keenopt openvpn

[vasek00]

4 минуты назад, IgaX сказал:

не, при секьюрном хэндшейке на лету они, скорее всего, могут ток, например, DN/CN публичного ключа (сертификата) хоста заматчить и дать RST в трубу.

при остальных правильных требованиях к шифрованию - не выйдет точечно, ток все подряд, а тут и словят =)

Так как в данном случае "пакет в пакете", то не нужен ни какой просмотр шифрования самих данных они не нужны, а нужно обработать только начальные байты заголовка на предмет вложенности пакета и определить его метки для данного сервера и ответы сервера для клиента. Речь идет о метки по которой можно определить принадлежность данного пакета данному приложению, т.е. это как поиск вируса по сигнатуре в файле.

[IgaX]

30 минут назад, vasek00 сказал:

на предмет вложенности пакета

вложенная матрешка зашифрована со всеми потрохами, при должном шифровании - сигнатуры, если и будут применены, смогут давать очень большой процент ложных срабатываний (а поток еще ведь и собрать надо). все что видно: транспортный L4 и зашифрованный до мозга костей payload со всеми вложенными .. и флаг им в руки и барабан на шею =) .. ну вот как по приложению - если только наугад по номеру порта, а его вот поменять и .. усе .. ушел под воду.

Изменено 30 мая, 2017 пользователем IgaX

[vasek00]

Скрытый текст

Источник http://bit.samag.ru/archive/article/1333

....

– Давайте подробно рассмотрим каждую из названных составляющих. Итак, что такое Deep Packet Inspection?

– Говоря кратко, это технология низкоуровневой проверки и фильтрации сетевых пакетов по их содержимому. Коренное отличие от привычных брандмауэров заключается в том, что DPI не столько анализирует заголовки пакетов (что, конечно, тоже может), сколько зарывается в содержимое транзитного трафика на уровнях модели OSI со второго и выше. Подчеркну, все это делается в режиме реального времени, и внешнему наблюдателю никаких задержек или манипуляций с трафиком не видно.

....

Поэтому главный критерий степени серьезности DPI – глубина анализа транзитного трафика, который может позволить себе система, чтобы при этом сохранять приемлемый уровень латентности.

...

– Переходим ко второму китайскому дракону. Что такое «Сonnection probe»?

– Это дальнейшая эволюция DPI – сращивание прокси-сервера и низкоуровневого фильтрующего механизма. При попытке подключения к любому сервису за пределами национального сетевого шлюза сначала происходит «заморозка» такого запроса и потом последующее опережающее подключение по целевому адресу уже от имени DPI. Это, так сказать, проактивная система тестирования и идентификации типа запрашиваемых во внешнем Интернете сервисов.

...

– Кстати, что можно сказать о системах типах Tor, i2p или VPN? Насколько они эффективны в условиях подобной агрессивной сетевой цензуры?

– Они малоэффективны и вовсе не так живучи, как об этом шумит «народная молва», – все упомянутые системы в Китае давно заблокированы. Более того, заблокировать Tor или i2p можно десятком разных способов, самый простой из них – блокировка bootstrap-процедуры в момент инициализации их клиентов. Заблокировать подобным образом входные ноды этих сетей (например, Tor directory nodes) – тривиальная задача даже для администратора средней руки. Если же учитывать возможности, которые есть у правительства Китая, в первую очередь я имею в виду высокотехнологическую дубинку DPI, – это и вовсе не проблема.

Вы можете заглянуть в i2p netDB – там нет нод с китайскими IP, если же посмотреть на открытую статистику пользователей сервиса Tor, то они фиксируют максимум 1000 уникальных китайских IP в месяц, и это на такую многомиллиардную страну, как Китай, у которой самое большое количество интернет-пользователей в мире. Кстати, в этом случае «прорыва» китайцами применяется obfsproxy, хотя и его блокировка, насколько я могу судить, на данном этапе развития Великого китайского файрвола не представляет технических сложностей, просто это лишено смысла в силу малочисленности пользователей экзотической технологии, а также постоянным сбоям в ее работе.

