Tosha Опубликовано 27 июля, 2017 · Жалоба И всё это ложный канал. А настоящий такой же, но ещё в два раза секьюрней и через прямой спутниковый канал. Нет, так недостаточно секюрно. Лучше прямой квантовый канал на запутанных частицах. Прямо сквозь Землю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fhunter Опубликовано 27 июля, 2017 (изменено) · Жалоба Кстати интересно а как они будут детектить OlpenVPN который по нестандартному порту работает? а если яего повешаю на 80 порт? С этим проблем не вообще! DPI решает. Date first seen Duration Proto DPI Proto Flows(%) Packets(%) Bytes(%) pps bps bpp ... 2017-07-06 16:24:58.958 28497.152 any GRE 11394( 0.1) 82.2 M( 0.5) 42.5 G( 0.3) 2883 11.9 M 517 ... 2017-07-06 16:24:58.958 28497.152 any pkt-krb-ipsec 11394( 0.1) 60.9 M( 0.4) 31.3 G( 0.2) 2137 8.8 M 513 ... 2017-07-06 16:24:58.958 28497.152 any openvpn 11394( 0.1) 27.1 M( 0.2) 17.2 G( 0.1) 951 4.8 M 634 ... 2017-07-06 16:24:58.958 28497.152 any l2tp 11394( 0.1) 20.6 M( 0.1) 8.6 G( 0.1) 721 2.4 M 419 ... 2017-07-06 16:24:58.958 28497.153 any ssh 11394( 0.1) 8.9 M( 0.1) 7.0 G( 0.1) 311 2.0 M 789 ... 2017-07-06 16:24:58.958 28497.152 any ipsec-nat-t 11394( 0.1) 8.8 M( 0.1) 5.3 G( 0.0) 308 1.5 M 601 ... И как тогда сделать возможность недетектирование OlpenVPN таким способом? Имитировать обычное HTTPS или TLS соединение? После обмена ключами - делать можно что угодно поверх этого канала. Штатных средств из коробки, насколько я понимаю, (поправьте если не так) в настоящий момент нет. По крайней мере для телефонов. Для компьютера с linux/роутера - можно где-то за час наколхозить из командной строки. PS. https://serverfault.com/questions/675553/stunnel-vpn-traffic-and-ensure-it-looks-like-ssl-traffic-on-port-443 PPS. Но соединение активное и долгоживущее - как сказано в ссылке выше - всё равно детектироваться будет. Изменено 27 июля, 2017 пользователем fhunter Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 27 июля, 2017 · Жалоба user PC --> mail_1@gmail.com --> outside_bot --> any_host_request user PC <-- mail_2@gmail.com <-- outside_bot <-- any_host_reply пропадает интерактивность, да. но достать доступное "нечто" "где-то там" один хрен можно, кроме случаев когда с этим "нечто" борются и с другой стороны "где-то там". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edo Опубликовано 27 июля, 2017 · Жалоба PPS. Но соединение активное и долгоживущее - как сказано в ссылке выше - всё равно детектироваться будет. если цель - недектируемость, то, наверное, можно поступить так: поднимаем squid с поключением клиентов по https, разрешаем только connect на localhost. ну а там (поверх tcp) хоть openvpn, хоть ppp. чтобы не было длительных соединений - держим постоянно по 2-3 коннекта, старые периодически убиваем. наверное, mlppp тут будет в тему, но опыта использования не имею. можно попробовать l2 openvpn и bonding/lacp поверх или l3 и ospf. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edo Опубликовано 27 июля, 2017 · Жалоба конечно, будет детектиться по трафику на отдельный хост, но то, что там vpn внутри https, задетектировать будет практически нереально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 27 июля, 2017 · Жалоба Имитировать обычное HTTPS или TLS соединение?Правильно! Правильно! Главное не забывать аутентифицироваться по клиентским сертификатам. Пусть «товарищ Майор» лопнет... Со смеху! И ротацию ключей RFC5077 отключить (или в некоторых случаях и не включать). TLS — вотчина интернет-компаний. TLS разрабатывался Нетскейпом: одной из первых инетрнет-компаний. Он защищает интересы интернет-компаний. Не твои. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 27 июля, 2017 · Жалоба А ещё можно ppp over ssh. Тоже задетектить vpn невозможно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 27 июля, 2017 · Жалоба Правильно! Правильно! Главное не забывать аутентифицироваться по клиентским сертификатам. Пусть «товарищ Майор» лопнет... Со смеху! И ротацию ключей RFC5077 отключить (или в некоторых случаях и не включать). Вот надоел странный аргумент с клиентским сертификатами. Ну знает прослушивающий, что по договору номер xyz постоянно шифрованное соединение на адрес a.b.c.d бывает. Есть там в соединении видимый клентский сертификат или нет - ровном счетом ничего не меняет же. