- Регистрация
- 17 Окт 2015
- Сообщения
- 11.036
- Репутация
- 4.050
- Реакции
- 14.600
Исследователи обнаружили способы идентификации OpenVPN-соединений
18 марта, 20241718 VPN-соединений были идентифицированы в ходе теста.
Группа специалистов Мичиганского университета опубликовала результаты исследования , выявившего три метода идентификации VPN («Virtual Private Network» или «виртуальная частная сеть») — это совокупность технологий для создания одного или нескольких сетевых соединений (логической сети) поверх другой сети (например, Интернет). Технология создает виртуальный зашифрованный туннель между двумя серверами, представляя отправленные с устройства данные в виде случайной и зашифрованной строки кода. VPN также маскирует IP-адрес и местоположение пользователя в реальном времени для доступа к контенту без ограничений.
VPN-соединений, устанавливаемых с использованием протокола OpenVPN — является свободной реализацией VPN технологии с открытым исходным кодом для создания зашифрованных каналoв типа точка-точка или сервер-клиенты между компьютерами. Программа позволяет устанавливать соединения между компьютерами, находящимися за NAT и сетевым экраном, без необходимости изменения их настроек. OpenVPN был создан Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.
OpenVPN позволяет одноранговым узлам аутентифицировать друг друга, используя предварительно общие секретные ключи, сертификаты или имя пользователя/пароль . При использовании в конфигурации с несколькими клиентами и серверами он позволяет серверу выпускать сертификат аутентификации для каждого клиента, используя подписи и центр сертификации . Программа использует библиотеку шифрования OpenSSL, а также протокол TLS и содержит множество функций безопасности и контроля. OpenVPN использует собственный протокол безопасности , который использует SSL/TLS для обмена ключами.
OpenVPN. Разработанные методы могут применяться в системах мониторинга и инспектирования трафика для обнаружения и блокирования виртуальных частных сетей на базе OpenVPN.
В ходе тестирования в сети интернет-провайдера Merit, насчитывающей свыше миллиона пользователей, предложенные способы идентификации смогли выявить 85% OpenVPN-сеансов при минимальном уровне ложных срабатываний. Для проверки была подготовлена утилита, первоначально в пассивном режиме определявшая OpenVPN-трафик, а затем проводившая активное тестирование сервера для подтверждения результатов. Созданный анализатор тестировался на зеркалированном потоке интенсивностью около 20 Гбит/с.
В рамках эксперимента анализатор успешно идентифицировал 1718 из 2000 тестовых OpenVPN-соединений, установленных имитированным клиентом с использованием 40 различных типовых конфигураций (метод сработал для 39 из 40 конфигураций). За восемь дней в транзитном трафике было выявлено 3638 OpenVPN-сеансов, из которых 3245 были подтверждены. Количество ложных срабатываний оказалось на три порядка ниже, чем у ранее предлагавшихся методов на основе машинного обучения.
Также исследователи проверили эффективность коммерческих VPN-сервисов в части сокрытия OpenVPN-трафика. Из 41 протестированного сервиса, применяющего обфускацию, трафик был обнаружен в 34 случаях. Сервисы, трафик которых не удалось идентифицировать, помимо OpenVPN использовали дополнительное туннелирование через шифрованные соединения. В большинстве успешно определенных сервисов применялось маскирование трафика посредством XOR-операций, недостаточное случайное дополнение обфусцированного трафика или наличие необфусцированных OpenVPN-служб на тех же серверах.
Установление сеанса OpenVPN (режим TLS)
Задействованные методы идентификации OpenVPN основаны на привязке к специфичным для протокола шаблонам в заголовках незашифрованных пакетов, размеру ACK-пакетов и ответам сервера. Первый метод связан с полем "opcode" в пакетном заголовке, принимающем ограниченный диапазон значений с определенной последовательностью изменений на разных этапах установки соединения. Второй метод использует факт, что ACK-пакеты специфичного размера в OpenVPN встречаются только на стадии согласования. Третий метод представляет активную проверку, основанную на отправке запросов сбрасывания сессии, на которые сервер OpenVPN отвечает определёнными RST-пакетами.