...

– Как обстоят дела с VPN и SSH?

– Ситуация с VPN довольно противоречивая – отдельные провайдеры его агрессивно подавляют, некоторые – почти нет. Своими блокировками широко известен China Unicom – один из крупнейших магистральных провайдеров континентального Китая. Сейчас им определяется и блокируется более пяти разновидностей VPN. Если быть более конкретным, это OpenVPN, PPTP, L2TP, SSTP и Cisco . К тому же, когда проходит очередной съезд Коммунистической партии Китая, Интернет фильтруют так, что даже то, что работало в спокойные времена, может перестать работать в эти дни.

Насколько мне известно, правительство Поднебесной собирается лицензировать сферу использования VPN, то есть после соответствующей государственной регистрации разрешить применение VPN в целях легального бизнеса, и это будет своя собственная версия протокола на базе OpenVPN. После вступления данного закона в силу все отличные от государственного варианта VPN-протоколы будут тотально «резаться» на трансграничном шлюзе.

Что же касается сервиса SSH – попытки его блокировок также есть. По ряду косвенных признаков подобные испытания проводятся и в публичных сетях, в таких случаях в логах можно найти множество сброшенных или неудачных соединений с типичной ошибкой «Bad protocol version identification». При этом, подключаясь к серверам вне Китая, впоследствии можно увидеть несколько ложных попыток подключения с китайских IP, предшествующих самому сброшенному подключению. Предположительно это скрининг принимающего сервера по типу Сonnection probe, который мы уже обсудили.

...

– Можно ли сказать, что планируемое внедрение Ростелекомом «всероссийского» DPI – это некое зловещее предзнаменование, черная метка для всего Рунета?

– Нужно понимать, что DPI – мощнейший современный инструмент, и как он будет использован , зависит от моральных и профессиональных принципов тех людей, в чьих руках он окажется. Так, DPI позволяет выполнять огромное количество полезной для сети работы – многие мировые провайдеры применяют ее для контроля и балансировки своего трафика, мобильные операторы с ее помощью собирают подробную статистику для каждого отдельного пользователя, технология дает возможность адаптивно управлять скоростью передачи отдельных пакетов (QoS) и многое другое. В целом DPI обеспечивает огромное количество уникальных возможностей в широком спектре – от высококачественного шейпинга до создания продвинутых шпионских систем типа PRISM.

....

 

[vasek00]

49 минут назад, IgaX сказал:

 - если только наугад по номеру порта, а его вот поменять и .. усе .. ушел под воду.

Это уже пройденный этап - пользователю остается оперативно отслеживать мену порта и IP.

[IgaX]

1 минуту назад, vasek00 сказал:

Это уже пройденный этап - пользователю остается оперативно отслеживать мену порта и IP.

даже ведущие антивирусы нифига не детектяд в запаролированных архивах .. и вот, например, ovpn мимикровал на, например, 8531-й и .. эм .. скажем, превратился в "wsus over https", tls1.2 пройден, rsa под 2048, dhe под 2048 или ecdhe под 256, csr и crt шли с sha-2 .. и какие действия? и вот dpi прямо вот сразу по зубам от TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 или TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 .. а есть и выше, но перформанс .. имхо dpi даже не узнает, что там внутри нет http .. или, может, в следующей жизни =) но если по-чесноку - правоверные даже не посмотрят на 8531-й, пока не покажут, а их там вагон, где встать можно.

[vasek00]

56 минут назад, IgaX сказал:

даже ведущие антивирусы нифига не детектяд в запаролированных архивах .. и вот, например, ovpn мимикровал на, например, 8531-й и .. эм .. скажем, превратился в "wsus over https", tls1.2 пройден, rsa под 2048, dhe под 2048 или ecdhe под 256, csr и crt шли с sha-2 .. и какие действия? и вот dpi прямо вот сразу по зубам от TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 или TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 .. а есть и выше, но перформанс .. имхо dpi даже не узнает, что там внутри нет http .. или, может, в следующей жизни =) но если по-чесноку - правоверные даже не посмотрят на 8531-й, пока не покажут, а их там вагон, где встать можно.

