Шинэ судалгаа нь OpenVPN-ийн хурууны хээг ил болгож, нууцлалын асуудалд анхаарал хандуулж байна

Холбоосуудын хүснэгт

Хураангуй болон 1 танилцуулга

2 Суурь мэдээлэл, холбогдох ажил

Бодит ертөнцийн VPN илрүүлэх 3 сорилт

4 Дайсны загвар ба байршуулалт

5 Ёс зүй, хувийн нууц, хариуцлагатай илчлэх

6 Хурууны хээ болон 6.1 Опкод дээр суурилсан хурууны хээг тодорхойлох

6.2 ACK дээр суурилсан Хурууны хээ

6.3 Серверийн идэвхтэй хурууны хээ

6.4 Шүүлтүүр болон шалгагч барих

7 Байрлуулалт болон 7.1 ACK Хурууны хээний босгыг нарийн тааруулах

7.2 Ажиглалтын цонхны сонголт N

7.3 Пакет алдагдлын нөлөө

7.4 Асинхрон шалгахад зориулсан серверийн эргэлт

7.5 UDP болон нууцлагдсан OpenVPN серверүүдийг шалгана уу

8 Бодит ертөнцөд байршуулах тохиргоо

9 Үнэлгээ, үр дүн, 9.1 VPN урсгалыг хянах үр дүн

9.2 Бүх урсгалын үр дүн

10 Хэлэлцүүлэг ба нөлөөллийг бууруулах арга замууд

11 Дүгнэлт

12 Талархал ба лавлагаа

Хавсралт

Хийсвэр

Нууцлал, тандалтын аюулын талаарх олон нийтийн мэдлэг нэмэгдсэнтэй холбоотойгоор VPN нэвтрүүлэх нь сүүлийн 10 жилийн хугацаанд тогтвортой өсөлтийг харуулсан. Үүний хариуд зарим засгийн газрууд "давхар хэрэглээ" DPI технологийг ашиглан холболтыг тодорхойлох замаар VPN хандалтыг хязгаарлахыг оролдож байна. VPN блоклох боломжийг судлахын тулд бид арилжааны VPN үйлчилгээний хамгийн алдартай протокол болох OpenVPN-ийг ашиглан хурууны хээний холболтыг үнэн зөв тогтоох механизмыг боловсруулдаг. Бид гурван хурууны хээг байт загвар, пакетийн хэмжээ, серверийн хариу үйлдэл зэрэг протоколын онцлогт тулгуурлан тодорхойлдог. Сүлжээг хянадаг халдагчийн дүрд тоглосноор бид идэвхгүй хурууны хээ болон идэвхтэй шалгалтыг дэс дарааллаар гүйцэтгэдэг хоёр үе шаттай бүтэц зохион бүтээдэг. Бид сая хэрэглэгчтэй ISP-тэй хамтран өөрсдийн хүрээг үнэлж үзээд OpenVPN урсгалын 85 гаруй хувийг зөвхөн үл тоомсорлох худал эерэг үзүүлэлтээр тодорхойлж байгаа нь OpenVPN-д суурилсан үйлчилгээг барьцааны хохирол багатай үр дүнтэй хаах боломжтойг харуулж байна. Хэдийгээр зарим арилжааны VPN-үүд илрүүлэлтээс зайлсхийхийн тулд эсрэг арга хэмжээ авдаг ч манай тогтолцоо 41 "бүдгэрүүлсэн" VPN тохиргооноос 34-т нь холболтыг амжилттай илрүүлсэн. Бид янз бүрийн аюул заналхийллийн загварт VPN хурууны хээг ашиглах боломжтой байдлын талаар ярилцаж, богино хугацааны хамгаалалтыг санал болгож байна. Урт хугацаанд бид арилжааны VPN үйлчилгээ үзүүлэгчдийг төөрөгдүүлэх арга барилын талаар илүү ил тод байж, цензурыг тойрч гарах судалгаанд боловсруулсан гэх мэт илүү зарчимтай илрүүлэх эсрэг арга хэмжээ авахыг уриалж байна.

