazık ki, OpenVPN tarafından kullanılan SSL şifrelemesi 'standart' SSL ile tam olarak aynı değildir ve gelişmiş Derin Paket Denetimi (Çin gibi yerlerde giderek daha fazla kullanılan türde), şifreli trafiğin 'gerçek' SSL / HTP el sıkışma. Bu gibi durumlarda, kaçınma tespiti için alternatif yöntemler bulunmalıdır..

Obfsproxy

Obfsproxy, verileri bir gizleme katmanına sarmak için tasarlanmış bir araç olup, OpenVPN'in (veya diğer VPN protokollerinin) kullanıldığını tespit etmeyi zorlaştırır. Son zamanlarda Tor ağı tarafından büyük ölçüde Çin'in halka açık Tor düğümlerine erişimi engellemesine bir yanıt olarak kabul edildi, ancak Tor'dan bağımsızdır ve OpenVPN için yapılandırılabilir.

Çalışmak için, hem istemcinin bilgisayarına (örneğin, bağlantı noktası 1194'ü kullanarak) hem de VPN sunucusuna obfsproxy'nin yüklenmesi gerekir. Ancak, tüm gerekli olan sunucuya aşağıdaki komut satırının girilmesidir:

obfsproxy obfs2 –dest = 127.0.0.1: 1194 sunucusu x.x.x.x: 5573

Bu, obfsproxy'ye 1194 numaralı bağlantı noktasını dinlemesini, 1194 numaralı bağlantı noktasına yerel olarak bağlanmasını ve kapsüllenmemiş verileri ona iletmesini bildirir (tüm ağ arabirimlerini dinlemek için x.x.x.x IP adresinizle veya 0.0.0.0 ile değiştirilmelidir). VPN sağlayıcınızla statik bir IP ayarlamak muhtemelen en iyisidir, böylece sunucu hangi bağlantı noktasını dinleyeceğini bilir.

Aşağıda sunulan tünelleme seçenekleriyle karşılaştırıldığında, obfsproxy, trafiği şifrelemede sarmalamadığı için güvenli değildir, ancak ek bir şifreleme katmanı taşımadığı için çok daha düşük bir bant genişliği yüküne sahiptir. Bu, özellikle bant genişliğinin genellikle kritik bir kaynak olduğu Suriye veya Etiyopya gibi yerlerdeki kullanıcılar için geçerli olabilir. Obfsproxy'nin kurulumu ve yapılandırılması da biraz daha kolaydır.

SSL tüneli üzerinden OpenVPN

Güvenli Yuva Katmanı (SSL) tüneli, tek başına OpenVPN'e etkili bir alternatif olarak kullanılabilir ve aslında birçok proxy sunucusu bağlantılarını güvence altına almak için birini kullanır. OpenVPN kullandığınız gerçeğini tamamen gizlemek için de kullanılabilir.

Yukarıda belirttiğimiz gibi, OpenVPN 'gerçek' SSL'den biraz farklı olan ve gelişmiş DPI'lar tarafından tespit edilebilen bir TLS / SSL şifreleme protokolü kullanır. Bundan kaçınmak için, OpenVPN verilerini ek bir şifreleme katmanına 'sarmak' mümkündür. DPI'lar bu "dış" SSL şifreleme katmanına nüfuz edemediğinden, OpenVPN şifrelemesini "içeride" tespit edemezler.

SSL tünelleri genellikle hem sunucuda (bu durumda VPN sağlayıcınızın VPN sunucusu) hem de istemcide (bilgisayarınızda) yapılandırılması gereken çok platformlu stunnel yazılımı kullanılarak yapılır. Bu nedenle, SSL tüneli kullanmak istiyorsanız durumu VPN sağlayıcınızla görüşmek ve kabul ederlerse yapılandırma talimatlarını almak gerekir. Birkaç sağlayıcı bunu standart bir hizmet olarak sunmaktadır, ancak şimdiye kadar gözden geçirdiğimiz tek AirVPN'dir (anonypoz başka bir şeydir).

Sinyale fazladan bir veri katmanı eklendiğinden, bu tekniği kullanmak bir performans isabetine neden olur..

SSH tüneli üzerinden OpenVPN

Bu, OpenVPN'i SSL tüneli üzerinden kullanmaya çok benzer bir şekilde çalışır, ancak OpenVPN şifreli veriler bunun yerine bir Güvenli Kabuk (SSH) şifreleme katmanının içine sarılır. SSH esas olarak Unix sistemlerinde kabuk hesaplarına erişmek için kullanılır, bu nedenle kullanımı esas olarak iş dünyasıyla sınırlıdır ve SSL kadar popüler değildir..

SSL tünellemesinde olduğu gibi, AirVPN 'kutunun dışında' onu desteklese de, VPN sağlayıcınızın çalışmasını sağlamak için konuşmanız gerekir..

Sonuç

Çok derin paket denetimi olmadan, OpenVPN şifreli veriler normal SSL trafiğine benzer. Bu özellikle a) SSL trafiğini görmeyi beklediğiniz ve b) engelleme interneti engelleyecek olan 443 numaralı TCP bağlantı noktası üzerinden yönlendirilirse doğrudur..

Bununla birlikte, İran ve Çin gibi iller, nüfuslarının internete sansürsüz erişimini kontrol etmeye çok kararlı ve OpenVPN şifreli trafiği tespit etmek için teknik açıdan etkileyici (ahlaki açıdan sakıncalı ise) önlemler aldı. OpenVPN kullanarak keşfedilmeniz bile bu ülkelerdeki yasalarla başa çıkabileceğiniz için, bu durumlarda yukarıda ana hatları verilen ek önlemlerden birini kullanmak çok iyi bir fikirdir..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me