FI
English 
Dansk 
Deutsch 
Español 
Français 
Hrvatski 
Indonesia 
Italiano 
Magyar 
Nederlands 
Norsk 
Polski 
Português 
Română 
Svenska 
Tiếng Việt 
Türkçe 
Čeština 
Ελληνικά 
Русский 
Українська 
български 
ไทย 
日本語 
简体中文 
한국어 
עברית 
العربية 
Johdatus OpenVPN-liikenteen piilottamiseen
On syytä huomata, että Internet-rajoitukset ovat kiristyneet ympäri maailmaa. Hallitukset ovat yhä enemmän huolissaan OpenVPN:n käytöstä, ja ne ovat valmiita tekemään kaikkensa niiden käytön rajoittamiseksi. Kiinan palomuuri on ollut tähän asti melko tehokas, sillä se on onnistunut estämään monia VPN-palveluita sekä Kiinassa että sen ulkopuolella.
On sanomattakin selvää, että VPN-tunnelilla salattuja tietoja on mahdotonta nähdä. Kehittyneet palomuurit hyödyntävät DPI (Deep Packet Inspection) -tekniikoita, jotka pystyvät selviämään kaikista käytetyistä salaustekniikoista SSL-salaus mukaan lukien.
Ongelmaan on olemassa monia ratkaisuja, mutta useimmat niistä vaativat teknistä palvelinosaamista. Tässä artikkelissa esitellään erilaisia käytettävissä olevia vaihtoehtoja. Jos olet huolissasi VPN-signaalien piilottamisesta eikä portin 443 ohjaus riitä, sinun tulee ottaa yhteyttä VPN-palveluntarjoajaasi ja varmistaa, että se on valmis toteuttamaan jonkin alla ehdotetuista ratkaisuista.
Porttiohjaus TCP-portin 443 kautta
Tämän helpon ratkaisun käyttöönotto onnistuu ilman mitään ongelmia. Sinulta ei vaadita teknistä palvelinosaamista, jotta voit ohjata OpenVPN:n käyttämään porttia 443.
Pidä mielessä, että OpenVPN käyttää tavallisesti TCP-porttia 80. Tavallisesti palomuurit valvovat porttia 80 ja estävät kaiken sen kautta kulkevan salatun liikenteen. HTTPS:n tapauksessa oletusporttina on portti 443. Lähes kaikki verkon jättiläiset, kuten Twitter, pankit, Gmail ja muut verkkolähteet, käyttävät tätä porttia.
HTTPS:n tavoin OpenVPN käyttää SSL-koodausta, joten se on melko vaikea tunnistaa portissa 443. Portin estäminen estää suoraan yhteyden muodostamisen Internetiin, minkä vuoksi se ei ole käytännöllinen vaihtoehto verkon sensuroinnissa.
Lähes kaikki OpenVPN-ohjelmat tukevat porttiohjausta, joten portin 443 vaihtaminen on uskomattoman yksinkertainen toimenpide. Mikäli VPN-tarjoajasi et tarjoa sellaista asiakasohjelmaa, ole siihen välittömästi yhteydessä.
Valitettavasti OpenVPN ei käytä tavallista SLL:ää, joten Kiinan kaltaisten maiden käyttämillä Deep Inspection -tekniikoilla on helpompaa selvittää, onko salattu liikenne aitoa vai ei. Tässä tapauksessa tunnistuksen kiertäminen edellyttää epätavallisia keinoja.
Obfsproxy
Palvelin kätkee tiedot salattuun kerrokseen, jolloin OpenVPN:n käytön tunnistaminen on vaikeampaa. Tor on äskettäin ottanut strategian käyttöönsä taistelussaan Kiinan harjoittamaa julkisten Tor-verkkojen estoa vastaan. Se on itsenäinen ja helposti salattavissa OpenVPN:llä.
Obfsproxy tulee asentaa sekä asiakkaan tietokoneelle että VPN-palvelimeen. Tästä huolimatta se ei ole yhtä turvallinen muihin tunnelointimenetelmiin verrattuna eikä se sisällytä liikennettä koodaukseen, mutta se vaatii vähemmän kaistanleveyttä. Näin ollen se on hyvä valinta Syyrian ja Etiopian kaltaisissa maissa, joissa kaistanleveyttä on erittäin rajoitetusti. Obfsproxyn etuihin kuuluu myös se, että se on melko helppo määrittää ja ottaa käyttöön.
SSL-tunnelointi OpenVPN:lle
Secure Socket Layer (SSL) -kanavaa voidaan käyttää erikseen hyvänä vaihtoehtona OpenVPN:lle. Monet välityspalvelimet käyttävät sitä yhteyksien suojaamiseen. Lisäksi se piilottaa täysin OpenVPN:n käytön. Koska OpenVPN käyttää TLS- tai SSL-salausta, se eroaa täysin tavallisesta SSL-kanavasta, minkä vuoksi kehittyneet DPI-järjestelmät tunnistavat sen helpommin. Tämän välttämiseksi on järkevää piilottaa OpenVPN-tiedot ylimääräiseen koodauskerrokseen, sillä DPI ei kykene läpäisemään SSL-kanavan ylintä kerrosta.
Yhteenveto
On sanomattakin selvää, että DPI:n silmissä OpenVPN ei poikkea mitenkään tavallisesta SSL-liikenteestä. Tätä vahvistaa entisestään OpenVPN-liikenteen reitittäminen TCP-portin 443 kautta. Kiinan ja Iranin kaltaiset maat ovat kuitenkin järkkymättömiä tavoitteessaan hallita kansalaistensa Internetin käyttöä. Mielenkiintoista kyllä niillä on käytössään melko edistyksellisiä keinoja piilotetun verkkoliikenteen tunnistamiseksi. Se voi aiheuttaa sinulle ongelmia ja on hyvä syy siihen, miksi sinun pitäisi ottaa edellä mainitut seikat huomioon.
Tietoa kirjoittajasta
Hendrik toimii vpnMentorin toimittajana, erikoistuen VPN-vertailuihin ja käyttäjäoppaisiin. Hänellä on yli 5 vuoden kokemus teknologia- ja tietoturvakirjoittajana sekä tausta yritystason tietotekniikassa. Tämä kokemus tuo hänelle paljon hyödyllisiä näkökulmia VPN-palveluiden testaamiseen ja analyysiin.
Kirjoita ajatuksesi tämän artikkelin parantamiseksi. Palautteesi on meille tärkeää!