מבוא להסתרת תעבורת ה-OpenVPN שלכם

ראוי לציין כי הגבלות אינטרנט התהדקו ברחבי העולם. ממשלות מודאגות יותר לגבי השימוש ב-OpenVPN ועושות מה שצריך כדי להערים על המגבלות שלהם. חומת האש של סין כבר די יעילה בשלב זה והצליחה לחסום ספקי VPN שונים בתוך ומחוץ לסין.

מותר לציין שאי אפשר לראות את הנתונים שמוצפנים במנהרות VPN. חומות אש מתוחכמות עושות שימוש יעיל של טכניקות Deep Packet Inspection (DPI) המסוגלות לפתור את כל טכניקות ההצפנה שמשתמשים בהם כיום, כולל הצפנת SSL.

ישנם פתרונות רבים לבעיה הנ"ל אבל רובם דורשים ידע טכני של תצורות שרת. מטרתו של מאמר זה היא להציג את האפשרויות השונות העומדות לרשותכם. אם אתם מודאגים לגבי הסתרת סימני ה-VPN שלכם, ואם הפניית יציאת 443 לוקה בחסר, אז עליכם ליצור קשר עם ספקי ה-VPN שלכם ולוודא שהם מוכנים ליישם את כל אחד מהפתרונות שיוזכרו פה.

העברת יציאה דרך יציאת TCP 443

אחת הדרכים הקלות ביותר שניתן לטפל בהן ללא קשיים כלשהם. לא תידרש מומחיות טכנית בצד השרת, אשר אמור לעבוד כמעט בכל המקרים על מנת להעביר את ה-OpenVPNשלכם באמצעות יציאת 443.

עליכם לזכור כי OpenVPN כברירת מחדל משתמש ביציאת TCP 80. בדרך כלל, חומות האש אחראיות לפיקוח על יציאת 80 ולדחיית תעבורה מוצפנת שמנסה לעשות בהן שימוש. במקרה של HTTPS, יציאת 443 מוגדרת כיציאה הראשית כברירת מחדל. היציאה משמשת בעיקר בכל רחבי האינטרנט על ידי ענקים כמו טוויטר, בנקים, ג'ימייל ומקורות אחרים באינטרנט.

OpenVPN כמו HTTPS משתמש בקידוד SSL וקשה יחסית לזיהוי עם יציאת 443. חסימת היציאה יחסל לחלוטין גישה לאינטרנט וכתוצאה מכך הוא לא אופציה מעשית לצנזורת אינטרנט.

העברת היציאה נתמכת אוניברסלית על ידי כמעט כל לקוח OpenVPN, דבר המקל עליכם לשנות את יציאת 443. במידה וספק ה-VPN שלכם מציע קליינט כזה, עליכם לפנות אליהם באופן מיידי.

למרבה הצער, OpenVPN לא עושה שימוש ב-SSL סטנדרטי, ובהתחשב בטכניקות הבדיקה המעמיקות בשימוש במדינות כמו סין, קל יותר לדעת אם התעבורה המוצפנת אמיתית. אם זה המקרה, יצטרך להישקל שימוש באמצעים בלתי קונבנציונליים בכדי למנוע זיהוי.

Obfsproxy

השרת סוגר נתונים ביעילות בשכבת ערפול שהופכת אותו קשה לזיהוי, אם OpenVPN נמצא בשימוש. האסטרטגיה הותאמה לאחרונה על ידי Tor כדי להתמודד עם סין והאמצעים שלה לחסום את הגישה לרשתות Tor ציבוריות. זהו שלטון עצמי שבקלות יכול להיות מוצפן על ידי OpenVPN.

יש להתקין Obfsproxy במחשב של הלקוח, כמו גם את שרת ה-VPN. עם זאת, הוא לא כזה מאובטח בהשוואה לשיטות מנהור אחרות והוא גם לא מצרף תעבורה בקידוד, אך יש לו תקורת רוחב פס נמוכה יותר. זוהי אפשרות יעילה עבור משתמשים במקומות כמו סוריה או אתיופיה, או בכל מקום שרוחב הפס סובל מאספקה חמורה. היתרון של Obfsproxy הוא שהוא קל יחסית להגדרה.

מנהור SSL ל-OpenVPN

ערוץ Secure Socket Layer (SSL) יכול בנפרד לשמש תחליף יעיל. שרתי פרוקסי רבים משתמשים בו כדי להגן על החיבורים שלהם.  בנוסף, הוא מסתיר לחלוטין את השימוש בOpenVPN. מאחר ו-OpenVPN משתמש בהצפנת TLS או SSL, הוא שונה לחלוטין מערוץ SSL הרגיל, וקל יותר לזהות אותו על ידי DPI מסובכים. כדי להימנע מכך, יהיה זה חכם להסתיר נתוני OpenVPN בשכבה נוספת של קידוד, מאחר ו-DPI אינם מסוגלים לחדור את השכבה החיצונית של ערוצי SSL.

מסקנה

מיותר לציין כי OpenVPN לא נראה שונה מתעבורת SSL רגילה ללא בדיקת מנות עמוקה.  זו מתחזקת עוד יותר אם OpenVPN מנותב דרך יציאת TCP 443. אך שוב, מדינות כמו סין ואיראן נחושות בדעתן לשלוט על הגישה של האוכלוסייה המקומית שלהם לאינטרנט. באופן מעניין, יש להן כמה מהאמצעים המרשימים ביותר מבחינה טכנית לאיתור תעבורה נסתרת. לא רק שזה יכול לסבך אתכם, אבל זו סיבה טובה עוד יותר לקחת את הגורמים הנ"ל בחשבון.