Како се интернет цензура пооштрава широм света, владе су све више забринуте због спречавања употребе ВПН-а како би заобишли своја ограничења. Кина, са својим Великим заштитним зидом, је била посебно активна у том погледу, и било је много извештаја од људи који користе ВПН у Кини да су њихове везе блокиране.


Проблем је у томе што је немогуће „видети“ податке у шифрираном ВПН тунелу, све софистициранији фиревалл могу користити технике дубинске инспекције пакета (ДПИ) да би утврдили да се шифровање користи (за детекцију на пример коришћене ССЛ енкрипције аутор: ОпенВПН).

Постоји неколико решења за овај проблем, али за већину њих је потребан степен техничке стручности и конфигурације на страни сервера, због чега је овај чланак једноставно увод у доступне опције. Ако вам је скривање ВПН сигнала важно, а прослеђивање портала 443 (види доле) је недовољно, требало би да се обратите свом добављачу ВПН-а да разговарате о томе да ли би били вољни да примене неко од горе наведених решења (или да нађу добављача, таквог као АирВПН, који већ нуди ову врсту подршке).

Порт Форвард ОпенВПН кроз ТЦП порт 443

Далеко најједноставнија метода, она која се може лако извести са вашег (клијентског) краја, не захтева никакву имплементацију на страни сервера и која ће радити у већини случајева је прослеђивање вашег ОпенВПН саобраћаја кроз ТЦП порт 443.

ОпенВПН подразумевано користи УДП порт 1194, па је уобичајено да ватрозидови надзиру порт 1194 (и друге најчешће кориштене портове), одбацујући шифрирани промет који покушава да га користи (или њих). ТЦП порт 443 је подразумевани порт који користи ХТТПС (Хипертект Трансфер Протоцол Сецуре), протокол који се користи за обезбеђивање хттпс: // веб локација, а који га широм интернета користе банке, Гмаил, Твиттер и многе друге неопходне веб услуге.

Не само да је коришћење ОпенВПН-а, који попут ХТТПС-а користи ССЛ енкрипцију, веома тешко открити преко порта 443, већ би блокирање тог порта оштро осакатило приступ интернету и зато обично није одржива опција за потенцијалне веб цензоре.

Прослеђивање порта је једна од најчешће подржаних функција у прилагођеним ОпенВПН клијентима, а измена на ТЦП порт 443 је смешно лака. Ако ваш ВПН провајдер не испоручује таквог клијента, требало би да их контактирате.

Нажалост, шифрирање ССЛ-а које користи ОпенВПН није потпуно исто што и 'стандардни' ССЛ, а напредна дубинска инспекција пакета (која се све чешће користи у местима као што је Кина) може рећи да ли је шифровани саобраћај у складу са 'правим' ССЛ / ХТП руковање. У таквим случајевима треба пронаћи алтернативне методе откривања избегавања.

Обфспроки

Обфспроки је алат дизајниран за уметање података у обфускацијски слој, што отежава откривање да се користе ОпенВПН (или други ВПН протоколи). Недавно га је прихватила мрежа Тор, великим делом као одговор на то што је Кини блокирала приступ јавним Тор чворовима, али она је неовисна о Тору и може да се конфигурише за ОпенВПН.

Да би радио, обфспроки се мора инсталирати и на рачунар клијента (користећи, на пример, порт 1194), и на ВПН сервер. Међутим, све што је тада потребно је да се на сервер унесе следећа наредбена линија:

обфспроки обфс2 –дест = 127.0.0.1: 1194 сервер к.к.к.к: 5573

Ово говори обфспроки-у да слуша порт 1194, локално се повеже на порт 1194 и прослеђује му декапсулиране податке (к.к.к.к треба заменити вашом ИП адресом или 0,0.0.0 да бисте га слушали на свим мрежним интерфејсима). Вероватно је најбоље да поставите статички ИП са својим ВПН провајдером тако да сервер зна на ком порту да слуша.

У поређењу са нижим опцијама за тунелирање, обфспроки није толико сигуран, јер не обавија саобраћај у шифровању, али има много нижу опсег ширине појаса јер не носи додатни слој шифровања. Ово може бити посебно релевантно за кориснике у местима као што су Сирија или Етиопија, где је ширина појаса често критични ресурс. Обфспроки је такође нешто лакше подесити и конфигурирати.

ОпенВПН кроз ССЛ тунел

Тунел сигурног утичничког слоја (ССЛ) може сам бити коришћен као ефикасна алтернатива ОпенВПН-у, а у ствари, многи проки сервери користе га за обезбеђивање својих веза. Такође се може користити за потпуно сакривање чињенице да користите ОпенВПН.

Као што смо горе напоменули, ОпенВПН користи ТЛС / ССЛ протокол шифрирања који се мало разликује од „истинског“ ССЛ-а, а који могу открити софистицирани ДПИ-ови. Да би се то избегло, могуће је 'замотати' податке ОпенВПН-а у додатни слој за шифровање. Како ДПИ нису у стању да продру у овај „спољни“ слој ССЛ енкрипције, они нису у стању да открију ОпенВПН шифровање „изнутра“.

ССЛ тунели се обично праве помоћу програма за стуннелирање на више платформи који се морају конфигурирати на серверу (у овом случају ВПН сервер вашег провајдера ВПН) и клијенту (вашем рачунару). Стога је неопходно разговарати о ситуацији са својим ВПН провајдером ако желите да користите ССЛ тунелирање и од њих добити упутства за конфигурацију ако се они слажу. Неколико провајдера нуди ово као стандардну услугу, али АирВПН је једини који смо до сада прегледали (а анопоз је други).

Употреба ове технике заиста погађа перформансе, јер се сигнал додаје додатни слој података.

ОпенВПН кроз ССХ тунел

Ово делује на врло сличан начин као и коришћење ОпенВПН-а кроз ССЛ тунел, осим што су уместо тога шифровани подаци шифровани у ОпенВПН слој уместо шифрирања сигурне љуске (ССХ). ССХ се првенствено користи за приступ школским рачунима на Уник системима, тако да је његова употреба углавном ограничена на пословни свет и нигде није тако популарна као ССЛ.

Као и код ССЛ тунелирања, мораћете да разговарате са својим ВПН провајдером да бисте радили, мада га АирВПН подржава „ван кутије“.

Закључак

Без веома дубоког прегледа пакета, ОпенВПН шифровани подаци изгледају баш као и редовни ССЛ саобраћај. Ово је нарочито тачно ако се преусмерава преко ТЦП порта 443, где а) очекујете да видите ССЛ саобраћај и б) блокирање које би ометало интернет.

Међутим, жупаније попут Ирана и Кине веома су одлучне у контроли нецензурираног приступа Интернета њиховом становништву и увеле су технички импресивне (ако морално негодујуће) мјере за откривање промета шифрираног ОпенВПН-ом. Како вас чак и откривање кориштењем ОпенВПН-а може увести у проблеме са законом у таквим земљама, у тим је ситуацијама врло добра идеја користити једну од горе наведених додатних мјера опреза..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me