1 Танилцуулга

Интернетийн үйлчилгээ үзүүлэгч, сурталчлагчид болон үндэсний засгийн газрууд интернетийн урсгалыг тасалдуулах, удирдах, хянах нь улам бүр нэмэгдсээр байна [16, 22, 27, 47, 69]. Үүний үр дүнд виртуал хувийн сүлжээг (VPN) нэвтрүүлэх нь аюул заналхийллийн загвар өндөртэй идэвхтэн, сэтгүүлчдийн дунд төдийгүй найдвартай бус сүлжээн дэх нууцлалыг хамгаалахаас эхлээд цензураас зайлсхийх гэх мэт шалтгаанаар VPN ашигладаг энгийн хэрэглэгчдийн дунд хурдацтай өсч байна. Саяхны жишээ дурдахад, Хонконгийн үндэсний аюулгүй байдлын тухай хууль батлагдснаар алдартай VPN үйлчилгээ үзүүлэгчдийн зүгээс тандалт, цензур нэмэгдэхээс болгоомжилсны улмаас татан авалтын тоо 120 дахин өссөнийг ажигласан [62].

VPN-ийн алдар нэр улам бүр нэмэгдэж байгаатай холбогдуулан олон тооны ISP болон засгийн газрууд өөрсдийн харьяаллын хүрээнд харагдах байдлыг хадгалахын тулд VPN траффикийг хянах эсвэл хаахыг эрмэлзэж байна. Хятадын Их галт хана (GFW)-ийн дизайнер Бинсин Фан хэлэхдээ Галт хана болон VPN хоёрын хооронд "мөнхийн дайн" байгаа бөгөөд тус улс ISP-д хувийн VPN ашиглалтын талаар мэдээлэх, хаахыг тушаасан [60,61]. Саяхан Орос, Энэтхэг улс VPN үйлчилгээгээ улсдаа хаахыг санал болгосноор VPN-ийг үндэсний кибер аюулгүй байдлын аюул гэж тэмдэглэсэн [44, 59]. Арилжааны ISP нь VPN холболтыг хянах сонирхолтой байдаг. Жишээлбэл, 2021 оны эхээр Өмнөд Африкийн томоохон ISP Rain, Ltd нь мэдээллийн төлөвлөгөөндөө үйлчилгээний чанарын хязгаарлалтыг хэрэгжүүлэхийн тулд VPN холболтыг 90 гаруй хувиар бууруулж эхэлсэн [64].

ISP болон цензурууд нь IP нэр хүндэд тулгуурлан холболтыг хянах, VPN үйлчилгээ үзүүлэгчийн (эндээс үйлчилгээ үзүүлэгч) вэб сайтыг хаах, VPN ашиглахыг хориглосон хууль тогтоомж, үйлчилгээний нөхцөлийг батлах зэрэг VPN-н эсрэг энгийн аргуудыг ашигладаг нь мэдэгдэж байна [46,53, 60]. Гэсэн хэдий ч эдгээр аргууд нь бат бөх биш юм; урам зоригтой хэрэглэгчид тэднээс үл хамааран VPN үйлчилгээнд хандах арга замыг олдог. Гэсэн хэдий ч хүчин чадал багатай ISP болон цензурууд ч протоколын семантик дээр суурилсан илрүүлэх илүү боловсронгуй горимуудыг хэрэгжүүлэх боломжтой зөөвөрлөгч түвшний гүн пакет шалгах (DPI) зэрэг технологид нэвтрэх боломжтой болсон [43, 48].

