Ketika sensor internet semakin ketat di seluruh dunia, pemerintah menjadi semakin khawatir tentang mencegah penggunaan VPN untuk menghindari pembatasan mereka. China, dengan Great Firewall-nya, telah sangat aktif dalam hal ini, dan ada banyak laporan dari orang-orang yang menggunakan VPN di China yang koneksi mereka diblokir.


Masalahnya adalah bahwa sementara tidak mungkin untuk 'melihat' data dalam terowongan VPN terenkripsi, firewall yang semakin canggih dapat menggunakan teknik Deep Packet Inspection (DPI) untuk menentukan bahwa enkripsi sedang digunakan (untuk mendeteksi misalnya enkripsi SSL yang digunakan oleh OpenVPN).

Ada sejumlah solusi untuk masalah ini, tetapi kebanyakan dari mereka memerlukan tingkat keahlian teknis dan konfigurasi sisi server, itulah sebabnya artikel ini hanyalah pengantar untuk opsi yang tersedia. Jika menyembunyikan sinyal VPN Anda penting bagi Anda dan penerusan Port 443 (lihat di bawah) tidak mencukupi, maka Anda harus menghubungi penyedia VPN Anda untuk mendiskusikan apakah mereka bersedia untuk mengimplementasikan salah satu solusi yang diuraikan di bawah ini (atau sebagai alternatif menemukan penyedia, seperti sebagai AirVPN, yang sudah menawarkan jenis dukungan ini).

Port Forward OpenVPN melalui port TCP 443

Sejauh ini, metode paling sederhana, yang dapat dengan mudah dilakukan dari pihak Anda (klien), tidak memerlukan implementasi sisi server, dan dalam banyak kasus, akan meneruskan lalu lintas OpenVPN Anda melalui port TCP 443.

OpenVPN secara default menggunakan port UDP 1194, sehingga firewall umum memantau port 1194 (dan port lain yang biasa digunakan), menolak lalu lintas terenkripsi yang mencoba menggunakannya (atau mereka). Port TCP 443 adalah port default yang digunakan oleh HTTPS (Hypertext Transfer Protocol Secure), protokol yang digunakan untuk mengamankan https: // situs web, dan digunakan di seluruh internet oleh bank, Gmail, Twitter, dan banyak layanan web yang lebih penting.

Tidak hanya penggunaan OpenVPN, yang seperti HTTPS menggunakan enkripsi SSL, sangat sulit untuk dideteksi melalui port 443, tetapi memblokir port tersebut akan sangat melumpuhkan akses ke internet dan karenanya biasanya bukan pilihan yang layak untuk calon sensor web..

Port forwarding adalah salah satu fitur yang paling umum didukung dalam klien OpenVPN kustom, membuat perubahan ke port TCP 443 sangat mudah. Jika penyedia VPN Anda tidak menyediakan klien seperti itu, maka Anda harus menghubungi mereka.

Sayangnya, enkripsi SSL yang digunakan oleh OpenVPN tidak persis sama dengan SSL 'standar', dan Deep Packet Inspection (dari jenis yang semakin banyak digunakan di tempat-tempat seperti China), dapat mengetahui apakah lalu lintas terenkripsi sesuai dengan SSL 'nyata' / Jabat tangan HTP. Dalam kasus seperti itu, metode alternatif untuk menghindari deteksi perlu ditemukan.

Obfsproxy

Obfsproxy adalah alat yang dirancang untuk membungkus data ke dalam lapisan kebingungan, membuatnya sulit untuk mendeteksi bahwa OpenVPN (atau protokol VPN lainnya) sedang digunakan. Baru-baru ini telah diadopsi oleh jaringan Tor, sebagian besar sebagai tanggapan terhadap China memblokir akses ke simpul Tor publik, tetapi itu tidak tergantung pada Tor, dan dapat dikonfigurasikan untuk OpenVPN.

Agar berfungsi, obfsproxy perlu dipasang di komputer klien (menggunakan, misalnya, port 1194), dan server VPN. Namun, semua yang diperlukan adalah bahwa baris perintah berikut dimasukkan di server:

obfsproxy obfs2 –dest = 127.0.0.1: 1194 server x.x.x.x: 5573

Ini memberitahu obfsproxy untuk mendengarkan pada port 1194, untuk terhubung secara lokal ke port 1194 dan meneruskan data yang di-enkapsulasi ke port tersebut (x.x.x.x harus diganti dengan alamat IP Anda atau 0.0.0.0 untuk mendengarkan pada semua antarmuka jaringan). Mungkin yang terbaik adalah mengatur IP statis dengan penyedia VPN Anda sehingga server tahu port mana yang harus didengarkan.

