Skupina raziskovalcev z Univerze v Michiganu je objavila rezultate študije o možnosti identifikacije (VPN Fingerprinting) povezav s strežniki, ki temeljijo na OpenVPN, pri spremljanju tranzitnega prometa. Posledično so bile identificirane tri metode za identifikacijo protokola OpenVPN med drugimi omrežnimi paketi, ki se lahko uporabljajo v sistemih za nadzor prometa za blokiranje virtualnih omrežij, ki temeljijo na OpenVPN.
Testiranje predlaganih metod na omrežju internetnega ponudnika Merit, ki ima več kot milijon uporabnikov, je pokazalo sposobnost prepoznavanja 85 % sej OpenVPN z nizko stopnjo lažno pozitivnih rezultatov. Za testiranje je bil pripravljen komplet orodij, ki je najprej sproti zaznaval promet OpenVPN v pasivnem načinu, nato pa pravilnost rezultata preverjal z aktivnim preverjanjem strežnika. Prometni tok z intenzivnostjo približno 20 Gbps se je zrcalil na analizatorju, ki so ga ustvarili raziskovalci.
Med poskusom je analizator uspel uspešno prepoznati 1718 od 2000 testnih povezav OpenVPN, ki jih je vzpostavil lažni odjemalec, ki je uporabljal 40 različnih tipičnih konfiguracij OpenVPN (metoda je uspešno delovala pri 39 od 40 konfiguracij). Poleg tega je bilo v osmih dneh poskusa identificiranih 3638 sej OpenVPN v tranzitnem prometu, od katerih je bilo potrjenih 3245 sej. Opozoriti je treba, da je zgornja meja lažnih pozitivnih rezultatov v predlagani metodi tri velikosti nižja kot pri predhodno predlaganih metodah, ki temeljijo na uporabi strojnega učenja.
Posebej je bila ocenjena učinkovitost metod zaščite sledenja prometa OpenVPN v komercialnih storitvah - od 41 testiranih storitev VPN, ki uporabljajo metode skrivanja prometa OpenVPN, je bil promet identificiran v 34 primerih. Storitve, ki jih ni bilo mogoče zaznati, so poleg OpenVPN uporabljale dodatne plasti za skrivanje prometa (na primer posredovanje prometa OpenVPN prek dodatnega šifriranega tunela). Večina uspešno identificiranih storitev je uporabljala izkrivljanje prometa XOR, dodatne plasti zakrivanja brez ustreznega naključnega oblazinjenja prometa ali prisotnost nezakritih storitev OpenVPN na istem strežniku.
Vključene metode identifikacije temeljijo na vezavi na vzorce, specifične za OpenVPN, v nešifriranih glavah paketov, velikosti paketov ACK in odzivih strežnika. V prvem primeru se lahko vezava na polje »opcode« v glavi paketa uporabi kot predmet za identifikacijo na stopnji pogajanj o povezavi, ki ima določen obseg vrednosti in se spreminja na določen način glede na povezavo. stopnja nastavitve. Identifikacija se zmanjša na identifikacijo določenega zaporedja sprememb operacijske kode v prvih N-paketih toka.
Druga metoda temelji na dejstvu, da se paketi ACK uporabljajo v OpenVPN le v fazi pogajanj o povezavi in imajo hkrati določeno velikost. Identifikacija temelji na dejstvu, da se paketi ACK določene velikosti pojavijo samo v določenih delih seje (na primer, ko uporabljate OpenVPN, je prvi paket ACK običajno tretji podatkovni paket, poslan v seji).
Tretja metoda je aktivno preverjanje in je posledica dejstva, da kot odgovor na zahtevo za ponastavitev povezave strežnik OpenVPN pošlje določen paket RST (preverjanje ne deluje pri uporabi načina »tls-auth«, saj strežnik OpenVPN ignorira zahteve strank, ki niso overjene prek TLS).
Vir: opennet.ru