Энэ нийтлэлд бид OpenVPN (арилжааны VPN үйлчилгээний хамгийн алдартай протокол [6])-ийн хурууны хээг ашиглах чадварыг дайсагнагч ISP-ийн үүднээс судалснаар VPN илрүүлэх, хаахад DPI-ийн үр нөлөөг судлах болно. Бид судалгааны хоёр асуултанд хариулахыг эрэлхийлж байна: (1) ISP болон засгийн газрууд замын хөдөлгөөний урсгалыг OpenVPN холболт гэж бодит цаг хугацаанд тодорхойлж чадах уу? болон (2) тэд худал эерэг үр дүнд ихээхэн хэмжээний барьцааны хохирол учруулахгүйгээр үүнийг хийж чадах уу? Эдгээр асуултад хариулах нь зөвхөн хурууны хээний эмзэг байдлыг тодорхойлохоос илүү зүйлийг шаарддаг; Хэдийгээр бэрхшээлтэй ч гэсэн бид ISP болон үндэсний муж улсын цензур бодит ертөнцөд хэрхэн ажилладаг талаарх хязгаарлалтын дор практик мөлжлөгөө харуулах хэрэгтэй.

Бид Их Галт ханын [1,11,71] архитектураас санаа авсан, Шүүлтүүр болон Пробер бүрэлдэхүүн хэсгүүдээс бүрдсэн илрүүлэх хүрээг бүтээдэг. Шүүлтүүр нь бидний OpenVPN-ийн гар барих үе шатанд тодорхойлсон протоколын гажуудлыг ашиглан сүлжээний траффикийг бодит цаг хугацаанд дамжуулах идэвхгүй шүүлтүүрийг гүйцэтгэдэг. Урсгалыг шүүлтүүрээр тэмдэглэсний дараа очих хаягийг дамжуулна

баталгаажуулалт болгон идэвхтэй шалгахыг гүйцэтгэдэг Проберт. Протоколд хамаарах зан төлөвийг илрүүлэхийн тулд нарийн боловсруулсан датчикуудыг илгээснээр Пробер нь OpenVPN серверийг идэвхтэй шалгахаас хамгаалах нэмэлт хамгаалалтыг идэвхжүүлсэн байсан ч хажуугийн сувгуудыг ашиглан OpenVPN серверийг тодорхойлох боломжтой. Манай хоёр үе шаттай систем нь ISP хэмжээний траффикийг шугамын хурдаар маш бага худал эерэг хувьтайгаар боловсруулах чадвартай.

Энэхүү судалгаанд үндсэн буюу "ваниль" OpenVPN-ээс гадна бид арилжааны "бүдгэрүүлсэн" VPN үйлчилгээг багтаасан болно. ISP болон цензурын хөндлөнгийн оролцоо нэмэгдэж байгаагийн хариуд нууцлагдсан VPN үйлчилгээнүүд, ялангуяа VPN-ийн хувийн хэрэглээг хориглодог хууль тогтоомж, хатуу цензуртай орнуудын хэрэглэгчдийн анхаарлыг татаж эхэлсэн. Операторууд нь ихэвчлэн "үл үзэгдэх" болон "блоклох боломжгүй" [5, 49, 54] гэж сурталчилдаг нууцлагдсан VPN үйлчилгээнүүд нь илрэхээс зайлсхийхийн тулд ихэвчлэн OpenVPN-г нэмэлт нууцлалын давхаргаар ашигладаг [2, 66].

Merit (1 сая хэрэглэгчдэд үйлчилдэг дунд хэмжээний бүс нутгийн ISP)-тэй хамтран бид үндсэн Merit -ийн оршин суух цэгээс тусгагдсан 20 Гбит/с оролт, гарах урсгалыг ажигладаг монитор сервер дээр өөрийн хүрээг байрлуулдаг. (Ёс суртахууны талаар авч үзэхийн тулд § 5-ыг үзнэ үү.) Бид PF_RING [38]-г тэг хуулбар горимд параллель шүүлтүүрээр пакетуудыг хурдан боловсруулахад ашигладаг. Бид туршилтаараа сүлжээнд байгаа хяналтын клиент машинаас үүсэлтэй 2000 урсгалаас 1718-ыг нь тодорхойлж чадсан нь 40 өвөрмөц OpenVPN тохиргооны 39-д нь таарч байна.

