Un gruppo di ricercatori dell'Università del Michigan ha pubblicato i risultati di uno studio sulla possibilità di identificare (VPN Fingerprinting) le connessioni ai server basati su OpenVPN durante il monitoraggio del traffico in transito. Di conseguenza, sono stati identificati tre metodi per identificare il protocollo OpenVPN tra gli altri pacchetti di rete che possono essere utilizzati nei sistemi di ispezione del traffico per bloccare le reti virtuali basate su OpenVPN.
I test dei metodi proposti sulla rete del provider Internet Merit, che conta più di un milione di utenti, hanno dimostrato la capacità di identificare l'85% delle sessioni OpenVPN con un basso livello di falsi positivi. Per il test è stato preparato un toolkit che prima rilevava al volo il traffico OpenVPN in modalità passiva e poi verificava la correttezza del risultato attraverso un controllo del server attivo. Sull'analizzatore creato dai ricercatori è stato rispecchiato un flusso di traffico con un'intensità di circa 20 Gbps.
Durante l'esperimento, l'analizzatore è stato in grado di identificare con successo 1718 delle 2000 connessioni OpenVPN di prova stabilite da un client non autorizzato, che utilizzava 40 diverse tipiche configurazioni OpenVPN (il metodo ha funzionato con successo per 39 su 40 configurazioni). Inoltre, negli otto giorni dell'esperimento, sono state individuate 3638 sessioni OpenVPN nel traffico in transito, di cui 3245 confermate. Si noti che il limite superiore dei falsi positivi nel metodo proposto è inferiore di tre ordini di grandezza rispetto ai metodi precedentemente proposti basati sull'uso dell'apprendimento automatico.
Separatamente, sono state valutate le prestazioni dei metodi di protezione del tracciamento del traffico OpenVPN nei servizi commerciali: su 41 servizi VPN testati utilizzando metodi di occultamento del traffico OpenVPN, il traffico è stato identificato in 34 casi. I servizi che non potevano essere rilevati utilizzavano livelli aggiuntivi oltre a OpenVPN per nascondere il traffico (ad esempio, inoltrando il traffico OpenVPN attraverso un tunnel crittografato aggiuntivo). La maggior parte dei servizi identificati con successo utilizzavano la distorsione del traffico XOR, livelli aggiuntivi di offuscamento senza un'adeguata imbottitura del traffico casuale o la presenza di servizi OpenVPN non offuscati sullo stesso server.
I metodi di identificazione coinvolti si basano sull'associazione a modelli specifici di OpenVPN nelle intestazioni dei pacchetti non crittografati, nelle dimensioni dei pacchetti ACK e nelle risposte del server. Nel primo caso, come oggetto di identificazione in fase di negoziazione della connessione, può essere utilizzato un collegamento al campo “opcode” nell’intestazione del pacchetto, che assume un intervallo fisso di valori e cambia in un certo modo a seconda della connessione fase di installazione. L'identificazione si riduce all'identificazione di una certa sequenza di modifiche del codice operativo nei primi N-pacchetti del flusso.
Il secondo metodo si basa sul fatto che i pacchetti ACK vengono utilizzati in OpenVPN solo nella fase di negoziazione della connessione e allo stesso tempo hanno una dimensione specifica. L'identificazione si basa sul fatto che i pacchetti ACK di una determinata dimensione si verificano solo in determinate parti della sessione (ad esempio, quando si utilizza OpenVPN, il primo pacchetto ACK è solitamente il terzo pacchetto di dati inviato nella sessione).
Il terzo metodo è un controllo attivo ed è dovuto al fatto che in risposta ad una richiesta di ripristino della connessione, il server OpenVPN invia uno specifico pacchetto RST (il controllo non funziona quando si utilizza la modalità “tls-auth”, poiché il server OpenVPN ignora le richieste provenienti da client non autenticati tramite TLS).
Fonte: opennet.ru