Колико је лако открити да се користи ВПН?

Виртуелне приватне мреже (ВПН-ови) решавају многе проблеме са приватношћу. Пошто ВПН обично шифрира ваш саобраћај између рачунара и ВПН провајдера, посматрачу је веома тешко да проматра ваш саобраћај и види шта вам смета. Међутим, постоји много људи који желе да сакрију чињеницу да уопште користе ВПН; као што су људи у земљама који забрањују ВПН или друге ситуације у којима употреба ВПН-а углавном није дозвољена или блокирана техничким средствима. У овом се чланку фокусирамо на врсту података које посматрач може прикупити из мрежних снимака пакета и како се ти подаци могу користити за откривање ВПН употребе.

Позадина проблема

Горуће питање је „зашто“? Кога је брига ако неко открије да имате ВПН? Ако је саобраћај ионако јако шифрован, у чему је проблем?

Тачно је да у многим ситуацијама и у многим земљама уопште није битно да ли посматрач открије употребу ВПН-а. Међутим, постоје многе земље које забрањују употребу ВПН-а и зато је важно да ВПН корисници у тим земљама знају како их могу открити.

Да би утврдио да ли се користи ВПН, посматрач мора имати приступ рутеру кроз који пролази циљни промет. У случају циљане жртве, нападач може потрошити велика средства да идентификује начин на који ће преузети рутер који користи одређена жртва. У случају надзора над државом, за ефикасно откривање потребна би контрола пуно усмјеривача. Када комбинујете те две ствари - организацију којој је стало ако користите и ВПН и такође има могућност контроле великог броја рутера - што обично указује на актера претње на националној разини.

Имајте на уму да се овај чланак бави начинима на које посматраче могу открити употребу ВПН-а. То не мора нужно да значи да је податке шифроване у ВПН тунелу лакше искористити.

Методологија испитивања

Без приступа ресурсима на државном нивоу, моја платформа за тестирање и методологија су мало мањег обима. Направио сам малу унутрашњу мрежу користећи три виртуелне машине (ВМ) са ВиртуалБок-ом. Топологија мреже је таква:

Подешавање ВПН мреже

Инсталирао сам софтвер за њушкање пакета на ОпенВРТ рутеру ВМ и затим тестирао разне ВПН конфигурације на остале двије виртуалне машине. Софтвер њушкања пакета, тцпдумп, омогућио ми је да снимим мрежни саобраћај ВМ-а ради анализе. У реалнијем окружењу софтвер за хватање пакета вероватно би био инсталиран у рутере на Интернету или барем у мрежи ИСП-а. Стратешки положај софтвера за анализу захтева неко знање о интересним тачкама конвергенције на Интернету где ће вероватно доћи до циљаног саобраћаја. У својој мрежи за тестирање знам са 100% сигурношћу да ће сав саобраћај ка и са мојих виртуелних машина проћи кроз тај ОпенВРТ рутер. Због тога је за мене најбоље место за постављање својих алата за прикупљање.

Нетехнички извори ВПН индикатора

Нису сви извори података који указују на коришћење ВПН-а технички. Иако су неке веома техничке, као што је анализа пакета, неке су веома нетехничке, као што су људске грешке и свакодневна рутина.

Ненамерни мрежни саобраћај

Већина ВПН корисника има клијентски софтвер који се мора покренути како би се ВПН успоставио. Веома је тешко осигурати да не дође до саобраћаја преко интернета пре успостављања ВПН-а када се рачунар покрене. Чак ни они ВПН-ови са прекидачима за искључивање можда неће моћи ништа да ураде у вези са саобраћајем који пролази током покретања система.

випр-впн-аутоцоннецт-моде

випр-впн-киллсвитцх-моде

Да бих то тестирао, поставио сам опције аутоматског повезивања и убијања преклопника ВипрВПН у Виндовс виртуелној машини. Тада сам искључио Виндовс машину, покренуо снимање пакета на ОпенВРТ рутеру и покренуо Виндовс машину. То је створило пуно пакета и интересантно су ове две секвенце.

