ככל שהצנזורה באינטרנט מתהדקת ברחבי העולם, הממשלות דואגות יותר ויותר למניעת השימוש ב- VPN כדי לעקוף את מגבלותיהן. סין, עם חומת האש הגדולה שלה, הייתה פעילה במיוחד בהקשר זה, והיו דיווחים רבים מאנשים שמשתמשים ב- VPNs בסין ונחסמו את קשריהם.


הבעיה היא שלמרות שאי אפשר 'לראות' את הנתונים במנהרת VPN מוצפנת, חומות אש מתוחכמות יותר ויותר מסוגלות להשתמש בטכניקות Deep Packet Inspection (DPI) כדי לקבוע כי נעשה שימוש בהצפנה (כדי לזהות למשל את קידוד ה- SSL המשמש מאת OpenVPN).

ישנם מספר פתרונות לבעיה זו, אך רובם דורשים מידה של מומחיות טכנית ותצורה בצד השרת, וזו הסיבה שמאמר זה הוא פשוט מבוא לאפשרויות הקיימות. אם להסתיר את אות ה- VPN שלך חשוב לך והעברת ה- Port 443 (ראה להלן) אינה מספיקה, עליך ליצור קשר עם ספק ה- VPN שלך כדי לדון האם הם יהיו מוכנים ליישם את אחד הפתרונות המפורטים להלן (או לחלופין למצוא ספק, כזה בתור AirVPN, שכבר מציע תמיכה מסוג זה).

יציאה קדימה של OpenVPN דרך יציאת TCP 443

ללא ספק השיטה הפשוטה ביותר, שזו ניתנת לביצוע בקלות מהקצה שלך (הלקוח), אינה דורשת יישום בצד השרת והיא תעבוד ברוב המקרים היא להעביר את תנועת OpenVPN שלך דרך יציאת TCP 443.

כברירת מחדל, OpenVPN משתמש ביציאת UDP 1194, ולכן מקובל שחומות אש מנטרות את יציאת 1194 (ויציאות אחרות הנפוצות), ודוחה את התנועה המוצפנת שמנסה להשתמש בה (או בהן). יציאת TCP 443 היא יציאת ברירת המחדל בה משתמשים HTTPS (Hypertext Transfer Protocol Secure), הפרוטוקול המשמש לאבטחת https: // אתרי אינטרנט, ומשמש ברחבי האינטרנט על ידי בנקים, Gmail, Twitter ושירותי אינטרנט רבים וחיוניים יותר..

לא רק שהשימוש ב- OpenVPN, שבדומה ל- HTTPS משתמש בהצפנת SSL, קשה מאוד לאיתור מעל יציאה 443, אלא שחסימת יציאה זו תפגע קשות בגישה לאינטרנט ולכן היא בדרך כלל לא אפשרות מעשית עבור צנזורים ברשת שיהיו..

העברת נמל היא אחת התכונות הנתמכות ביותר בקרב לקוחות OpenVPN מותאמים אישית, מה שהופך את השינויים ליציאת TCP 443 לקלה בצורה מגוחכת. אם ספק ה- VPN שלך אינו מספק לקוח כזה, עליך לפנות אליו.

לרוע המזל, קידוד ה- SSL המשמש את OpenVPN אינו זהה ל- SSL 'רגיל', ובדיקת מנות עמוקה מתקדמת (מהסוג שמשתמש יותר ויותר במקומות כמו סין), יכולה לדעת אם תנועה מוצפנת תואמת את ה- SSL 'האמיתי' / לחיצת יד של HTP. במקרים כאלה, יש למצוא שיטות חלופיות להעלמת גילוי.

Obfsproxy

Obfsproxy הוא כלי שנועד לעטוף נתונים בשכבת ערפול, ומקשה על גילוי השימוש ב- OpenVPN (או פרוטוקולי VPN אחרים). זה לאחרונה אומץ על ידי רשת Tor, בעיקר כתגובה לסין החוסמת את הגישה לצמתי Tor ציבוריים, אך היא אינה תלויה ב- Tor, והיא ניתנת להגדרה עבור OpenVPN.

