Kako se internetska cenzura pooštrava u cijelom svijetu, vlade postaju sve više zabrinute zbog sprečavanja upotrebe VPN-a kako bi zaobišle ​​svoja ograničenja. Kina je sa svojim Velikim vatrozidom bila posebno aktivna u tom pogledu, a bilo je i mnogo izvještaja od ljudi koji koriste VPN-ove u Kini da su njihove veze blokirane.


Problem je u tome što iako je nemoguće 'vidjeti' podatke u šifriranom VPN tunelu, sve sofisticiraniji vatrozidi mogu koristiti tehnike dubinske inspekcije paketa (DPI) za utvrđivanje da se koristi šifriranje (na primjer za otkrivanje korištenog SSL šifriranja autor: OpenVPN).

Postoji nekoliko rješenja za ovaj problem, ali većina njih zahtijeva stupanj tehničke stručnosti i konfiguraciju na strani poslužitelja, zbog čega je ovaj članak jednostavno uvod u dostupne mogućnosti. Ako vam je skrivanje VPN signala važno, a prosljeđivanje portala 443 (vidi dolje) je nedovoljno, trebali biste se obratiti svom pružatelju VPN-a da biste razgovarali o tome žele li implementirati neko od dolje navedenih rješenja (ili alternativno naći dobavljača, takvog kao AirVPN, koji već nudi tu vrstu podrške).

Otvori unaprijed OpenVPN kroz TCP priključak 443

Daleko najjednostavnija metoda, ona koja se lako može izvesti s vašeg (klijentskog) kraja, ne zahtijeva nikakvu implementaciju na strani poslužitelja i koja će raditi u većini slučajeva je prosljeđivanje vašeg OpenVPN prometa kroz TCP port 443.

OpenVPN prema zadanom koristi UDP priključak 1194, pa je uobičajeno da vatrozidovi nadziru port 1194 (i druge često korištene portove), odbacujući šifrirani promet koji pokušava koristiti (ili njih). TCP port 443 je zadani port koji koristi HTTPS (Hypertext Transfer Protocol Secure), protokol koji se koristi za zaštitu https: // web stranica, a koji ga putem interneta koriste banke, Gmail, Twitter i mnoge druge neophodne web usluge.

Ne samo da je korištenje OpenVPN-a, koji poput HTTPS-a upotrebljava SSL enkripciju, vrlo teško otkriti preko porta 443, već bi blokiranje tog porta ozbiljno osakatilo pristup internetu i stoga obično nije održiva opcija za potencijalne web cenzore.

Prosljeđivanje porta jedna je od najčešće podržanih značajki u prilagođenim OpenVPN klijentima, čineći prebacivanje na TCP port 443 smiješnim jednostavno. Ako vaš pružatelj VPN-a ne isporučuje takvog klijenta, tada biste ih trebali kontaktirati.

Nažalost, šifriranje SSL-a koje koristi OpenVPN nije potpuno isto što i 'standardni' SSL, a napredna dubinska inspekcija paketa (koja se sve više koristi u mjestima kao što je Kina) može reći je li šifrirani promet u skladu s 'pravim' SSL / HTP stisak ruke. U takvim je slučajevima potrebno pronaći alternativne metode otkrivanja izbjegavanja.

Obfsproxy

Obfsproxy je alat dizajniran za zamotavanje podataka u zaslonski sloj, što otežava otkrivanje da se koriste OpenVPN (ili drugi VPN protokoli). Mreža Tor nedavno ga je usvojila, uglavnom kao odgovor na to što je Kini onemogućila pristup javnim Tor čvorovima, ali ona je neovisna o Toru i može se konfigurirati za OpenVPN.

