Wprowadzenie do ukrywania ruchu OpenVPN

Warto zauważyć, że ograniczenia internetu zostały zaostrzone na całym świecie. Rządy są bardziej zainteresowane wykorzystaniem OpenVPN i robią wszystko, aby utrzymać swoje ograniczenia. Wielki Firewall Chin jest dość skuteczny w tym momencie i udaje mu się zablokować różnych dostawców VPN wewnątrz kraju i poza Chinami.

Jest rzeczą oczywistą, że jest niemożliwe podejrzenie danych szyfrowanych w tunelu VPN. Wyrafinowane firewalle efektywnie wykorzystują techniki DPI (Deep Packet Inspection), które są w stanie wykryć wszelkie wykorzystywane techniki szyfrowania, w tym również szyfrowanie SSL. Istnieje wiele rozwiązań tego problemu pod ręką, ale większość z nich wymaga technicznej wiedzy na temat konfiguracji serwerów.

Celem niniejszego artykułu jest wprowadzenie do różnych opcji, które są dostępne do Twojej dyspozycji. Jeśli chodzi o ukrywanie swoich sygnałów VPN i jeśli brakuje Ci przekierowania portu 443, to musisz skontaktować się z dostawcą sieci VPN, aby upewnić się, że będzie on skłonny realizować którekolwiek z rozwiązań wymienionych poniżej.

Przekierowanie przez port TCP 443

Jest to jeden z najprostszych sposobów, który może być wykonany bez żadnych trudności. Nie musisz mieć wiedzy technicznej o serwerach, nie jest ona wymagana do przekierowania swojego ruchu OpenVPN poprzez port 443. Trzeba pamiętać, że OpenVPN domyślnie używa portu TCP 80.

Normalnie, firewalle są odpowiedzialne za nadzór portu 80 i odrzucają zaszyfrowany ruch, który stara się go wykorzystać. W przypadku protokołu HTTPS port 443 jest ustawiony domyślnie jako pierwotny port. Port ten jest stosowany głównie w całej sieci przez gigantów takich jak Twitter, banki, Gmail i inne źródła internetowe. OpenVPN używa kodowania SSL jak HTTPS i jest stosunkowo trudny do zidentyfikowania na porcie 443.

Blokowanie portu będzie poważnie ograniczało dostęp do internetu, w wyniku czego nie jest praktycznym rozwiązaniem dla cenzorów internetowych. Przekierowanie portu jest powszechnie obsługiwane przez niemal każdego klienta OpenVPN, dzięki zmiana portu na 443 jest niezwykle prosta. W przypadku, gdy operator sieci VPN nie oferuje takiego klienta to należy się natychmiast z nim skontaktować.

Niestety OpenVPN nie korzysta ze standardowego protokołu SSL, a biorąc pod uwagę głębokie techniki analizy pakietów stosowane w takich krajach jak Chiny, łatwiej jest powiedzieć, czy zaszyfrowany ruch jest prawdziwy. Jeśli tak jest, to należy zastosować niekonwencjonalne środki, aby uniknąć wykrycia.

Obfsproxy

Serwer skutecznie zamyka dane w warstwie zaciemniania co utrudnia zidentyfikowanie, czy OpenVPN jest używany. Strategia ta została niedawno wykorzystana przez Tor w celu stawienia czoła Chinom oraz działaniom tego kraju w celu zablokowania dostępu do publicznej sieci Tor. Jest ona automatycznie zarządzana i może być łatwo zaszyfrowana przez OpenVPN. Obfsproxy musi być zainstalowane na komputerze klienta, jak i serwer sieci VPN.

Mając na uwadze powyższe, nie jest to tak bezpieczne w porównaniu do innych metod tunelowania ani nie obejmuje szyfrowania ruchu, ale ma mniejszy narzut co do przepustowości. To sprawia, że jest to skuteczne rozwiązanie dla użytkowników w miejscach takich jak Syria czy Etiopia, gdzie przepustowość jest poważnym problemem. Obfsproxy jest stosunkowo łatwy do skonfigurowania i uruchomienia, co stanowi duży plus.

Tunele SSL dla OpenVPN

Kanał Secure Socket Layer (SSL) może być używany osobno jako skuteczny substytut OpenVPN. Wiele serwerów proxy używa go w celu ochrony ich połączenia. Ponadto całkowicie ukrywa stosowanie OpenVPN. Odkąd OpenVPN używa szyfrowania TLS lub SSL, efekt końcowy jest całkowicie odmienny od zwykłego kanału SSL i jest przez to łatwiejszy do wykrycia przez skomplikowane DPI.

Aby tego uniknąć, mądrym rozwiązaniem jest ukrycie danych OpenVPN pod dodatkową warstwą kodowania, jako że DPI nie jest w stanie przeniknąć zewnętrznej warstwy kanału SSL.

Podsumowanie

Jest rzeczą oczywistą, że ruch OpenVPN nie różni się od zwykłego ruchu SSL bez technik głębokiej inspekcji pakietów. Efekt ten jest dodatkowo wzmocniony, jeżeli ruch OpenVPN jest kierowany przez port TCP 443. Ale warto wiedzieć, że kraje takie jak Chiny i Iran są nieugięte w kontrolowaniu dostępu do internetu przez mieszkańców tych krajów.

Co ciekawe, mają jedne z najbardziej imponujących technicznie środków w celu wykrycia ukrytego ruchu. Nie tylko to może Cię wpędzić w kłopoty, ale stanowi jeszcze lepszy powód, dla których należy wziąć pod uwagę wyżej wymienione czynniki.