Хамгийн гайхалтай нь бид бас ойлгомжгүй OpenVPN урсгалын гуравны хоёроос илүүг амжилттай тодорхойлж чадсан. Шилдэг 10 үйлчилгээ үзүүлэгчийн найм нь ойлгомжгүй үйлчилгээ санал болгодог ч бүгдээрээ манай шүүлтүүрээр тэмдэглэгдсэн байдаг. Үйлчилгээ үзүүлэгчдийн асар их ажиглагдах боломжгүй мэдэгдлийг үл харгалзан ("...таны интернет үйлчилгээ үзүүлэгч ч гэсэн таныг VPN ашиглаж байгааг хэлж чадахгүй байна [49]) бид бүдүүлэг үйлчилгээний ихэнх хэрэгжүүлэлт нь энгийн XOR-Нүцээр бүрхэгдсэн OpenVPN-тэй төстэй байгааг бид олж харлаа. [36], энэ нь хурууны хээг хялбархан авах боломжтой. Нууцлалын давхаргад санамсаргүй дүүргэлт байхгүй, ванилийн OpenVPN серверүүдтэй хамт байрлах нь бүдгэрсэн үйлчилгээг илрүүлэхэд илүү эмзэг болгодог.

Ердийн өдөрт манай нэг серверийн тохиргоо нь 15 TB траффик, 2 тэрбум урсгалыг шинжилдэг. Найман өдрийн турш хийсэн үнэлгээгээр манай систем 3,638 урсгалыг OpenVPN холболт гэж тэмдэглэсэн. Эдгээрийн дотроос бид 3,245 урсгалын илрүүлэлтийн үр дүнг батлах нотлох баримтыг олж чадсан бөгөөд энэ нь өмнөх ML-д суурилсан аргуудаас 3 дахин доогуур худал-эерэг дээд хязгаарыг санал болгож байна [3, 14, 26].

OpenVPN-ийн хэрэглээг хянах, хаах нь хамгийн сүүлийн үеийн төөрөгдүүлэх аргуудтай ч гэсэн аливаа ISP эсвэл сүлжээний оператор, түүнчлэн улс орны дайсагнагчдад хүрэх боломжтой гэж бид дүгнэж байна. Илрүүлэхээс зайлсхийхийн тулд нарийн төвөгтэй стратеги ашигладаг Tor эсвэл Refraction Networking [8, 74] зэрэг тойрч гарах хэрэгслүүдээс ялгаатай нь OpenVPN болон VPN-ийн өргөн хүрээний экосистемд бүдүүлэг бүдгэрүүлэх аргууд илт байхгүй байсан. Энгийн хэрэглэгчдийн хувьд энэ нь ISP-ээс хаагдах эсвэл хязгаарлагдах магадлалтай гэсэн үг боловч өндөр түвшний, мэдрэмтгий хэрэглэгчдийн хувьд энэ хурууны хээ нь OpenVPN хонгилын аюулгүй байдлыг алдагдуулах зорилготой дараагийн халдлагад хүргэж болзошгүй юм [40, 51]. Аюул ихтэй загвартай хэрэглэгчдэд нууцлагдсан үйлчилгээнд холбогдсон байсан ч VPN хэрэглээ нь ажиглагдахгүй байх болно гэж бид анхааруулж байна. Бид энэ нийтлэлд дурдсан хурууны хээг ашиглах хэд хэдэн богино хугацааны хамгаалалтыг санал болгож байгаа хэдий ч, урт хугацаанд Их галт хана болон Tor хоёрын хоорондох тоглоомтой төстэй муур хулгана тоглоом VPN экосистемд удахгүй гарах болно гэж бид эмээж байна. сайн. Бид VPN хөгжүүлэгчид болон үйлчилгээ үзүүлэгчдээс бат бөх, сайн баталгаажсан бүдүүлэг стратеги боловсруулж, стандартчилах, нэвтрүүлэх, мөн дайснуудын зүгээс ирж буй аюул заналхийлэл өөрчлөгдсөөр байгаа тул тэдгээрийг өөрчлөхийг хүсч байна.