OpenVPN Scramble היא דרך להסתיר (לטשטש) את תנועת OpenVPN כך שהיא לא תיראה כמו תנועת OpenVPN. זה יעיל ביותר כנגד הרבה טכניקות של בדיקת מנות עמוקות (DPI), והוא טוב לעקוף אפילו חסימות VPN מתוחכמות.

OpenVPN Scramble משתמש באלגוריתם ההצפנה של XOR. קל מאוד למריחה וגם קל משקל. שירותי VPN רבים פונים ל- OpenVPN Scramble על מנת להביס חסימות VPN מתקדמות מהסוג שמשמשות את סין ומצרים..

צופן ה- XOR

XOR מבוטא בדרך כלל Ex-or והוא מיועד ל- Exclusive או, סוג של פעולה מתמטית המשמשת את צופן ה- XOR. אלגוריתם ה- XOR הוא בעצם צופן החלפה פשוט. במילים אחרות, זה פשוט מחליף כל אלפא-נומרי במחרוזת שמוזנת לתוכו במספר אחר.

באופן חיוני, האלגוריתם הפיך. כך שאם אתה מזין את מחרוזת הפלט לאותו אלגוריתם, אתה בסופו של דבר עם המחרוזת המקורית עם הסרת הצופן.

צופן מסוג זה נקרא גם צופן תוסף, והוא הצופן הפשוט ביותר שיש. זהו סוג הצופן של ROT13 שילדים חכמים משתמשים בו לרוב כדי ליצור מסרים סודיים. אלא שהוא משתמש באלגוריתם הרבה יותר מתוחכם מכפי שרוב הילדים יכולים להמציא.


מהו צופן ה- XOR

OpenVPN Scramble

אם זה לא נשמע מאוד מאובטח, זה לא. אכן, ניתן לשבור בקלות קידוד XOR באמצעות טכניקות ניתוח תדרים פשוטות (מחפש דפוסים במחרוזת הפלט).

OpenVPN Scramble אינו משתמש בצפנת XOR כדי לאבטח את הנתונים שלך. OpenVPN עושה זאת.

עם זאת, OpenVPN מעניקה נתונים מוצפנים חתימה ייחודית הניתנת לגילוי באמצעות DPI. על ידי החלפת הערך של כל פיסת נתונים המוגנת על ידי OpenVPN בערך אחר, XOR מערבל את הנתונים באופן שמקשה מאוד על החתימה הזו..

ולשירותי VPN, זהב ה- XOR לא נעצר כאן. קוד הפתיחה openvpn_xor של קוד פתוח מקלה עליהם באופן קל מאוד על הטמעת XOR Scramble ומציעים אותו ללקוחותיהם..

כמה יעיל OpenVPN Scramble?

ערבול של נתונים מוצפנים של OpenVPN עם צופן XOR מקשה על מערכות כמו חומת האש הגדולה של סין לזהות.

ערפול XOR השיג רמה מסוימת של ידוע לשמצה. גודלו הקטן וקלות היישום הופכים אותו לבחירה פופולרית עבור מפתחי תוכנות זדוניות המעוניינים להסתיר את פיסות הקוד הנבזות שלהם מגילוי נגד תוכנות זדוניות..

מפתחים רבים של תוכנות זדוניות שמחים פשוט להשתמש בערך של 1 בתים כדי לשמש כמפתח. הקוד שמעורר מקש זה ואז הוא מחליף כל בייט של הנתונים שצריך לקודד, XOR 'לכל בייט באמצעות המקש שנבחר..

קל להבחין בנתונים שמעורערים במפתח ערך של 1 בתים, מכיוון שהם יוצרים דפוסים חוזרים ונשנים בקוד שנראה אחרת אקראי. מספר תוכניות פותחו כדי לעשות זאת בדיוק.

אפשר לבחור מפתחות ארוכים יותר, אם כי, עד לערך הבייט של הנתונים המוחשפים. האפקטיביות של פונקציית ה- XOR בשילוב נתונים תלויה לחלוטין עד כמה המפתח הוא אקראי בו הוא משתמש.

אז מה המשמעות של כל זה? ובכן, השימוש הנרחב בערפול XOR עבור תוכנות זדוניות הוא עדות ליעילותו.

NordVPN היא חברת VPN שמציעה הצפנת XOR, ולכן ביקשנו ממומחה הפרטיות הדיגיטלית שלה, דניאל מרקוסון, להעיר עד כמה היא יעילה להבסת חסימות VPN. הוא מציע להפעיל את הניסוי הבא באמצעות מנתח המנות של Wireshark:

1. הפעל VPN רגיל. Wireshark רואה את התנועה כ- OpenVPN.

פתח את ה- VPN לטרוף XOR

2. הפעל VPN מוסווה על TCP (אפשרות ה- XOR של NordVPN). Wireshark כבר לא מזהה את התנועה כ- OpenVPN.