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 27 июля, 2017 (изменено) · Жалоба Главное не забывать аутентифицироваться по клиентским сертификатам. я таки-стесняюсь спросить - а зачем здесь клиентский сертификат? ибо наиглупейшая и абсолютно бесполезная (в рамках текущих RFC) сущность? Изменено 27 июля, 2017 пользователем zurz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 27 июля, 2017 · Жалоба я таки-стесняюсь спросить - а зачем здесь клиентский сертификат? ибо наиглупейшая и абсолютно бесполезная (в рамках текущих RFC) сущность? Это какая-то непонятная страшилка. Я, например, упорно не могу понять, чем именно в этом контексте пугают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edo Опубликовано 27 июля, 2017 · Жалоба ну как я понимаю, если я со своим сертификатом подключился через кучу анонимайзеров к серверу в РФ, то товарищ майор таки узнает, что я подключался к этому серверу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 27 июля, 2017 · Жалоба ну как я понимаю, если я со своим сертификатом подключился через кучу анонимайзеров к серверу в РФ, то товарищ майор таки узнает, что я подключался к этому серверу. Если цель именно совсем анонимизироваться, то ничего не получилось уже в тот момент, когда товарищ майор почему-то узнал. что это именно мой сертификат. Все что дальше - уже неважно. Параноики, которым нужен подобный уровень анонимности, должны стараться лучше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 27 июля, 2017 · Жалоба я таки-стесняюсь спросить - а зачем здесь клиентский сертификат?Надо было через через слово тег «ирония» вставить? Сертификаты TLS передаются в открытом виде, и я не знаю способа глупее выдать «товарищу Майору» долговременную криптографическую метку трафика. RFC5077 тоже передаётся в открытом виде. Если использование не отключено — а оно у 99.999% не отключено — то также формирует метку трафика, не такую долговременную как сертификат, но вполне-себе значимую. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 27 июля, 2017 · Жалоба Сертификаты TLS передаются в открытом виде, и я не знаю способа глупее выдать «товарищу Майору» долговременную криптографическую метку трафика. И черт с ним. Смотри выше. Кому это настолько критично - должны делать так, чтобы никакие подобные метки к ним не привязывались. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 27 июля, 2017 · Жалоба Кому это настолько критично - должны делать так, чтобы никакие подобные метки к ним не привязывались. Говорю же: ирония. Есть идиотское мнение — ИМХО посеянное в наши мозги Циммерманом — что если AES-256-пышь-пыщь, то и за жопу не возьмут. Очень иронично, на самом деле, т.к. критику DSA и схожих схем я очень давно вычитал именно на его сайте... Да и ZRTP он разрабатывал уже совсем по другим принципам. Жалко, что ему не хватил крепости яиц публично похоронить PGP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ttttt Опубликовано 27 июля, 2017 · Жалоба если цель - недектируемость Обход DPI в общем-то не проблема, много людей над этим давно работает, обфускация тем же торовским obfs4 не детектится никаким DPI. Можно в него завернуть openvpn, openvpn вроде умеет через сокс прокси ходить, а торовский транспортный протокол PT можно превратить в сокс прокси, хоть через сам тор, хоть напрямую через что-то типа pluggabletransportadapter. Терроризировать же людей дропаньем пакетов у зашифрованных соединений и временным отключением интернета за неповиновение режиму и перегон любых неопознанных байтов не будет так просто реализовать у провайдеров России. Но очевидно, что недетектируемость не сама цель. Цель - пользоваться нормальным интернетом одной кнопкой. Т.е. какой-то коммерческий сервис, у которого купить доступ и забыть о проблеме. Но здесь другого типа сложности, как это рекламировать и как деньги с людей брать, чтобы это было sustainable. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fhunter Опубликовано 27 июля, 2017 · Жалоба Имитировать обычное HTTPS или TLS соединение?Правильно! Правильно! Главное не забывать аутентифицироваться по клиентским сертификатам. Пусть «товарищ Майор» лопнет... Со смеху! И ротацию ключей RFC5077 отключить (или в некоторых случаях и не включать). TLS — вотчина интернет-компаний. TLS разрабатывался Нетскейпом: одной из первых инетрнет-компаний. Он защищает интересы интернет-компаний. Не твои. Блин. 0) адекватные настройки SSL/TLS - это уже по-дефолту. (недефолтные параметры DH, нормальный набор методов шифрования и т.