С начала эту сессию нужно начать

[Le ecureuil]

Вы забываете про статистический анализ. Пакеты от обычного HTTPS и от OpenVPN/TLS сильно отличаются по статистическим особенностям размера и характера передачи во времени.

[IgaX]

1 час назад, Le ecureuil сказал:

про статистический анализ

=)

как серфинг и voip .. но педалируя до tcp congestion с паттерном уже будет проблематично

[KorDen]

Проще заблокировать control-channel OpenVPN по содержимому пакета, которое особо не обфусцируется.

Для раздумья: есть такие вещи как штатное openvpn'овское port-share либо мультиплексоры типа sslh, позволяющие запустить OpenVPN в TCP на 443 порту одновременно с вебсервером. Удобно для работы из всяких местечковых wifi-сетей (типа кампусовых сетей университетов), на которых до сих пор доступ в интернет через HTTP-прокси, отдающееся через WPAD. Если мультиплексор легко детектит тип до хендшейка - то и DPI сможет, и стойкость шифров тут ни при чем.

Это надо либо туннелировать через SSH (впрочем, в китае и это режется - тупо скорость SSH делается такой, что в консоли работать номрмально, но как прокси - невозможно, медленно), либо через https и какой-нибудь websockets. Оверхед правда будет огого...

Изменено 1 июня, 2017 пользователем KorDen

[IgaX]

16 минут назад, KorDen сказал:

штатное openvpn'овское port-share

проксирование самим openvpn.

я ж говорю, tls1.2, дерзайте с dpi, остальные уже некошерные вроде .. как разгрызут как раз неубиваемый 1.3 подойдет .. как этот разгрызут, надеюсь, уже Марс или Луну начнем колонизировать и на эту хрень кому чего запрещать времени уже не будет =)

ну вот где там в tls-хендшейке есть возможность привязаться к разграничению на уровне application? .. к тому моменту cipher suite уже взлетает и усеее .. хава нагила =)

[vasek00]

tls для шифрования только начала соединения (handshake, тут не зашифрованная инфа), далее соединение установлено и вся инфа шифруется с помощью SSL

openvpn это тоннель зашифрованный вне зависимости от tls.

Скрытый текст

В полном комплекте что было на 2012год http://nag.ru/articles/article/22432/dpi.html

2016год "Защита от кибератак расшифровка SSL" http://www.jetinfo.ru/stati/zaschita-ot-kiberatak-rasshifrovka-ssl

Так же наверное уже читали 2016год лето "Как легко расшифровать SSL-трафик ...." https://roem.ru/26-08-2016/231745/novosibirsk-privacy/

 

 

 

 

[IgaX]

10 часов назад, vasek00 сказал:

tls для шифрования только начала соединения (handshake, тут не зашифрованная инфа), далее соединение установлено и вся инфа шифруется с помощью SSL

openvpn это тоннель зашифрованный вне зависимости от tls.

Вроде при --key-method 2 используется TLS PRF function, так что формально туннель используется.

10 часов назад, vasek00 сказал:

  Показать содержимое

В полном комплекте что было на 2012год http://nag.ru/articles/article/22432/dpi.html

2016год "Защита от кибератак расшифровка SSL" http://www.jetinfo.ru/stati/zaschita-ot-kiberatak-rasshifrovka-ssl

Так же наверное уже читали 2016год лето "Как легко расшифровать SSL-трафик ...." https://roem.ru/26-08-2016/231745/novosibirsk-privacy/

Имхо, что важно:

