Bemutató, hogy miként rejthetjük el az OpenVPN forgalmunkat

Semmit sem ér, hogy az internetes korlátozások világszerte szorosabbá váltak az utóbbi időben. A kormányzatok még jobban aggódnak az OpenVPN-ek használata miatt és mindent megtesznek, hogy eltöröljék a korlátozásokat. A Kínai Nagy Tűzfal elég effektív volt ebben és sikerült számos VPN-t blokkolnia Kínán belül és azon kívül.

Mondani sem kell, hogy lehetetlen vállalkozás látni a titkosított adatokat a VPN formálta virtuális alagutakban. A szofisztikáltabb tűzfalak hatékonyan kihasználják a DPI (Deep Packet Inspection) technikákat, amelyek képesek feloldalni bármely titkosítási technikát, az SSL-t is beleértve.

Számos megoldása kínálkozik a problémának, de ezeknek a többsége a szerver konfigurációk technikai ismeretét igényli. A cikk célja, hogy bemutassa a változatos opciókat, amelyek rendelkezésünkre állnak. Ha amiatt aggódunk, hogy hogyan rejtsük el a VPN szignáljainkat és ha hiányzik a Port 443 továbbítás, akkor fel kéne keresnünk a VPN szolgáltatónkat, hogy tudják-e támogatni a fenti megoldások valamelyikét.

Port továbbítás a TCP port 443-on keresztül

Lévén az egyik legegyszerűbb út, bármilyen nehézség nélkül működhet. Nincs szükségünk szerverekhez kapcsolódó technikai felkészültségre, az OpenVPN-ünk port 443-on keresztüli továbbításához.

Észben kell tartanunk, hogy az OpenVPN alapértelmezetten a TCP port 80-at használja. Normálisan, a tűzfalak felelősek a port 80 felülvizsgálatáért és a titkosított forgalom elutasításáért, amely használni próbálja. A HTTPS esetében, a port 443 az alapértelmezett elsődleges port. A portot többnyire az egész weben használják az olyan óriások, mint a Twitter, a Banks, a Gmail és más webes források.

Az OpenVPN az HTTPS-hez hasonlóan SSL kódolású és reltíve nehéz azonosítani a port 443-mal. A port blokkolása szigorítaná az internethozzáférés lehetőségét, ezért ez nem egy praktikus opció a web cenzorok számára.

A porttovábbítást univerzálisan támogatja szinte bármilyen OpenVPN kliens, ami hihetetlen egyszerűvé teszi a port 443 cseréjét. Ha a VPN forgalmazónk kínál ilyen kliens lehetőséget, azonnal vegyük fel vele a kapcsolatot.

Sajnos, az OpenVPN nem használ standard SSL-t és megfontolva a - például Kínában is használatos - Deep Inspection technikák alkalmazását, egyszerűbb megmondani, hogy a titkosított forgalom valódi-e. Ha ez a helyzet, ideje megfontolni a hagyományostól eltérő eszközök használatát, a detektálás elkerülése érdekében.

Obfsproxy

A szerver hatékonyan bezárja adatainkat egy ködösített rétegbe, ami nehezebbé teszi annak megállapítását, hogy az OpenVPN használatban van-e. Ezt a stratégiát legutóbb a Tor alkalmazta, hogy áthidalja a kínai cenzúra publikus Tor hálózatokra irányuló intézkedéseit.Ez ön-irányító és könnyedén titkosítható az OpenVPN által.
Az Obfsproxy-t a kliens számítógépére kell telepíteni, valamint a VPN szerverre. Őszintén szólva ez nem annyira biztonságos, mint a többi tunneling módszer, valamint nem veszi körül az adatforgalmat kódolással, viszont alacsonyabb sávszélességi korlátja van. Ez effektív opcióvá teszi a felhasználók számára, olyan helyeken, mint például Szíria vagy Etiópia, ahol súlyos sávszélességi korlátok vannak. Az Obfsproxy relatíve egyszerűen konfigurálható és installálható, ami egy pluszt jelent.

SSL Tunneling az OpenVPN esetében

A Secure Socket Layer (SSL) csatorna egyedileg használható, az OpenVPN effektív helyettesítőjeként. Számos proxy szerver használja, kapcsolataik védelmének érdekében. Továbbá, teljességgel képes elrejteni az OpenVPN használatát. Mióta az OpenVPN TLS vagy SSL titkosítást használ, teljesen különbözik a szokványos SSL csatornáktól és könnyebb detektálni a komplikált DPI-k által. Ezt elkerülendő, bölcs dolog lehet elrejteni az OpenVPN adatokat egy extra kód-rétegbe, mivel a DPI-k nem képesek átütni az SSL csatornák külső rétegét.

Következtetések

Mondani se kell, hogy az OpenVPN nem különbözik a szokványos SSL forgalomtól, deep packet inspection nélkül. Ezt tovább erősíti, ha az OpenVPN a TCP port 443-on keresztül van routolva. Az olyan országok, mint Kína vagy Irán, hajthatatlanok a népességük internethasználatának korlátozását illetően. Érdekes módon, van néhány technikai szempontból igen impresszívnek mondható módszerük, a rejtett forgalom detektálására. Nem csak emiatt kerülhetünk bajba, de ez jó okot ad rá, hogy megfontoljuk a fenti módszerek kipróbálását.