web-dev-qa-db-ja.com

SSL VPN検出およびブロック可能

ポート443のVPNと標準のSSLトラフィックとの違いを判断することはできますか?

SSL Webサイトにアクセスするには、ポート443を開く必要がありますが、ポート443でVPNサービスを設定する場合は、ファイアウォールからダイヤルアウトできます。

8
Jason

はい。ポート443でVPNを実行している場合でも、HTTPS(ポート443を使用)とVPNにはプロトコル内で十分な違いがあり、外部と区別できるため、ファイアウォールまたはディープパケットインスペクションを実行するデバイスが両方をすぐに分類できます。

ファイアウォールがポート443でVPN接続をブロックしない場合、ファイアウォールがポートフィルタリングのみを行っているか、VPN接続用のプロトコルシグネチャがまだない可能性があります。

4
Nasrus

もちろん、「VPNトラフィック」と「標準SSLトラフィック」は、「標準」という適切な概念で区別することができます。 「標準」とは、Webブラウザを使用してHTTPS Webサイトにアクセスする人々を意味していると思います。

重要な点は、SSLはデータコンテンツの非表示には非常に優れていますが、データ長が漏洩するためです。SSLレコードを観察すると、クリアテキストコンテンツの長さを(おそらく1バイトの精度まで)算出できます。 WebブラウザーはHTTPリクエストを発行しますが、その長さは通常数百バイトであり、対応する(そしてより大きな)応答になります。そして一時停止があります。 SSLベースのVPNにカプセル化された汎用IPトラフィックは、明確なパターンを示す必要があります(特に、TCP 3ウェイハンドシェイクは非常に目立つはずです)。

このようなテストは100%信頼できるとは限りませんが、非常に効果的です。ユーザーがそのような検出メカニズムの存在と動作を完全に認識していない限り、それを打ち消そうとします。これは、検出とステルスという長続きする面倒な戦争に変わる可能性があります。ユーザーがVPNの設定に本当に熱心である場合、これは可能性がありますかなり正当な理由があります。 VPNをブロックするのに「標準のHTTPS」を許可する理由を再考する価値があるかもしれません。

1
Tom Leek

最初にTCPポート443を介して接続するようにVPNを構成してから、SSLで通信を保護し(実際にはTLSを使用)、VPNプロトコルを使用する場合のみ...最後に、ファイアウォールがHTTPトラフィックではなくVPNトラフィックであることを検出できない。

別の言い方をすると、443を超えるプレーンテキストVPNトラフィックはVPNトラフィックのようになり、使用中のプロトコルに一致します。 443を超えるSSL VPNトラフィックは、SSLトラフィックのように見えます。

0
SecsAndCyber