Een introductie in het verbergen van OpenVPN verkeer

Het van belang om vast te stellen dat internet beperking overal is verstevigd in de wereld. Overheden maken zich meer zorgen om het gebruik van OpenVPNs en doen wat nodig is om die beperking zoveel mogelijk te omzeilen. China’s Great Firewall is hierin behoorlijk effectief en heeft kans gezien om veel VPN providers in en buiten China te blokkeren.

Natuurlijk is het niet onmogelijk om de data te zien dat versleuteld door VPN tunnels gaat. Zeer goede firewalls maken effectief gebruik van DPI (Deep Packet Inspection) technieken die overweg kunnen met alle versleuteltechnieken die beschikbaar zijn, inclusief SSL encryptie.

Er zijn veel oplossingen voor dit probleem maar de meesten vragen speciale technische kennis van server configuraties. Het doel van dit artikel is om de verschillende opties te bespreken die tot uw dienst styaan. Als u verontrust bent over het verbergen van uw VPN signalen en als poort 443 forwarding niet mogelijk is dan moet u contact opnemen met uw VPN leverancier om er voor te zorgen dat ze één van de onderstaande oplossingen bieden.

Forwarding door TCP poort 443

Dit is één van de makkelijkste manierem en kan worden toegepast zonder grote moeilijkheden. Er is geen diepe server-side kennis nodig in verreweg de meeste gevallen om het OpenVPN verkeer via poort 443 te laten lopen.

Hou hierbij in gedachten dat OpenVPN standaard TCP poort 80 gebruikt. Normaal gesproken houden firewalls poort 80 goed in de gaten en weigeren versleuteld verkeer dat er gebruik van probeert te maken. In het geval van HTTPS, is poort 443 de standaard poort. Deze poort wordt door hete hele web gebruikt, inclusief de reuzen als Twitter, Gmail, banken en nog veel meer webbronnen.

OpenVPN gebruikt net als HTTPS SSL codering en daarom moeilijk te onderscheiden op poort 443. Het helemaal blokkeren op deze poort zou in feite toegang tot veel delen van het web begtekenen en daarom is dat geen praktische oplossing voor web censors.

Forwarding van de poort is gebruikelijk ondersteund door elke OpenVPN client dus maakt het ongelooflijk makkelijk voor je om te wijzigen naar 443. In het geval uw VPN provider dit niet biedt zou u dat meteen moeten vragen

Helaas maakt Open VPN geen gebruik van standaard SSL en als ewe denken aan de DPI technieken in landen als China, is het makkelijk te onderscheiden welk vervekeer echt is. In dat geval is het zaak dit te heroverwegen om detectie te voorkomen.

Obfsproxy

Wat de server hierbij doet, is de date verstoppen in een verstoplaag, obfuscation layer, die het moeilijke maakt om te zien of een OpenVPN wordt gebruikt. Deze trategie is ook gebruikt door Tor om toegang vanuit China mogelijk te maken. En is zelfbeheerd en kan simpelweg worden versleuteld via OpenVPN.

Obfsproxy moet op zowel de client computer als op de VPN server worden geinstalleerd. Dat gezegd zeinde, is is niet zo veilig als andere tunneltechnieken en het sluit geen data in maar het heeft daarom wel een veel kleinere bandbreedte overhead. Dit maakt het tot een effectie optie voor gebruikers in Syrië of Sudan, waar bandbreedte slecht beschikbaar is. Obfsproxy is relatief makkelijk te installeren en op te zetten en dat is een voordeel.

SSL tunnel voor OpenVPN

Een Secure Socket Layer (SSL) kanaal kan insividueel worden gebruikt als een effectieve toevoeging aan OpenVPN. Veel proxy servers gebruiken het om hun verbindingen te beveiligen. Additionaeel verstopt het 't gebruik van OpenVPN. Omdat OpenVPN TSL of SSL encryptie gebruiken, is het geheel anders dan het andere verkeer dat via het SSL kanaal gaat en daarom goed te onderscheppen door DPI's. Daarom is het verstandig om OpenVPN data in een extra beveiligingslaag te gebruiken aangezien DPI's niet in staat zijn om de buitenlaag van SSL kanalen te monitoren.

Conclusie

Het is duidelijk dat OpenVPN verkeer niet anders dan ander versleuteld verkeer met deep packet inspection. Dit kan worden voorkomen door OpenVPN door TCP poort 443 te laten lopen. Maar landen als China en Iran zijn vastbesloten om de internettoegang van hun burgers te beperken. Daarom zie je daar de meest technische hoogstandjes als het gaat om het inspecteren van internetverkeer. Dit kan u in grote problemen brnegen en des te meer reden om bovenstaande tips ter harte te nemen.