Прво, можемо видети пуно пингова сличног опсега ИП адреса. Нисам намерно груписао ове пакете - овако су им органски послати:

випр-впн-виндовс-боот-ИЦМП-пакети

Ово сугерише да нешто покушава набројати сервере. Врло чест узрок ове врсте промета у ВПН сценарију је ВПН клијент који покушава одредити најбржи сервер. Један начин да се то постигне је слање ИЦМП пакета (познатог као пинг) на скуп сервера да би се видјело који се најбрже враћа..

Из првог снимка можемо видети да је 209.99.63.34 најбрже вратио у 99 милисекунди. Ниже у снимању пакета изненада видимо да је највећи део саобраћаја од тог тренутка шифриран и намењен за 209.99.63.34

випр-впн-виндовс-боот-КУИЦ-пакети

Следећи део слагалице је да откријете шта се налази у тим ИП-овима. Користећи ИП ВХОИС који наводи регистрованог власника ИП-а, можемо видети да сви осим једног од тих ИП-ова припадају ИХЦ Цорпоратион и да се одлучују за сервере у дата Датарири центру:

209.99.108.46
ОргНаме: ИХЦ Цорпоратион
ОргТецхЕмаил: хостмастер@датафоундри.цом
209.99.109.167
ОргНаме: ИХЦ Цорпоратион
ОргТецхЕмаил: хостмастер@датафоундри.цом
209.99.113.70
ОргНаме: ИХЦ Цорпоратион
ОргТецхЕмаил: хостмастер@датафоундри.цом
209-99-115-97
209.99.117.82
ОргНаме: ИХЦ Цорпоратион
ОргТецхЕмаил: хостмастер@датафоундри.цом
209.99.21.36
ОргНаме: ИХЦ Цорпоратион
ОргТецхЕмаил: хостмастер@датафоундри.цом
ОргТецхЕмаил: хостмастер@датафоундри.цом
209.99.22.46
ОргНаме: ИХЦ Цорпоратион
ОргТецхЕмаил: хостмастер@датафоундри.цом
209.99.60.34
ОргНаме: ИХЦ Цорпоратион
ОргТецхЕмаил: хостмастер@датафоундри.цом
209.99.61.42
ОргНаме: ИХЦ Цорпоратион
ОргТецхЕмаил: хостмастер@датафоундри.цом
209.99.62.34
ОргНаме: ИХЦ Цорпоратион
ОргТецхЕмаил: хостмастер@датафоундри.цом
ОргНаме: Поверхоусе Манагемент, Инц.
ОргТецхЕмаил: ноц@пхмгмт.цом
209.99.63.34
ОргНаме: ИХЦ Цорпоратион
ОргТецхЕмаил: хостмастер@датафоундри.цом
209.99.63.34
ОргНаме: ИХЦ Цорпоратион
ОргТецхЕмаил: хостмастер@датафоундри.цом
209.99.67.41
ОргНаме: ИХЦ Цорпоратион
ОргТецхЕмаил: хостмастер@датафоундри.цом
209.99.72.70
ОргНаме: ИХЦ Цорпоратион
ОргТецхЕмаил: хостмастер@датафоундри.цом
209.99.75.70
ОргНаме: ИХЦ Цорпоратион
ОргТецхЕмаил: хостмастер@датафоундри.цом
209.99.93.34
ОргНаме: ИХЦ Цорпоратион
ОргТецхЕмаил: хостмастер@датафоундри.цом
209.99.94.37
ОргНаме: ИХЦ Цорпоратион
ОргТецхЕмаил: хостмастер@датафоундри.цом
209.99.95.40
ОргНаме: ИХЦ Цорпоратион
ОргТецхЕмаил: хостмастер@датафоундри.цом

Логичан следећи корак био би скенирање тих ИП адреса да бисте видели које услуге покрећу. Нећу давати детаље о томе како то урадити, али моје тестирање показује да су подразумевани банери за везу који приказују већина сервера уклоњени са ВипрВПН сервера, тако да нема очигледног обавештења да ови ИП-ови раде ВПН сервер.

Не можете много да учините како рачунар делује пре него што се покрене систем. Стога, ако желите да обесмислите ову врсту секвенце подешавања, мораћете да покренете ВПН „испред“ рачунара. Један од начина за то је покретање ВПН клијента на вашем усмјеривачу умјесто покретања клијента на рачунару. И даље ћете наићи на исте редоследе покретања када се рутер поново покрене, али то је обично ређе од вашег рачунара.