1) Сбивают, видимо, в основном на ClientHello, где plain text и SNI, да и вообще надо смотреть все оптимизации и extensions;
2) Если очень захотеть, то можно заодно подвязать к ALPN extension (если его используют);
3) В теории, можно дополнительно верифицировать по сертификату в ServerHello, а то, вдруг, не та бездна;
4) Если dpi с mitm, то совсем незаметно выйдет только если "втюхать" в "trusted"-хранилище клиента левый сертификат или CA его удостоверивший .. просто для корпоративного пространства это норма, но частный доступ - святая корова;
5) Если при этом "борзеть" притворством с trusted chain, то специально обученный проект это выяснит и вся планета скажет "фи";
6) Чтобы дешифровать сессию без очень значительных вычислительных мощностей нужно либо снимать сессионные ключи с того же клиента, либо иметь доступ к приватным ключам (а некоторым службам, по идее, не отказывают), но и там палки в колеса может ставить dhe/ecdhe;
7) Часто сервисы/службы имеют определенный footprint, зная его и имея доступ к определенным исходникам, в теории, можно стоять незаметно под фонарем открытых портов даже для продвинутых зондеркоманд.

Так что .. на мой взгляд, - не те джунгли, где dpi может быть комфортно.

Изменено 2 июня, 2017 пользователем IgaX

[vasek00]

12 часа назад, IgaX сказал:

6) Чтобы дешифровать сессию без очень значительных вычислительных мощностей нужно либо снимать сессионные ключи с того же клиента, либо иметь доступ к приватным ключам (а некоторым службам, по идее, не отказывают), но и там палки в колеса может ставить dhe/ecdhe;

Так что .. на мой взгляд, - не те джунгли, где dpi может быть комфортно.

Опять же фишка в том, что данное устройство в маршруте пакета стоит в разрыве между клиентом и сервером, т.е. Сервер ----- устройство ---- Клиент. Он клиент будет думать что работает с сервером хотя на самом деле он работает с устройством.

На счет комфортности, тут вы не правы так как в настоящие время железки уже есть http://www.qtech.ru/catalog/dp/, цена по нашим меркам существенная но для верхней 10 провайдеров/связи она посильна.

Интересен DPI в качестве приорит.трафика и фильтрация - xt_nDPI  https://github.com/vel21ripn/nDPI/tree/netfilter

