Grupa istraživača sa Sveučilišta u Michiganu objavila je rezultate istraživanja o mogućnosti identifikacije (VPN Fingerprinting) veza s poslužiteljima koji se temelje na OpenVPN-u prilikom praćenja tranzitnog prometa. Kao rezultat toga, identificirane su tri metode za identifikaciju OpenVPN protokola među ostalim mrežnim paketima koji se mogu koristiti u sustavima inspekcije prometa za blokiranje virtualnih mreža temeljenih na OpenVPN-u.
Testiranje predloženih metoda na mreži internetskog provajdera Merit, koja ima više od milijun korisnika, pokazalo je sposobnost identificiranja 85% OpenVPN sesija s niskom razinom lažno pozitivnih. Za testiranje je pripremljen set alata koji je najprije detektirao OpenVPN promet u hodu u pasivnom načinu rada, a potom provjeravao ispravnost rezultata aktivnom provjerom poslužitelja. Prometni tok intenziteta od približno 20 Gbps preslikan je na analizator koji su izradili istraživači.
Tijekom eksperimenta, analizator je uspio identificirati 1718 od 2000 testnih OpenVPN veza koje je uspostavio lažni klijent, koji je koristio 40 različitih tipičnih OpenVPN konfiguracija (metoda je uspješno funkcionirala za 39 od 40 konfiguracija). Osim toga, tijekom osam dana eksperimenta identificirano je 3638 OpenVPN sesija u tranzitnom prometu, od čega je 3245 sesija potvrđeno. Napominje se da je gornja granica lažno pozitivnih rezultata u predloženoj metodi tri reda veličine niža nego u prethodno predloženim metodama koje se temelje na korištenju strojnog učenja.
Zasebno je procijenjena učinkovitost OpenVPN metoda zaštite praćenja prometa u komercijalnim uslugama - od 41 testirane VPN usluge koja koristi OpenVPN metode skrivanja prometa, promet je identificiran u 34 slučaja. Usluge koje nije bilo moguće otkriti koristile su dodatne slojeve uz OpenVPN za skrivanje prometa (na primjer, prosljeđivanje OpenVPN prometa kroz dodatni šifrirani tunel). Većina uspješno identificiranih usluga koristila je XOR izobličenje prometa, dodatne slojeve zamagljivanja bez odgovarajućeg nasumičnog popunjavanja prometa ili prisutnost nezamaskiranih OpenVPN usluga na istom poslužitelju.
Uključene metode identifikacije temelje se na povezivanju s obrascima specifičnim za OpenVPN u nekriptiranim zaglavljima paketa, veličinama ACK paketa i odgovorima poslužitelja. U prvom slučaju, vezanje na polje "opcode" u zaglavlju paketa može se koristiti kao objekt za identifikaciju u fazi pregovora o povezivanju, koji zauzima fiksni raspon vrijednosti i mijenja se na određeni način ovisno o vezi faza postavljanja. Identifikacija se svodi na identificiranje određenog slijeda promjena operacijskog koda u prvih N-paketa toka.
Druga metoda temelji se na činjenici da se ACK paketi koriste u OpenVPN-u samo u fazi pregovora o povezivanju i istovremeno imaju određenu veličinu. Identifikacija se temelji na činjenici da se ACK paketi određene veličine pojavljuju samo u određenim dijelovima sesije (na primjer, kada koristite OpenVPN, prvi ACK paket obično je treći paket podataka poslan u sesiji).
Treća metoda je aktivna provjera i proizlazi iz činjenice da kao odgovor na zahtjev za resetiranjem veze, OpenVPN poslužitelj šalje određeni RST paket (provjera ne radi kada se koristi "tls-auth" način jer OpenVPN poslužitelj ignorira zahtjevi klijenata koji nisu autentificirani putem TLS-a).
Izvor: opennet.ru