VPN ערפול באמצעות TCP

"XOR בהחלט עובד. האם זה יעיל תמיד כנגד מאמצי הממשלה לחסום את התנועה ב- OpenVPN? בכלל לא. אך כפי שמראה הניסוי לעיל, מסובך יותר לזהות תנועה של VPN אם משתמשים ב- XOR. לכן קשה יותר לחסום. "

מחלוקת

למרות יתרונותיו, openvpn_xorpatch שנוי במחלוקת במקצת. אכן, מפתחי OpenVPN סירבו ליישם אותה בכל גרסה רשמית של OpenVPN, וממליצים על השימוש בה.

"אנו (מפתחי OpenVPN) לא מעודדים אנשים לבנות גרסאות משלהם של OpenVPN לשנות את פרוטוקול התיל בצורה כזו, מבלי שהטלאי יעבור בבדיקת טלאים נאותה ובדק הערכת סיכוני אבטחה אפשריים הקשורים לשינוי כזה..

ואנו מייאשים במיוחד להשתמש בגישה כזו כאשר קיים פיתרון טוב בהרבה, המשמש את קהילת ה- TOR. זה נקרא obfsproxy וניתן להשתמש בו יחד עם OpenVPN מבלי להזדקק לקומפילציה מחדש של OpenVPN. "

למרות האזהרות הללו, עם זאת, מפתחי לקוח ה- VPN המקורי של macOS VPN, Tunnelblick, בחרו לכלול בתוכנה שלהם גרסה שונה של תיקון ה- XOR:

"ללא קשר להחלטת מפתחי OpenVPN שלא לכלול את התיקון ב- OpenVPN, התיקון אטרקטיבי מכיוון שהוא כל כך קל ליישום: פשוט החל את התיקון הן לשרת OpenVPN והן ללקוח OpenVPN ולהוסיף אפשרות אחת, זהה ל קבצי תצורה עבור כל אחד. השימוש ב- obfsproxy מסובך יותר מכיוון שהוא כרוך בהפעלת תוכנית אחרת ונפרדת בשרת וגם בלקוח.

מכיוון שהתיקון קל כל כך ליישום, התיקון כלול בכל הגרסאות של OpenVPN הכלולות ב- Tunnelblick החל מ- build 4420. "

ראוי לציין כי מפתחי ה- Tunnelblick מצאו כי תיקון ה- XOR המקורי הוא בעל פגמים קריטיים, ולכן פרסמו גרסה מעודכנת של התיקון שתיקנה את כל הבעיות שנמצאו:

"לארגונים גדולים יש את היכולת והכוח 'לבטל את התעבורה' ולזהות אותה כתעבורת OpenVPN, וההערלה המסופקת על ידי התיקון הזה כל כך מבודדת עד שקריפטנליזה פשוטה יחסית תוכל כנראה גם לסלק את התוכן."

אנו בהחלט מקווים שספקי VPN המציעים OpenVPN Scramble משתמשים בתיקון XOR משופר זה, או ביצעו שינויים דומים למקור.

חלופות ל- OpenVPN Scramble

Obfsproxy

מפתחי OpenVPN מבהירים כי טקטיקת ההטלה המועדפת עליהם היא obsfproxy, כלי שנועד לעטוף נתונים לשכבת ערפול..

Obfsproxy פותחה על ידי רשת Tor, בעיקר כתגובה לסין החוסמת את הגישה לצמתי Tor ציבוריים. עם זאת, הוא אינו תלוי ב- Tor וניתן להגדיר אותו עבור OpenVPN.

Obfsproxy משמש להפעלת טרנספורטים ניתנים לחיבור אשר מערבלים את תנועת ה- VPN (או Tor). הוא תומך במספר טרנספורטים ניתנים לחיבור אלה, אך obfs4 הוא פרוטוקול ההטה המעודכן "נראה כמו כלום" העדכני ביותר של פרויקט Tor..

מנהרה

זוהי עוד טקטיקת הערפול VPN טובה. זה עובד על ידי ניתוב תעבורת VPN דרך מנהרת TLS / SSL. TLS / SSL הוא ההצפנה המשמשת HTTPS, ולכן קשה מאוד להבחין בחיבורי VPN (בדרך כלל OpenVPN) דרך מנהרות TLS / SSL אלה מלבד תנועה רגילה של HTTPS. עיין במדריך HTTPS שלנו למידע נוסף.

הסיבה לכך היא שנתוני OpenVPN עטופים בתוך שכבה נוספת של קידוד TLS / SSL. מכיוון שטכניקות DPI אינן מסוגלות לחדור לשכבה "חיצונית" זו של הצפנה, הן אינן מסוגלות לזהות את קידוד ה- OpenVPN החבוי בתוך המנהרה..

סיכום

OpenVPN Scramble קל לפריסה של שירותי VPN ויכול להיות יעיל מאוד בהתחמקות מחסימות VPN, אך הוא אינו חזק בהסתרת תעבורת VPN כמו obfsproxy אוunnel..

פשוט לנסות להשתמש ב- VPN זה לא חוקי במקומות מעט מאוד בעולם, כך שאם חיבור ה- VPN שלך חסום יש מעט נזק לראות אם OpenVPN Scramble יבטל את החסימה שלו, זה כנראה.

בנסיבות נדירות בהן אתה עלול להסתבך בפועל אם יתגלה שימוש ב- VPN, אז obfsproxy אוunnics הם בטוחים יותר.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me