Скрытый текст

#iptables -m ndpi --help

ndpi match options:
--ftp Match for FTP protocol packets.
--pop Match for POP protocol packets.
--smtp Match for SMTP protocol packets.
--imap Match for IMAP protocol packets.
--dns Match for DNS protocol packets.
--ipp Match for IPP protocol packets.
--http Match for HTTP protocol packets.
--mdns Match for MDNS protocol packets.
--ntp Match for NTP protocol packets.
--netbios Match for NETBIOS protocol packets.
--nfs Match for NFS protocol packets.
--ssdp Match for SSDP protocol packets.
--bgp Match for BGP protocol packets.
--snmp Match for SNMP protocol packets.
--xdmcp Match for XDMCP protocol packets.
--smb Match for SMB protocol packets.
--syslog Match for SYSLOG protocol packets.
--dhcp Match for DHCP protocol packets.
--postgres Match for PostgreSQL protocol packets.
--mysql Match for MySQL protocol packets.
--tds Match for TDS protocol packets.
--ddl Match for DirectDownloadLink protocol packets.
--i23v5 Match for I23V5 protocol packets.
--applejuice Match for AppleJuice protocol packets.
--directconnect Match for DirectConnect protocol packets.
--socrates Match for Socrates protocol packets.
--winmx Match for WinMX protocol packets.
--vmware Match for VMWare protocol packets.
--pando Match for PANDO protocol packets.
--filetopia Match for Filetopia protocol packets.
--iMESH Match for iMESH protocol packets.
--kontiki Match for Kontiki protocol packets.
--openft Match for OpenFT protocol packets.
--fasttrack Match for Kazaa protocol packets.
--gnutella Match for Gnutella protocol packets.
--edonkey Match for eDonkey protocol packets.
--bittorrent Match for Bittorrent protocol packets.
--off Match for OFF protocol packets.
--avi Match for AVI protocol packets.
--flash Match for Flash protocol packets.
--ogg Match for OGG protocol packets.
--mpeg Match for MPEG protocol packets.
--quicktime Match for QuickTime protocol packets.
--realmedia Match for RealMedia protocol packets.
--windowsmedia Match for Windowsmedia protocol packets.
--mms Match for MMS protocol packets.
--xbox Match for XBOX protocol packets.
--qq Match for QQ protocol packets.
--move Match for MOVE protocol packets.
--rtsp Match for RTSP protocol packets.
--feidian Match for Feidian protocol packets.
--icecast Match for Icecast protocol packets.
--pplive Match for PPLive protocol packets.
--ppstream Match for PPStream protocol packets.
--zattoo Match for Zattoo protocol packets.
--shoutcast Match for SHOUTCast protocol packets.
--sopcast Match for SopCast protocol packets.
--tvants Match for TVAnts protocol packets.
--tvuplayer Match for TVUplayer protocol packets.
--veohtv Match for VeohTV protocol packets.
--qqlive Match for QQLive protocol packets.
--thunder Match for Thunder protocol packets.
--soulseek Match for Soulseek protocol packets.
--gadugadu Match for GaduGadu protocol packets.
--irc Match for IRC protocol packets.
--popo Match for Popo protocol packets.
--jabber Match for Jabber protocol packets.
--msn Match for MSN protocol packets.
--oscar Match for Oscar protocol packets.
--yahoo Match for Yahoo protocol packets.
--battlefield Match for Battlefield protocol packets.
--quake Match for Quake protocol packets.
--vrrp Match for VRRP protocol packets.
--steam Match for Steam protocol packets.
--hl2 Match for Halflife2 protocol packets.
--worldofwarcraft Match for World_of_Warcraft protocol packets.
--telnet Match for Telnet protocol packets.
--stun Match for STUN protocol packets.
--ipsec Match for IPSEC protocol packets.
--gre Match for GRE protocol packets.
--icmp Match for ICMP protocol packets.
--igmp Match for IGMP protocol packets.
--egp Match for EGP protocol packets.
--sctp Match for SCTP protocol packets.
--ospf Match for OSPF protocol packets.
--ipip Match for IP_in_IP protocol packets.
--rtp Match for RTP protocol packets.
--rdp Match for RDP protocol packets.
--vnc Match for VNC protocol packets.
--pcanywhere Match for PCAnywhere protocol packets.
--ssl Match for SSL protocol packets.
--ssh Match for SSH protocol packets.
--usenet Match for USENET protocol packets.
--mgcp Match for MGCP protocol packets.
--iax Match for IAX protocol packets.
--tftp Match for TFTP protocol packets.
--afp Match for AFP protocol packets.
--stealthnet Match for StealthNet protocol packets.
--aimini Match for Aimini protocol packets.
--sip Match for SIP protocol packets.
--truphone Match for Truphone protocol packets.
--icmpv6 Match for ICMPv6 protocol packets.
--dhcpv6 Match for DHCPv6 protocol packets.
--armagetron Match for Armagetron protocol packets.
--crossfire Match for CrossFire protocol packets.
--dofus Match for Dofus protocol packets.
--fiesta Match for Fiesta protocol packets.
--florensia Match for Florensia protocol packets.
--guildwars Match for Guildwars protocol packets.
--httpactivesync Match for HTTP_Application_Activesync protocol packets.
--kerberos Match for Kerberos protocol packets.
--ldap Match for LDAP protocol packets.
--maplestory Match for MapleStory protocol packets.
--mssql Match for msSQL protocol packets.
--pptp Match for PPTP protocol packets.
--warcraft3 Match for WARCRAFT3 protocol packets.
--wokf Match for World_of_Kung_Fu protocol packets.
--meebo Match for MEEBO protocol packets.
--facebook Match for FaceBook protocol packets.
--twitter Match for Twitter protocol packets.
--dropbox Match for DropBox protocol packets.
--gmail Match for Gmail protocol packets.
--gmaps Match for Google_Maps protocol packets.
--youtube Match for YouTube protocol packets.
--skype Match for Skype protocol packets.
--google Match for Google protocol packets.
--dcerpc Match for DCE_RPC protocol packets.
--netflow Match for NetFlow_IPFIX protocol packets.
--sflow Match for sFlow protocol packets.
--httpconnect Match for HTTP_Connect_SSL_over_HTTP protocol packets.
--httpproxy Match for HTTP_Proxy protocol packets.
--citrix Match for Citrix protocol packets.
--netflix Match for Netflix protocol packets.
--lastfm Match for LastFM protocol packets.
--grooveshark Match for Grooveshark protocol packets.
--skyfileprepaid Match for SkyFile_Prepaid protocol packets.
--skyfilerudics Match for SkyFile_Rudics protocol packets.
--skyfilepostpaid Match for SkyFile_Postpaid protocol packets.
--citrixonline Match for CitrixOnline protocol packets.
--apple Match for Apple_iMessage_FaceTime protocol packets.
--webex Match for Webex protocol packets.
--wgatsapp Match for WhatsApp protocol packets.
--appleicloud Match for Apple_iCloud protocol packets.
--viber Match for Viber protocol packets.
--appleitunes Match for Apple_iTunes protocol packets.
--radius Match for Radius protocol packets.
--windowsupdate Match for Windows_Update protocol packets.
--teamviewer Match for TeamViewer protocol packets.
--tuenti Match for Tuenti protocol packets.
--lotusnotes Match for Lotus_Notes protocol packets.
--sap Match for SAP protocol packets.
--gtp Match for GTP protocol packets.
--upnp Match for uPnP protocol packets.
--llmnr Match for LLMNR protocol packets.
--remotescan Match for Remote_Scan protocol packets.
--spotify Match for Spotify protocol packets.
--webm Match for WebM protocol packets.
--h323 Match for H323 protocol packets.
--openvpn Match for OpenVPN protocol packets.
--noe Match for NOE protocol packets.
--ciscovpn Match for CiscoVPN protocol packets.
--teamspeak Match for Teamspeak protocol packets.
--tor Match for TOR protocol packets.
--rsync Match for Skinny protocol packets.
--skinny Match for Corba protocol packets.
--rtcp Match for RTCP protocol packets.
--rsync Match for RSync protocol packets.
--oracle Match for Oracle protocol packets.
--corba Match for Corba protocol packets.
--ubuntuone Match for UbuntuOne protocol packets.

