Ny fomba dia mamela ny fanoloana fonosana amin'ny haavon'ny fifandraisana TCP mandalo ao anatin'ny tonelina misy miafina, fa tsy mamela ny fifamatorana amin'ny fifandraisana mampiasa sosona fanafenana fanampiny (ohatra, TLS, HTTPS, SSH). Tsy maninona ny algorithm encryption ampiasaina amin'ny VPN, satria avy amin'ny interface ivelany ny fonosana voasoloky ary karakarain'ny kernel ho fonosana avy amin'ny interface VPN. Ny mety ho lasibatry ny fanafihana dia ny hanelingelina ny fifandraisana HTTP tsy misy miafina, fa
Naseho ho an'ny tonelina noforonina tamin'ny OpenVPN, WireGuard ary IKEv2/IPSec ny fanodikodinana fonosana nahomby. Tsy iharan'ny olana ny Tor, satria mampiasa SOCKS izy mba handefasana fifamoivoizana ary mifamatotra amin'ny interface loopback. Ho an'ny IPv4, azo atao ny fanafihana raha apetraka amin'ny fomba “Loose” ny rp_filter (sysctl net.ipv4.conf.all.rp_filter = 2). Tamin'ny voalohany, ny ankamaroan'ny rafitra dia nampiasa ny fomba "Strict", fa manomboka amin'ny
rp_sivana mekanika
Ny lalan'ny famaliana dia mety handalo amin'ny seha-pifandraisana ankoatry ny iray izay nahatongavan'ilay fonosana ho avy.
Amin'ny fomba Loose, misy fonosana miditra dia voamarika eo amin'ny latabatra fampitaovana, saingy heverina ho manan-kery raha azo tratrarina amin'ny alàlan'ny interface misy tambajotra misy ny adiresy loharano. Ny fanafihana natolotra dia mifototra amin'ny hoe ny mpanafika dia afaka mandefa fonosana miaraka amin'ny adiresy loharano voasokajy mifanaraka amin'ny interface VPN, ary na dia eo aza ny zava-misy fa ity fonosana ity dia hiditra ao amin'ny rafitra amin'ny alàlan'ny serasera ivelany fa tsy amin'ny VPN, amin'ny rp_filter "Loose" mode ny fonosana toy izany dia tsy hariana.
Mba hanaovana fanafihana, ny mpanafika dia tsy maintsy mifehy ny vavahady idiran'ny mpampiasa amin'ny tambajotra (ohatra, amin'ny alalan'ny fikambanana MITM, rehefa mifandray amin'ny teboka fidirana tsy misy tariby fehezin'ny mpanafika, na amin'ny alàlan'ny
Amin'ny alàlan'ny famoronana packet foronina izay manolo ny adiresy IP an'ny interface VPN, dia misy ny ezaka atao mba hisy fiantraikany amin'ny fifandraisana napetraky ny mpanjifa, fa ny fiantraikan'ireo fonosana ireo dia tsy azo jerena afa-tsy amin'ny alàlan'ny famakafakana passive momba ny fikorianan'ny fifamoivoizana mifandray. miaraka amin'ny fiasan'ny tonelina. Mba hanaovana fanafihana dia mila mitady ny adiresy IP an'ny tambajotran'ny tonelina notendren'ny mpizara VPN ianao, ary mamaritra ihany koa fa misy fifandraisana amin'ny mpampiantrano manokana amin'izao fotoana izao amin'ny alàlan'ny tonelina.
Mba hamaritana ny IP an'ny tambajotra virtoaly VPN, ny fonosana SYN-ACK dia alefa any amin'ny rafitry ny niharam-boina, izay manisa ny isan'ny adiresy virtoaly manontolo (voalohany indrindra, ny adiresy ampiasaina amin'ny VPN dia voatanisa amin'ny alàlan'ny default, ohatra, OpenVPN mampiasa ny subnet 10.8.0.0/24). Ny fisian'ny adiresy dia azo tsaraina amin'ny fandraisana ny valinteny miaraka amin'ny saina RST.
