En introduksjon i å skjule din OpenVPN trafikk

Det er verdt å notere at begrensinger på internett har blitt innstrammet. Myndigheter er mer bekymret om bruken av OpenVPN og gjør mer og mer for å øke begrensingene. Kinas Brannmur har vært ganske så effektiv så langt og har klart å blokkere flere VPN leverandører innenfor og utenfor Kina.

Det er umulig å se data som blir kryptert i en VPN tunnel. Sofistikerte brannmurer bruker DPI (Deep Packet Inspection) teknikker effektivt som er i stand til å løse opp alle krypteringsteknikker som er i bruk, inklusiv SSL kryptering.

Det er mange løsninger på problemet, men de fleste av disse krever teknisk kunnskap om server konfigurasjon. Formålet med denne artikkelen er å introdusere de forskjelige mulighetene som du har tilgjengelig. Hvis du er bekymret angående skjuling av dine VPN signaler og om port 443 forwarding mangler, så må du ta kontakt med din VPN leverandør for å forsikre at de er villige til å implementere løsningene nevnt nedenfor.

Port forwarding gjennom TCP port 443

Dette er en av de enkleste metodene og kan lett gjøres uten problemer. Du vil ikke trenge server-side teknisk ekspertise og det bør fungere i nesten alle tilfeller for å forwarde din OpenVPN via port 443.

Du må huske på at OpenVPN som standard bruker TCP port 80. Normalt sett, så er brannmurer ansvarlige for administrasjon av port 80 og avviser kryptert trafikk som prøver å bruke porten. Når det gjelder HTTPS så er port 443 satt som hovedport som standard. Porten er mest brukt på nett av giganter som Twitter, banker, Gmail og andre nettjenester.

OpenVPN som HTTPS bruker SSL koding og er relativt vanskelig å identifisere med port 443. Blokkering av porten vil fullstendig blokkere tilgang til internett og er dermed ikke et praktisk alternativ for web sensur.

Forwarding av porten er universelt støttet av nesten alle OpenVPN klienter, som gjør det veldig lett for deg å endre port 443. Hvis tilfellet er at din VPN leverandør ikke tilbyr en slik klient, så bør du kontakte dem umiddelbart.

Uheldigvis, så bruker ikke OpenVPN standard SSL og med tankte på Deep Inspection teknikkene som brukes i land som Kina, så er det enklere å se om den krypterte trafikken er ekte. Hvis dette er tilfellet, så må ukonvensjonelle metoder vurderes for å unngå å bli oppdaget.

Obfsproxy

Serveren omslutter dataen i et diffust lag som gjør det vanskeligere å identifisere om OpenVPN blir brukt. Denne strategien ble nylig brukt av Tor for å takle Kina og deres tiltak for å blokkere tilgang til offentlige Tor nettverk. Det er selvstyrende og kan enkelt bli kryptert av OpenVPN.

Obfsproxy må installeres på klientens datamaskin samt på VPN serveren. Når det er sagt, så er det ikke like sikkert sammenlignet med andre tunneleringsmetoder. Det omslutter ikke trafikken i koding, men det har lavere overhead på båndbredden. Dette gjør det til et effektiv alternativ for brukere som befinner seg i steder som Syria eller Etiopia, hvor det er mindre båndbredde tilgjengelig. Obfsproxy er relativt enkelt å konfigurere og sette opp som er et pluss.

SSL tunnelering for OpenVPN

En Secure Socket Layer (SSL) kanal kan individuelt bli brukt som en effektivt erstatning for OpenVPN. Mange proxy servere bruker det for å beskytte sine tilkoblinger. I tillegg, så skjuler det bruken av OpenVPN. Siden OpenVPN bruker TLS eller SSL kryptering, så er det helt annerledes fra den vanlige SSL kanalen og er enklere å oppdage for kompliserte DPI-er. For å unngå dette, så ville det vært lurt å skjule OpenVPN data i et ekstra lag med koding da DPI-er ikke kan penetrere det ytre laget på SSL kanaler.

Konklusjon

Det sier seg selv at OpenVPN ikke ser annerledes ut enn vanlig SSL trafikk uten Deep Packet Inspection. Dette forsterkes ytterligere hvis OpenVPN er routet gjennom TCP port 443. Men det er slik at land som Kina og Iran er ubøyelige i å kontrollere deres befolkning sin tilgang til internett. Interessant nok, så har de noen av de mest imponerende tekniske systemene på plass for å oppdage skjult trafikk. Ikke bare kan dette føre til et problem for deg, men det er en enda bedre grunn til at du bør ta faktorene nevnt tidligere til betraktning.