Нема нешифрираних пакета

Као што сам горе напоменуо, након што су пингови завршени, снимање пакета показује шифрирани промет до најбржег ИП-а. Ако посматрач види само шифроване пакете, а не један нешифровани пакет, то може бити знак да се користи ВПН. Док се свет брзо креће ка шифрирању што је могуће више података на вебу, још увек постоје неки захтеви који обично нису шифровани. Међу тим су ДНС упити за претрагу, ННТП (временски сервер) упити и мноштво других захтјева за протокол као што су ФТП и Телнет који се понекад користе у неким нашим апликацијама, али уопште не подржавају шифрирање..

Цурења из неславне људске оперативне сигурности (ОпСец)

Много смислених података може се добити из циља користећи наизглед тривијалне информације. Многи људи троше пуно времена и труда ублажујући оно што доживљавају као "важне" ствари само да би их препознали тривијалним информацијама о којима нису размишљали. Неки примери укључују дуго памћење интернета које је открило да је администратор е-поште Хиллари Цлинтон највероватније био момак по имену Паул Цомбетта; Дреад Пирате Робертс, АКА Росс Улбрицхт, наводни мајстор нелегалног интернет сајта Силк Роад, процесуиран је највећим делом због података о свом лаптопу који су му физички одузети док је растресен у јавној библиотеци.

Мање драматично, посматрачи често могу користити ствари попут циклуса активности да би утврдили временску зону циља или присуство посебних знакова у поруци како би идентификовали језички изглед који одговара земљи циља. Не постоји потпуна листа ствари које треба узети у обзир при разматрању оперативне сигурности, јер проналазак нових начина унакрсног упућивања података углавном представља вежбу маште и ресурса.

Међутим, постоје неке специфичне ствари које се односе на хватање пакета које могу идентификовати ВПН употребу.

Знакови из метаподатака пакета

ПФС поновни тастери су предвидљиви

Пошто је ВПН саобраћај обично шифриран, углавном је скривен од знатижељних очију. Шифрирање делује зато што је веома тешко „грубо присилити“ шифриране податке да разоткрију свој јасан текстуални садржај. У ствари, пробијање шифрирања је тако тешко да пројекти великих размјера надзора понекад само прикупљају све податке које могу како би се надали да ће успјети сломити шифрирање неког будућег датума када се повећава снага рачунара или ако могу добити кључеве. који су коришћени за шифровање података. Перфецт Форвард Сецреци (ПФС) је метода која се може користити за спречавање последњег сценарија.

Перфецт Форвард Сецреци поново генерира кључеве за шифровање који се повремено криптирају за ВПН промет. Када се генерише нови пар кључева, претходни пар се уништава. То значи да било који сакупљени шифровани пакет не може бити дешифрован касније јер кључ који се користи за шифровање више не постоји.

ОпенВПН подржава ПФС. Док сам снимао податке за овај чланак, спустио сам кључну брзину кретања на 10 секунди како бих снимио тај процес. Открио сам да је, када се десила регенерација кључа, генерисан следећи низ пакета:

09: 01: 48.461276 ИП 192.168.1.204.опенвпн > 104.254.92.61.опенвпн: УДП, дужина 94
09: 01: 54.749114 ИП 192.168.1.204.опенвпн > 104.254.92.61.опенвпн: УДП, дужина 65
09: 01: 58.895381 ИП 192.168.1.204.опенвпн > 104.254.92.61.опенвпн: УДП, дужина 86
09: 01: 58.951091 ИП 192.168.1.204.опенвпн > 104.254.92.61.опенвпн: УДП, дужина 94
09: 01: 58.951614 ИП 192.168.1.204.опенвпн > 104.254.92.61.опенвпн: УДП, дужина 259
09: 01: 59.007916 ИП 192.168.1.204.опенвпн > 104.254.92.61.опенвпн: УДП, дужина 94
09: 01: 59.008027 ИП 192.168.1.204.опенвпн > 104.254.92.61.опенвпн: УДП, дужина 94
09: 01: 59.008265 ИП 192.168.1.204.опенвпн > 104.254.92.61.опенвпн: УДП, дужина 94
09: 01: 59.008300 ИП 192.168.1.204.опенвпн > 104.254.92.61.опенвпн: УДП, дужина 94
09: 01: 59.062927 ИП 192.168.1.204.опенвпн > 104.254.92.61.опенвпн: УДП, дужина 256
09: 01: 59.106521 ИП 192.168.1.204.опенвпн > 104.254.92.61.опенвпн: УДП, дужина 575