Dibandingkan dengan opsi tunneling yang disajikan di bawah ini, obfsproxy tidak seaman, karena tidak membungkus lalu lintas dalam enkripsi, tetapi memiliki overhead bandwidth yang jauh lebih rendah karena tidak membawa lapisan tambahan enkripsi. Ini bisa sangat relevan bagi pengguna di tempat-tempat seperti Suriah atau Ethiopia, di mana bandwidth sering merupakan sumber daya penting. Obfsproxy juga agak lebih mudah diatur dan dikonfigurasi.

OpenVPN melalui terowongan SSL

Terowongan Secure Socket Layer (SSL) dapat, dengan sendirinya, digunakan sebagai alternatif yang efektif untuk OpenVPN, dan pada kenyataannya, banyak server proxy menggunakan satu untuk mengamankan koneksi mereka. Itu juga dapat digunakan untuk menyembunyikan fakta bahwa Anda menggunakan OpenVPN.

Seperti yang kami sebutkan di atas, OpenVPN menggunakan protokol enkripsi TLS / SSL yang sedikit berbeda dari SSL 'benar', dan yang dapat dideteksi oleh DPI canggih. Untuk menghindari hal ini, dimungkinkan untuk ‘membungkus‘ data OpenVPN dalam lapisan enkripsi tambahan. Karena DPI tidak dapat menembus lapisan 'SSL' enkripsi SSL ini, mereka tidak dapat mendeteksi enkripsi OpenVPN 'di dalam'.

Terowongan SSL biasanya dibuat menggunakan perangkat lunak stunnel multi-platform, yang harus dikonfigurasi di kedua server (dalam hal ini server VPN penyedia VPN Anda) dan klien (komputer Anda). Oleh karena itu, perlu untuk membahas situasi dengan penyedia VPN Anda jika Anda ingin menggunakan tunneling SSL, dan menerima instruksi konfigurasi dari mereka jika mereka setuju. Beberapa penyedia menawarkan ini sebagai layanan standar, tetapi AirVPN adalah satu-satunya yang sejauh ini kami ulas (anonypoz adalah yang lain).

Menggunakan teknik ini tidak menimbulkan hit kinerja, karena lapisan tambahan data sedang ditambahkan ke sinyal.

OpenVPN melalui terowongan SSH

Ini bekerja dengan cara yang sangat mirip dengan menggunakan OpenVPN melalui terowongan SSL, kecuali bahwa data terenkripsi OpenVPN dibungkus di dalam lapisan enkripsi Secure Shell (SSH) sebagai gantinya. SSH digunakan terutama untuk mengakses akun shell pada sistem Unix, jadi penggunaannya terutama terbatas pada dunia bisnis dan jauh dari sepopuler SSL.

Seperti halnya tunneling SSL, Anda perlu berbicara dengan penyedia VPN Anda untuk membuatnya berfungsi, meskipun AirVPN mendukungnya ‘di luar kotak’.

Kesimpulan

Tanpa inspeksi paket yang sangat mendalam, data terenkripsi OpenVPN terlihat seperti lalu lintas SSL biasa. Hal ini terutama berlaku jika dialihkan melalui port TCP 443, di mana a) Anda akan melihat lalu lintas SSL dan b) memblokirnya akan melumpuhkan internet.

Namun, negara-negara seperti Iran dan Cina sangat bertekad untuk mengontrol akses tanpa sensor populasi mereka ke internet, dan telah menerapkan langkah-langkah yang mengesankan secara teknis (jika tidak dapat diterima secara moral) untuk mendeteksi lalu lintas terenkripsi OpenVPN. Bahkan ketika ditemukan menggunakan OpenVPN dapat membuat Anda bermasalah dengan hukum di negara-negara tersebut, dalam situasi ini adalah ide yang sangat bagus untuk menggunakan salah satu tindakan pencegahan tambahan yang diuraikan di atas..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me