 

Изменено 3 июня, 2017 пользователем vasek00

[IgaX]

1 час назад, vasek00 сказал:

Опять же фишка в том, что данное устройство в маршруте пакета стоит в разрыве между клиентом и сервером, т.е. Сервер ----- устройство ---- Клиент. Он клиент будет думать что работает с сервером хотя на самом деле он работает с устройством.

Нет тут никакой фишки. На устройство завернули, предъявили фейковый сертификат, клиент слопал, после чего устройство прямо совершает невозможное и открывает туннель в сторону настоящей цели и пропускает через себя все. В том же браузере виден сертификат конца туннеля - не надо думать, что устройство никто не заметит, если имитировать этот конец.

Фишка будет, когда пров скажет, что для доступа к интернету установите наш удостоверяющий центр в целях борьбы .. не знаю .. чего там жить мешает .. с лестницами, риск падения с которых почти в 3 раза превышает риск нападения с применением огнестрельного оружия.

1 час назад, vasek00 сказал:

Интересен DPI в качестве приорит.трафика и фильтрация

Угу, уже давно .. а там м.б. и заодно удобный L7-роутинг .. и все остальное за что голосовали =)

Изменено 3 июня, 2017 пользователем IgaX

[vasek00]

58 минут назад, IgaX сказал:

Нет тут никакой фишки.

Угу, уже давно .. а там м.б. и заодно удобный L7-роутинг .. и все остальное за что голосовали =)

Про то и речь.

Про DPI уже было упоминание - что его в реализации не будет, но думаю время покажет и все расставит по местам.