Оно што је значајно код ове секвенце је да су величине пакета идентичне сваки пут када се изврши кључна регенерација. Стога, кад год сам видео снимке пакета ових величина у снимању пакета, знао сам да се одвија кључно кретање:

94
65
86
94
259
94
94
94
94
256
575

Вјеројатно би сваки поновљени поступак теоретски створио поновљени слијед пакета попут овог, али се ипак може користити као показатељ да је ПФС можда у игри. У комбинацији са другим подацима, ове информације би могле бити довољне за потврду ВПН везе.

Сви пакети намењени истом ИП-у

Током нормалног коришћења интернета људи и рачунари захтевају податке са многих различитих места. Свака од ових локација има различиту ИП адресу. Када користите ВПН, сваки појединачни пакет намењен је ВПН серверу. ВПН сервер скида слој енкрипције ВПН-а са сваког пакета како би открио прави пакет и затим га шаље на пут до свог стварног одредишта. ВПН сервер ради исто са одговорима. Он прима пакете одговора, умотава их у слој за шифровање и потом шаље пакет на кориснички рачунар.

Снимање пакета које приказује рачунар који 100% свог промета шаље једном ИП-у добар је показатељ да се користи ВПН или проки..

Псипхон је интернетско средство за заобилажење цензуре. Има занимљиву функцију која се може донекле борити против тога. Има режим подељених тунела који у основи користи само тунел Псипхон за саобраћај који напушта вашу земљу.

цомпаритецх-псипхон-сплиттуннел-моде

Да видим како ово изгледа на нивоу пакета, покренуо сам Псипхон и тестирао две локације. Ја сам у Канади и ево узорка саобраћаја који је намењен нашем регистру домена .ЦА. У овом случају, моје одредиште је јасно видљиво у снимању пакета.

8: 30: 14.213668 ИП 192.168.1.210.58787 > ввв.цира.ца.хттпс: Заставе [.], ацк 1026833, вин 64240, дужина 0
08: 30: 14.229178 ИП ввв.цира.ца.хттпс > 192.168.1.210.58787: Заставе [.], Следећа адреса: 1026833: 1028293, ацк 715, победа 5094, дужина 1460
08: 30: 14.229427 ИП ввв.цира.ца.хттпс > 192.168.1.210.58787: Заставе [.], Сек 1028293: 1031213, ацк 715, вин 5094, дужина 2920
08: 30: 14.229781 ИП 192.168.1.210.58787 > ввв.цира.ца.хттпс: Заставе [.], ацк 1031213, вин 64240, дужина 0

Потом сам посетио веб локацију Цомпаритецх која се налази у Сједињеним Државама:

8: 29: 48.028789 ИП ли832-56.мемберс.линоде.цом.ссх > 192.168.1.210.58659: Заставе [П.], сек 107809: 108277, ацк 19080, побед 1392, дужина 468
08: 29: 48.029101 ИП 192.168.1.210.58659 > ли832-56.мемберс.линоде.цом.ссх: Заставе [.], ацк 108277, вин 856, дужина 0
08: 29: 48.029306 ИП 192.168.1.210.58659 > ли832-56.мемберс.линоде.цом.ссх: Заставе [П.], ред 19080: 19132, ацк 108277, победио 856, дужина 52
08: 29: 48.108658 ИП ли832-56.мемберс.линоде.цом.ссх > 192.168.1.210.58659: Заставе [.], Ацк 19132, вин 1392, дужина 0

Имајте на уму како се саобраћај намењен за САД шаље на Линоде сервер уместо на цомпаритецх.цом. Линоде је веома велика компанија сервера и уопште није необично видети саобраћај намењен Линоде серверу. Псипхон даље замрачује тај саобраћај користећи ССХ тунел да сакрије било који траг ВПН-а. Такође, обрнути ДНС (рДНС) за Псипхон сервер на Линоде-у не издаје његову повезаност са Псипхоном; рДНС само показује да Линоде посједује ИП, што се и очекује. На рДНС-у се налази више у обфускацијском делу касније у овом чланку.