д.) a) да, только vpn-сервер контролируете вы. при других раскладах это совсем не интересно. тем более что для личных целей получается ну совсем дёшево. б1) клиентский сертификат содержать в себе чего либо ценного с точки зрения идентификации вообще не обязан. Вплоть до самоподписанного с левыми данным, лишь бы его сервер на той стороне принимал. б2) ну ок, можно нагенерить таких несколько десятков и периодически их менять. ну увидит "товарищ майор" самоподписанный сертификат с пустыми/левыми полями - что дальше? в) в случае с тоннелем через TLS - клиентский сертификат помогает закрыться от активной атаки - "потыкать палочкой в этот порт - а там точно https как нашлось?" Вопрос был - как замаскировать VPN от DPI. точка. Модель угроз - фильтрация VPN системами DPI, ничего другого описанная схема не решает. Задача - вывести трафик из юрисдикции текущей страны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ff.0xff Опубликовано 28 июля, 2017 · Жалоба Меня просто одного сдесь начинает напрягать сталинский режим в росссии касательно интернета? я вот за границей по VPN работаю, и че мне блин теперь постоянно ключи им передавать, они там каждые сутки меняются, это внутрнние правло безопасности компании с которой я работаю... брет какой то.... Обход DPI в общем-то не проблема, много людей над этим давно работает, обфускация тем же торовским obfs4 не детектится никаким DPI. Классная идея - я даже об этом как то не подумал Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergoINFOLAN Опубликовано 28 июля, 2017 · Жалоба Терроризировать же людей дропаньем пакетов у зашифрованных соединений и временным отключением интернета за неповиновение режиму и перегон любых неопознанных байтов не будет так просто реализовать у провайдеров России. почему? Цель - пользоваться нормальным интернетом одной кнопкой. Т.е. какой-то коммерческий сервис, у которого купить доступ и забыть о проблеме. Но здесь другого типа сложности, как это рекламировать и как деньги с людей брать, чтобы это было sustainable.такой интернет и такой сервис очевидно будет ЗАПРЕЩЁН на территории РФ.Уже сейчас VPN тормозит и это не 1 кнопка... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 28 июля, 2017 · Жалоба Меня просто одного сдесь начинает напрягать сталинский режим в росссии касательно интернета? Ну пока же не сдаете ключи. А если и потребуют сдавать - то не вас а компанию. Впрочем, если ваша компания не будет позволять вам интернет без фильтрации запрещенной информации (или позволит, но вы не будете об этом хвастаться) то никто не будет вам ничего отключать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ttttt Опубликовано 28 июля, 2017 · Жалоба почему? Ну сложно, дорого, долго, слишком много провайдеров. Но, конечно, если будет к этому идти, то хватает методов спрятаться. такой сервис очевидно будет ЗАПРЕЩЁН на территории РФ В этом и особенность. Сайты сервиса будут постоянно блокировать, нужны будут какие-то альтернативные способы коммуникации, типа чат-боты, email-роботы, и реклама этого всего на неподконтрольных платформах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 28 июля, 2017 · Жалоба б1) клиентский сертификат содержать в себе чего либо ценного с точки зрения идентификации вообще не обязан. Вплоть до самоподписанного с левыми данным, лишь бы его сервер на той стороне принимал.Боже! Сертификат уже содержит открытый ключ. Это фиксированная, высокоэнтропийная строка байт, криптографически связанная с твоим закрытым ключом. *Чем* это грозит, надеюсь, разжёвывать не нужно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 28 июля, 2017 · Жалоба б1) клиентский сертификат содержать в себе чего либо ценного с точки зрения идентификации вообще не обязан. Вплоть до самоподписанного с левыми данным, лишь бы его сервер на той стороне принимал.Боже! Сертификат уже содержит открытый ключ. Это фиксированная, высокоэнтропийная строка байт, криптографически связанная с твоим закрытым ключом. *Чем* это грозит, надеюсь, разжёвывать не нужно? эта "фиксированная, высокоэнтропийная строка байт, криптографически связанная с твоим закрытым ключом" является вектором отслеживания, обнаружения, потенциальной атаки. было бы интересно узнать, каким образом вы собираетесь защищаться от атак подобного рода. Желательно в двух вариантах: если атакующий - из адресного пространства государства в той же юрисдикции, где находится ваше юр.лицо, и ежели нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 28 июля, 2017 · Жалоба от атак подобного родаОт атак *какого* рода? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 28 июля, 2017 · Жалоба И как тогда сделать возможность недетектирование OlpenVPN таким способом? Сколько раз писать: обфусцировать протокол или написать свой обфусцированный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...