Úvod do ukrytí provozu OpenVPN

Stojí za zmínku, že došlo ke zpřísnění internetového omezení po celém světě. Vlády se více zajímají o využití OpenVPN a dělají vše pro to, aby přelstily jejich omezení. Čínská velký firewall je velmi účinný a podařilo se mu zablokovat různé poskytovatele VPN uvnitř i vně Číny.

Je samozřejmé, že je nemožné vidět data šifrována v VPN tunelech. Sofistikované firewally efektivně využívají DPI (Deep Packet Inspection) techniky, které jsou schopné řešit jakékoliv použité šifrovací techniky včetně SSL šifrování.

Existuje mnoho řešení tohoto problému, avšak většina z nich vyžaduje technické znalosti konfigurace serveru. Účelem tohoto článku je představit různé možnosti, které jsou k dispozici. Pokud máte obavy o ukrytí vašich VPN signálů a pokud nemáte k dispozici Port 443 forwarding, pak musíte kontaktovat vašeho dodavatele VPN, aby bylo zajištěno, že jsou ochotní provést některé z řešení uvedených níže.

Port forwarding přes TCP port 443

Jeden z nejjednodušších způsobů, který může být provedený bez jakýchkoliv potíží. Nebudete potřebovat technické znalosti serveru a měl fungovat téměř ve všech případech s cílem přesměrovat vaši OpenVPN přes port 443.

Musíte mít na paměti, že OpenVPN standardně používá TCP port 80. Za normálních okolností, firewally jsou odpovědné za dohled nad portem 80 a odmítnout šifrovanou komunikací, která se ho snaží využít. V případě použití protokolu HTTPS je port 443 nastaven jako primární port ve výchozím nastavení. Port je většinou používán napříč celým internetem společnostmi jako je Twitter, banky, Gmail a dalších webových zdrojích.

OpenVPN stejně jako HTTPS používá SSL kódování a lze je relativně obtížně identifikovat pomocí portu 443. Blokování portu by zamezilo přístup k internetu a v důsledku toho není vhodným řešením pro webové cenzory.

Přesměrování portu je všeobecně podporováno téměř všemi OpenVPN klienty a činí tak změnu port 443 neuvěřitelně jednoduchou. V případě, že váš poskytovatel VPN nabízí tohoto klienta, pak byste ho měli obratem kontaktovat.

Bohužel, OpenVPN nevyužívá standardní SSL a s ohledem na Deep Inspection techniky používané v zemích, jako je Čína, je snazší říci, zda šifrovaný provoz je skutečný. Pokud se jedná o tento případ, pak bude třeba vzít v úvahu nekonvenční prostředky, aby se vyhnuli detekci.

Obfsproxy

Server efektivně uzavírá data do mlžící vrstvy, která ztěžuje určit, zda je OpenVPN používán. Strategie byla nedávno adaptován Tor s cílem čelit Číně a jejím opatření pro blokování přístupu k veřejným sítím Tor. Jedná se o samosprávný program a může být snadno šifrovaný pomocí OpenVPN.

Obfsproxy musí být nainstalován na klientském počítači, stejně jako VPN server. Jak již bylo řečeno, ve srovnání s jinými tunelovými metodami není tak bezpečný ani nekóduje provoz, ale má nižší šířku pásma. Jedná se o efektivní možnost pro uživatele v místech, jako je Sýrie nebo Etiopie, kde je dodávka šířky pásma omezena. Konfigurace a nastavení obfsproxy je poměrně snadné, což je plus.

SSL tunelování pro OpenVPN

Secure Socket Layer (SSL) kanál může být jednotlivě použitý jako účinná náhražka OpenVPN. Mnoho proxy serverů jej používá k ochraně svých spojení. Kromě toho zcela zakrývá použití OpenVPN. Vzhledem k tomu, že OpenVPN používá TLS nebo SSL šifrování, je zcela odlišný od běžného SSL kanálu a je snadněji detekován složitými DPI. Pro zabránění této skutečností, je vhodné skrýt OpenVPN data v další vrstvě kódování, jelikož DPI nejsou schopny proniknout do vnější vrstvy SSL kanálů.

Závěr

Je samozřejmé, že OpenVPN se nijak neliší od běžného SSL provozu bez hloubkové inspekce paketů. To je dále posíleno, pokud OpenVPN je směrována přes TCP port 443. Na druhou stranu však země jako Čína a Írán jsou skálopevně přísné při řízení přístupu jejich místních obyvatel k internetu. Je zajímavé, že disponují některými z nejvíce technicky působivých opatření, které odhalují skrytý provoz. Nejenže vás to může dostat do problémů, ale je to další důvod, proč byste měli vzít úvahu výše uvedené faktory.