Недоследности у подацима оперативног система и пакета отисака прстију

Иако је ТЦП умрежавање агностик оперативног система, различити оперативни системи стварају пакете са неким различитим вредностима. На пример, задана вредност пакета Тиме-То-Ливе (ТТЛ) варира у пакетима креираним на различитим системима. Већина Виндовс система ће подразумевано поставити пакет ТТЛ на 128, док ће већина Линук система поставити на 64. Пошто је ТТЛ видљиви део заробљеног пакета, могуће је утврдити који ОС је највероватније креирао тај пакет. Постоје и други знакови у конструкцији пакета као што су дужина и максимална величина сегмента (МСС), који такође варирају од оперативног система до оперативног система.

Исјечак испод је дио пакета генерисаног из Виндовс система. Обратите пажњу на ттл 127 вриједност у задњем ретку постављена је на 127. То је зато што је ТТЛ изражен бројем "хмеља". Сваки пут када пакет пређе уређај попут рутера, његов ТТЛ се смањује за један. У овом случају, ТТЛ је започео са 128, али пошто сам га снимио на рутеру - после једног скока - сада је 127. Међутим, још увек могу да кажем да то никада није било 64, па је то вероватно пакет који је креиран на Виндовс систему.

08: 08: 51.657495 ИП (тос 0к0, ттл 64, ид 32150, оффсет 0, заставе [ДФ], прото УДП (17), дужина 177)
гоогле-публиц-днс-а.гоогле.цом.домаин > 192.168.2.139.59414: 40501 3/0/0 цдн-3.цонвертекперимент.цом. ЦНАМЕ цдн-3.цонвертекперимент.цом.едгекеи.нет., Цдн-3.цонвертекперимент.цом.едгекеи.нет. ЦНАМЕ е5289.г.акамаиедге.нет., Е5289.г.акамаиедге.нет. А 104.94.35.212 (149)
08: 08: 51.659278 ИП (тос 0к0, ттл 127, ид 3890, оффсет 0, заставе [ДФ], прото ТЦП (6), дужина 52)

Пакет снимљен са Линук машине има ТТЛ од 63 након првог скока. То је зато што већина Линук машина поставља почетну вредност пакета ТТЛ на 64.

08: 15: 55.913493 ИП (тос 0к0, ттл 63, ид 41443, оффсет 0, заставе [ДФ], прото УДП (17), дужина 56)
192.168.2.139.48635 > ресолутионвер1.ихгип.нет.домаин: 47200+ А? гоогле.цом. (28)

Али шта? Зашто је важно знати који је оперативни систем креирао пакет?

Ако посматрач има специјализовано знање о некој мета, то може значити пуно. Ако је познато да мета користи Виндовс - можда као члан велике организације која користи Виндовс широм - али пакети заробљени од тог циља показују да су вероватно креирани на Линук машини, то је добар показатељ да је ВПН или проки неког од њих врста је у употреби. Вреди напоменути да готово сви ВПН сервери раде на Линук или Уник серверима.

Могуће је подесити параметре пакета на већини система, али врло мало људи иде на ту дужину.

Недовољно техника обфускације од ВПН провајдера

Мрежне анализе имају више од скупљања пакета. Помоћни процеси као што је ДНС могу играти улогу. Многи ВПН корисници су упознати са ДНС-ом јер је слање ДНС упита јасно за посматрача да утврди где посећујете или желите да посетите. Међутим, мањи број корисника је свестан обрнутог ДНС-а (рДНС). Као што ДНС име домена повезује са ИП адресом, рДНС повезује ИП адресу са називом хоста, а име главног рачунара обично идентификује власника ИП адресе. Поред тога, већина програмских библиотека и оперативних система долази са неком верзијом стандардних гетхостнамеби * () функција које проширују способност система за придруживање ИП адреса и имена хоста.