כדי לעבוד, obfsproxy צריך להתקין גם במחשב הלקוח (באמצעות, למשל, פורט 1194) וגם על שרת ה- VPN. עם זאת, כל שנדרש לאחר מכן הוא להזין את שורת הפקודה הבאה בשרת:

obfsproxy obfs2 –dest = 127.0.0.1: שרת 1194 x.x.x.x: 5573

זה אומר ל- obfsproxy להאזין ביציאה 1194, להתחבר באופן מקומי ליציאה 1194 ולהעביר אליו את הנתונים המעוטפים (יש להחליף את x.x.x.x בכתובת ה- IP שלך או 0.0.0.0 כדי להאזין בכל ממשקי הרשת). ככל הנראה עדיף להגדיר IP סטטי עם ספק ה- VPN שלך כך שהשרת יידע באיזה יציאה להאזין.

בהשוואה לאפשרויות המנהור המוצגות להלן, obfsproxy אינו מאובטח מכיוון שהוא אינו עוטף את התנועה בהצפנה, אך יש לו רוחב פס נמוך בהרבה מכיוון שהוא אינו נושא שכבה נוספת של הצפנה. זה יכול להיות רלוונטי במיוחד למשתמשים במקומות כמו סוריה או אתיופיה, כאשר רוחב הפס הוא לרוב משאב קריטי. גם קל יותר להתקין ולהגדיר את Obfsproxy.

OpenVPN דרך מנהרת SSL

מנהרת Secure Socket Layer (SSL) יכולה, בעצמה, לשמש כחלופה אפקטיבית ל- OpenVPN, ולמעשה שרתי פרוקסי רבים משתמשים בכזה כדי לאבטח את חיבוריהם. זה יכול לשמש גם כדי להסתיר לחלוטין את העובדה שאתה משתמש ב- OpenVPN.

כפי שציינו לעיל, OpenVPN משתמש בפרוטוקול הצפנת TLS / SSL השונה במקצת מ- SSL 'אמיתי', וניתן לאתר אותו על ידי DPI מתוחכמים. בכדי להימנע מכך, ניתן 'לעטוף' את נתוני OpenVPN בשכבה נוספת של הצפנה. מכיוון ש- DPI לא מצליחים לחדור לשכבה 'החיצונית' של הצפנת SSL, הם אינם יכולים לאתר את קידוד ה- OpenVPN 'בפנים'..

מנהרות SSL מיוצרות בדרך כלל באמצעות תוכנת המערכת המרובת פלטפורמות, שיש להגדיר הן על השרת (במקרה זה, שרת ה- VPN של ספק ה- VPN) והן על הלקוח (המחשב שלכם). לכן יש לדון במצב עם ספק ה- VPN שלך אם ברצונך להשתמש במנהור SSL ולקבל מהם הוראות תצורה אם הם יסכימו. כמה ספקים מציעים זאת כשירות סטנדרטי, אך AirVPN הוא היחיד שעברנו עד כה (anonypoz הוא אחר).

השימוש בטכניקה זו אכן מכה ביצועים, שכן שכבה נוספת של נתונים מתווספת לאות.

OpenVPN דרך מנהרת SSH

זה עובד בצורה דומה מאוד לשימוש ב- OpenVPN דרך מנהרת SSL, אלא שהנתונים המוצפנים של OpenVPN נעטפים בתוך שכבה של הצפנת Secure Shell (SSH) במקום. SSH משמש בעיקר לגישה לחשבונות קונכיות במערכות יוניקס, כך שהשימוש בה מוגבל בעיקר לעולם העסקים וכמעט שאינו פופולרי כמו SSL..

כמו במנהור SSL, תצטרך לדבר עם ספק ה- VPN שלך כדי שזה יעבוד, אם כי AirVPN תומך בכך 'מחוץ לקופסה'..

סיכום

ללא בדיקת מנות עמוקה מאוד, נתונים מוצפנים של OpenVPN נראים ממש כמו תנועת SSL רגילה. זה נכון במיוחד אם הוא מנותב דרך יציאת TCP 443, שם א) הייתם מצפים לראות תנועת SSL וב) חסימת זה תפגע באינטרנט.

עם זאת, מחוזות כמו איראן וסין נחושים מאוד לשלוט על הגישה הבלתי מצונזרת של אוכלוסייתן לאינטרנט, ונקבעו אמצעים מרשימים (אם ניתנים להתנגדות מוסרית) לאיתור תנועה מוצפנת של OpenVPN. מכיוון שאפילו שהתגלה באמצעות OpenVPN יכול להסתבך עם החוק במדינות כאלה, הרי שבמצבים אלה כדאי מאוד להשתמש באחת מהאמצעי הזהירות הנוספים המפורטים לעיל..

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me