Da bi radio, obfsproxy mora biti instaliran i na klijentovo računalo (koristeći, primjerice, priključak 1194), i na VPN poslužitelj. Međutim, sve što je tada potrebno je da se na poslužitelju unese sljedeća naredbena linija:

obfsproxy obfs2 –dest = 127.0.0.1: 1194 poslužitelj x.x.x.x: 5573

To govori obfsproxy-u da sluša port 1194, lokalno se povezuje na port 1194 i prosljeđuje mu dekapsulirane podatke (x.x.x.x treba zamijeniti s vašom IP adresom ili 0,0.0.0 za slušanje na svim mrežnim sučeljima). Vjerojatno je najbolje postaviti statički IP sa svojim VPN davateljem tako da poslužitelj zna na kojem ulazu trebate slušati.

U usporedbi s niže prikazanim opcijama za tuneliranje, obfsproxy nije toliko siguran, jer ne pokriva promet šifriranjem, ali ima znatno nižu širinu pojasa jer ne nosi dodatni sloj šifriranja. To može biti posebno relevantno za korisnike na mjestima poput Sirije ili Etiopije, gdje je širina pojasa često kritični resurs. Obfsproxy je također nešto lakše postaviti i konfigurirati.

OpenVPN kroz SSL tunel

Tunel sigurnog socket sloja (SSL) može se sam koristiti kao učinkovita alternativa OpenVPN-u, a zapravo mnogi proxy poslužitelji koriste jedan da osiguraju svoje veze. Može se koristiti i za potpuno sakrivanje činjenice da koristite OpenVPN.

Kao što smo gore napomenuli, OpenVPN koristi TLS / SSL protokol šifriranja koji se malo razlikuje od "pravog" SSL-a, a koji može otkriti sofisticirani DPI-ov. Da bi se to izbjeglo, podatke OpenVPN-a moguće je 'zamotati u dodatni sloj šifriranja. Kako DPI-ji ne mogu prodrijeti u taj "vanjski" sloj SSL enkripcije, ne mogu otkriti OpenVPN šifriranje "iznutra".

SSL tuneli obično se izrađuju korištenjem softvera za višestruke platforme koji se moraju konfigurirati na poslužitelju (u ovom slučaju VPN poslužitelju vašeg VPN-a) i na klijentu (vašem računalu). Stoga je potrebno razgovarati o situaciji sa svojim pružateljem VPN-a ako želite koristiti SSL tuneliranje i od njih dobiti upute za konfiguraciju ako se oni slažu. Nekoliko pružatelja usluga nudi to kao standardnu ​​uslugu, ali AirVPN je jedini koji smo do sada pregledali (a anopoz je drugi).

Upotreba ove tehnike dovodi do uspješnosti izvedbe, jer se signal dodaje dodatni sloj podataka.

OpenVPN kroz SSH tunel

To djeluje na vrlo sličan način kao i korištenje OpenVPN-a kroz SSL tunel, osim što su umjesto toga zaštićeni podaci zaštićeni OpenVPN-om zamotani u sloj šifriranja sigurne ljuske (SSH). SSH se prvenstveno koristi za pristup školskim računima na Unix sustavima, tako da je njegova upotreba uglavnom ograničena na poslovni svijet i nigdje nije tako popularna kao SSL.

Kao i kod SSL tuneliranja, morat ćete razgovarati sa svojim pružateljem VPN-a da biste radili, iako AirVPN podržava "izvan okvira".

Zaključak

Bez vrlo dubokog pregleda paketa, OpenVPN kriptirani podaci izgledaju poput redovitog SSL prometa. To se posebno odnosi na usmjeravanje preko TCP porta 443, gdje a) očekujete da ćete vidjeti SSL promet i b) blokiranje koje bi ometalo internet.

Međutim, županije poput Irana i Kine vrlo su odlučne kontrolirati necenzurirani pristup stanovništva Internetu i uvele tehnički impresivne (ako moralno negodujuće) mjere za otkrivanje prometa šifriranog OpenVPN-om. Iako vas čak i otkrivanje korištenjem OpenVPN-a može dovesti u probleme sa zakonom u takvim zemljama, u tim je situacijama vrlo dobra ideja koristiti jednu od gore navedenih dodatnih mjera opreza..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me