Реверсе ДНС није толико критичан као „нормални“ ДНС јер рДНС не игра улогу у усмеравању саобраћаја. Уместо тога, користи се пре свега као средство за идентификацију власништва над ИП-ом. Само власник ИП адресе може му придружити рДНС запис. Стога провјера рДНС записа ИП адресе пружа разумно јамство ко је власник или, барем, ко власник жели да мислите да га посједује. Имајте на уму да рДНС није потребан и да многе ИП адресе уопште немају уносе рДНС.

Погледајмо пример домена фацебоок.цом. ДНС запис снимљен стандардним ДНС упитом показује ову ИП адресу:

$ диг + кратак фацебоок.цом
31.13.67.35

Сада користимо обрнути ДНС упит или функцију гетхостнамебиаддр () да видимо ко је власник тог ИП-а:

$ хост -н 31.13.67.35
35.67.13.31.ин-аддр.арпа име домена показивач едге-стар-мини-схв-01-миа3.фацебоок.цом

Из овога можемо видети да Фацебоок у ствари поседује ту ИП адресу. Међутим, већина веб локација не поседује сопствене ИП адресе; они су закупљени и припадају произвољним организацијама или су можда у власништву мање очигледних субјеката. Амазон је пример великог рачунарског провајдера који користе многе компаније. РДНС упит за ИП адресу многих интернетских сервиса једноставно показује да Амазон посједује ИП и стога су информације од мале користи у одређивању ко управља ИП-ом. Други пример је Гоогле. Гоогле је мало суптилнији у својим уносима на рДНС, али и даље чува податке о власништву. Ево како обрнути ДНС тражи Гоогле ИП адресу:

$ диг + кратак гоогле.цом
216.58.207.46

$ хост -н 216.58.207.46
Показивач имена домена 46.207.58.216.ин-аддр.арпа фра16с24-ин-ф14.1е100.нет.

Гоогле је власник домена 1е100.нет, тако да можемо видети да овај ИП у ствари припада Гоогле-у.

У свету ВПН-а могу се потенцијално користити алати за разрешавање адреса да би се видело да ли ИП који је намењен вашем промету припада ВПН-у. На пример, задата наредба тцпдумп на ОпенВРТ рутеру ће покушати да разреши ИП адресе које види у ТЦП пакетима. Чини се да првенствено користите гетхостбиадресс () за то и зато је понекад могуће видети где су пакети намењени. Задани снимак тцпдумп ИПВанисх сесије ово илуструје:

08: 23: 14.485768 ИП 216-151-184-30.ипванисх.цом.3074 > 192.168.1.210.51061: УДП, дужина 1441
08: 23: 14.485847 ИП 216-151-184-30.ипванисх.цом.3074 > 192.168.1.210.51061: УДП, дужина 1441
08: 23: 14.486144 ИП 216-151-184-30.ипванисх.цом.3074 > 192.168.1.210.51061: УДП, дужина 1441
08: 23: 14.486186 ИП 216-151-184-30.ипванисх.цом.3074 > 192.168.1.210.51061: УДП, дужина 385

ИПВанисх клијент за Виндовс пружа три конфигурације: стандардну ОпенВПН везу, ОпенВПН везу помоћу ХТТПС-а и нејасну везу.

ипванисх-впн-опенвпн-моде

Горњи пакети су снимљени током сесије користећи закулисно подешавање ОпенВПН везе, али ВиреСхарк још увек може да пружи информације о одредишту.

Укратко

При одређивању употребе ВПН-а постоји врло мало „сребрних метака“. Обично је потребно неколико техника или опажања да се састави довољно показатеља који указују на то да се ВПН користи, па чак и тада може бити тешко бити 100% сигуран. Компаније које имају велико интересовање за забрану употребе ВПН-а, као што су Нетфлик и други сервиси за стреаминг, имају тимове са пуним радним временом који су посвећени управо овом проблему. У другим случајевима, многе источноеуропске и блискоисточне државе) забрањују употребу ВПН-а и имају сличне тимове који би вадили ВПН кориснике.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 71 = 78

Adblock
detector