web-dev-qa-db-ja.com

ネットワークでVPNを検出することは可能ですか?

ネットワークでのVPNの使用を検出することは可能ですか?

インターネットがフィルタリングされている国で接続中にVPNを使用するとします。監視を回避するために、クラウドサーバーまたはVPSにopenVPNをインストールしました。ISPまたはネットワークは、大規模な監視に基づいてVPNを使用しているかどうかを判断しますか?

私はウォッチドッグが何を探すべきかを知っている、または誰が何をしているのかというシナリオについては説明していません。大量監視活動について尋ねています。

5
Barttttt

OpenVPNプロトコルは、その存在を隠そうとはしません。プロトコル自体は ドキュメント の最後に簡単に説明されています。 obfuscate プロトコル自体を管理している場合でも、ISPが トラフィックフィンガープリント を使用してVPNを使用していると判断する可能性があることに注意してください。言うまでもなく、ある種のトンネルを使用しているという事実は、すべてのインターネットアクティビティに対して、暗号化されたプロトコルで単一のIPアドレスに接続するだけの動作から推測できます。

トラフィックの難読化

プロトコルがOpenVPNトラフィックとしてすぐにタグ付けされないようにする主な方法は2つありますが、どちらの方法も高度なトラフィックフィンガープリントを無効にしません。さらに、これらの方法は両方とも、クライアントサーバーの両方からのサポートを必要とするため、ランダムな商用VPNはこれと互換性がありません。トラフィックの識別を制限する2つの主な方法は次のとおりです。

  • 静的キー-通常、OpenVPNはリモートサーバーとのTLS接続を確立し、一時的なセッションキーを交換して、VPNプロトコルの暗号化に使用します。この鍵交換により、OpenVPNが使用されていることがわかります。 静的キー は、クライアントとサーバーの両方に保存される事前共有キーです。それらが両側に安全に配信される場合、そのキーは、キー交換なしでVPNトラフィックを暗号化するために直接使用できます。残念ながら、静的キーは必ず forward secrecy の暗号プロパティを失うことを意味します。

  • Obfsproxy- Tor Project によって開発され、obfsproxyは pluggable transport の一種であり、透過的に難読化しますさまざまな方法を使用したトラフィック。これは、自動ブロッキングを妨げるために使用されているプロトコルを特定することを困難にするように特別に設計されています。もともとTor専用に設計されたものですが、obfsproxy OpenVPNで使用可能 です。

何をしても、トラフィックを分析している誰かが、暗号化されたトンネルを経由して接続していることを発見できないようにすることはできません。それがOpenVPNトラフィックであることを隠すことができ、自動化されたマシン分析をだますことができますが、トラフィック自体の実際の人間による分析はできません。心に留めておきます。

脅威モデリング

脅威モデルを策定する必要があります。 VPNの存在を非表示にする理由(いわゆるメンバーシップ属性を回避する理由)を自問してください。いくつかの一般的な脅威モデル:

  • 検閲の回避-一部の体制では、VPNはISPによって自発的に、または広範な政府の検閲によりブロックされています。フィルターをバイパスしてインターネットへの無制限のアクセスを得るために、プロトコルを難読化することをお勧めします。この脅威モデルでは、自動検出を防止するのに十分な距離で十分です。別のポートでVPNを実行するだけで十分な場合は、それで十分です。 DPIを回避するためにトラフィックを完全に難読化する必要がある場合は、代わりにそれを行ってください。トラフィックをリアルタイムで監視し、特定のリソースをアクティブに許可またはブロックする人はいないので、人間の分析でトラフィックを発見することを難しくする必要はありません。

  • 目立たないように見えます-機会に応じて、敵にできるだけ少ない情報を提供したい場合があります。暗号化されていないトラフィックをすべて配布することはさらに悪いことですが、情報をさらに減らして、トラフィックが暗号化されているという事実を隠してみませんか?攻撃者が自動ロギングを使用してVPNトラフィックを検出している場合、ソリューションは検閲を回避するためのものと同じです。トラフィックを変更するだけでマシンを通過するのに十分なだけで、家にいる必要はありません。手動の人間の分析者から保護したい場合は、残念ながら運がありません。トラフィックログへのアクセス権を持つ知性のある、教育を受けた敵対者に対して何らかの暗号化されたトンネルを使用していることを隠す実用的な方法はありません。

  • 法的問題の回避-一部の管轄区域では、あらゆる種類の暗号化されたトンネルを単に使用するだけで、完全に違法になる場合があります。ペナルティが高く、法律が積極的に施行されている場合は、はるかに大きな問題があります。政府系または同情的なISPはすべて避けてください。これは、近くの国の地下ネットワークまたは無線ネットワークを使用することを意味します。また、弁護士を雇って専門的な法的助言を得るか、少なくとも Law Stack Exchange についていくつか質問する必要があります。彼らは法的助言を提供しませんが、あなたはあなたがあなたの理解を改善するのを助けるために特定の質問に答えて、関連する法律を引用することができます。

7
forest