Toy izany koa, ny fisian'ny fifandraisana amin'ny tranonkala iray sy ny laharan'ny seranan-tsambo eo amin'ny lafiny mpanjifa dia voafaritra - amin'ny alàlan'ny fanasokajiana ny laharan'ny seranan-tsambo, ny fonosana SYN dia alefa amin'ny mpampiasa, ho toy ny adiresy loharano, izay misy ny tranokala. Ny IP dia soloina, ary ny adiresy alehany dia virtoaly IP VPN. Ny seranan-tsambo dia azo vinavinaina (80 ho an'ny HTTP), ary ny laharan'ny seranan-tsambo eo amin'ny lafiny mpanjifa dia azo kajy amin'ny herin'ny herisetra, famakafakana ho an'ny isa samihafa ny fiovan'ny hamafin'ny valin'ny ACK miaraka amin'ny tsy fisian'ny fonosana miaraka amin'ny RST saina.
Amin'ity dingana ity, ny mpanafika dia mahafantatra ny singa efatra amin'ny fifandraisana (loharano adiresy IP / seranan-tsambo ary adiresy IP / seranan-tsambo), fa mba hamoronana fonosana noforonina izay eken'ny rafitra niharam-boina dia tsy maintsy mamaritra ny filaharan'ny TCP ny mpanafika ary laharana fanekena (seq sy ack) - fifandraisana. Mba hamaritana ireo mari-pamantarana ireo, ny mpanafika dia mandefa fonosana RST sandoka tsy tapaka, manandrana isa maromaro, mandra-pahitany fonosana valin'ny ACK, ny fahatongavan'izy ireo dia manondro fa ao anatin'ny varavarankely TCP ilay isa.
Manaraka izany, ny mpanafika dia manazava ny fahamarinan'ny famaritana amin'ny alàlan'ny fandefasana fonosana miaraka amin'ny isa mitovy ary mijery ny fahatongavan'ny valin'ny ACK, ary avy eo dia mifidy ny isa marina amin'ny filaharana ankehitriny. Sarotra ny asa noho ny hoe alefa ao anaty tonelina misy miafina ny valiny ary ny fisian'izy ireo ao amin'ny reniranon'ny fifamoivoizana voasakana ihany no azo anadihadiana amin'ny fampiasana fomba ankolaka. Raha misy mpanjifa mandefa fonosana ACK alefa any amin'ny mpizara VPN dia voafaritra amin'ny habeny sy ny faharetan'ny valin-kafatra voarakotra, izay mifandray amin'ny fandefasana fonosana voasokajy. Ohatra, ho an'ny OpenVPN, ny haben'ny fonosana miafina 79 dia ahafahanao mitsara marina fa misy ACK ao anatiny.
Mandra-panampiana ny fiarovana ny fanafihana amin'ny kernel rafitra miasa ho fomba vonjimaika hanakanana ny olana
iptables -t raw -I PREROUTING ! -i wg0 -d 10.182.12.8 -m addrtype ! --src-type LOCAL -j DROP
na ho an'ny nftables
nft add table ip raw
nft add chain ip raw prerouting ‘{ type filter hook prerouting priority 0; }'
nft add rule ip raw prerouting ‘iifname != “wg0” ip daddr 10.182.12.8 fib saddr type != local drop’
Mba hiarovana ny tenanao rehefa mampiasa tonelina misy adiresy IPv4, apetraho fotsiny ny rp_filter amin'ny fomba “Henjana” (“sysctl net.ipv4.conf.all.rp_filter = 1”). Eo amin'ny lafiny VPN, azo sakanana ny fomba fisavana ny laharan'ny filaharana amin'ny alalan'ny fampidirana padding fanampiny amin'ireo fonosana miafina, ka mitovy habe ny fonosana rehetra.
Source: opennet.ru