[Tosha]

И всё это ложный канал. А настоящий такой же, но ещё в два раза секьюрней и через прямой спутниковый канал.

Нет, так недостаточно секюрно. Лучше прямой квантовый канал на запутанных частицах. Прямо сквозь Землю.

[fhunter]

Кстати интересно а как они будут детектить OlpenVPN который по нестандартному порту работает? а если яего повешаю на 80 порт?

С этим проблем не вообще! DPI решает.

 

Date first seen          Duration Proto DPI Proto                                   Flows(%)      Packets(%)        Bytes(%)      pps      bps   bpp
...
2017-07-06 16:24:58.958 28497.152 any   GRE                                     11394(  0.1)   82.2 M(  0.5)   42.5 G(  0.3)     2883   11.9 M   517
...
2017-07-06 16:24:58.958 28497.152 any   pkt-krb-ipsec                           11394(  0.1)   60.9 M(  0.4)   31.3 G(  0.2)     2137    8.8 M   513
...
2017-07-06 16:24:58.958 28497.152 any   openvpn                                 11394(  0.1)   27.1 M(  0.2)   17.2 G(  0.1)      951    4.8 M   634
...
2017-07-06 16:24:58.958 28497.152 any   l2tp                                    11394(  0.1)   20.6 M(  0.1)    8.6 G(  0.1)      721    2.4 M   419
...
2017-07-06 16:24:58.958 28497.153 any   ssh                                     11394(  0.1)    8.9 M(  0.1)    7.0 G(  0.1)      311    2.0 M   789
...
2017-07-06 16:24:58.958 28497.152 any   ipsec-nat-t                             11394(  0.1)    8.8 M(  0.1)    5.3 G(  0.0)      308    1.5 M   601
...

И как тогда сделать возможность недетектирование OlpenVPN таким способом?

Имитировать обычное HTTPS или TLS соединение? После обмена ключами - делать можно что угодно поверх этого канала. Штатных средств из коробки, насколько я понимаю, (поправьте если не так) в настоящий момент нет. По крайней мере для телефонов. Для компьютера с linux/роутера - можно где-то за час наколхозить из командной строки.

PS. https://serverfault.com/questions/675553/stunnel-vpn-traffic-and-ensure-it-looks-like-ssl-traffic-on-port-443

PPS. Но соединение активное и долгоживущее - как сказано в ссылке выше - всё равно детектироваться будет.

Изменено 27 июля, 2017 пользователем fhunter

[zurz]

user PC --> mail_1@gmail.com --> outside_bot --> any_host_request

user PC <-- mail_2@gmail.com <-- outside_bot <-- any_host_reply

пропадает интерактивность, да.

но достать доступное "нечто" "где-то там" один хрен можно, кроме случаев когда с этим "нечто" борются и с другой стороны "где-то там".

[edo]

PPS. Но соединение активное и долгоживущее - как сказано в ссылке выше - всё равно детектироваться будет.

если цель - недектируемость, то, наверное, можно поступить так: поднимаем squid с поключением клиентов по https, разрешаем только connect на localhost. ну а там (поверх tcp) хоть openvpn, хоть ppp.

чтобы не было длительных соединений - держим постоянно по 2-3 коннекта, старые периодически убиваем.

 

наверное, mlppp тут будет в тему, но опыта использования не имею. можно попробовать l2 openvpn и bonding/lacp поверх или l3 и ospf.

[edo]

конечно, будет детектиться по трафику на отдельный хост, но то, что там vpn внутри https, задетектировать будет практически нереально.

[Macil]

Имитировать обычное HTTPS или TLS соединение?

Правильно! Правильно! Главное не забывать аутентифицироваться по клиентским сертификатам. Пусть «товарищ Майор» лопнет... Со смеху! И ротацию ключей RFC5077 отключить (или в некоторых случаях и не включать).

 

TLS — вотчина интернет-компаний. TLS разрабатывался Нетскейпом: одной из первых инетрнет-компаний. Он защищает интересы интернет-компаний. Не твои.

[ne-vlezay80]

А ещё можно ppp over ssh. Тоже задетектить vpn невозможно.

[Sergey Gilfanov]

Правильно! Правильно! Главное не забывать аутентифицироваться по клиентским сертификатам. Пусть «товарищ Майор» лопнет... Со смеху! И ротацию ключей RFC5077 отключить (или в некоторых случаях и не включать).

Вот надоел странный аргумент с клиентским сертификатами. Ну знает прослушивающий, что по договору номер xyz постоянно шифрованное соединение на адрес a.b.c.d бывает. Есть там в соединении видимый клентский сертификат или нет - ровном счетом ничего не меняет же.

[zurz]

Главное не забывать аутентифицироваться по клиентским сертификатам.

я таки-стесняюсь спросить - а зачем здесь клиентский сертификат? ибо наиглупейшая и абсолютно бесполезная (в рамках текущих RFC) сущность?

Изменено 27 июля, 2017 пользователем zurz

[Sergey Gilfanov]

я таки-стесняюсь спросить - а зачем здесь клиентский сертификат? ибо наиглупейшая и абсолютно бесполезная (в рамках текущих RFC) сущность?

Это какая-то непонятная страшилка. Я, например, упорно не могу понять, чем именно в этом контексте пугают.

[edo]

ну как я понимаю, если я со своим сертификатом подключился через кучу анонимайзеров к серверу в РФ, то товарищ майор таки узнает, что я подключался к этому серверу.

[Sergey Gilfanov]

ну как я понимаю, если я со своим сертификатом подключился через кучу анонимайзеров к серверу в РФ, то товарищ майор таки узнает, что я подключался к этому серверу.

Если цель именно совсем анонимизироваться, то ничего не получилось уже в тот момент, когда товарищ майор почему-то узнал. что это именно мой сертификат. Все что дальше - уже неважно. Параноики, которым нужен подобный уровень анонимности, должны стараться лучше.

[Macil]

я таки-стесняюсь спросить - а зачем здесь клиентский сертификат?

Надо было через через слово тег «ирония» вставить? Сертификаты TLS передаются в открытом виде, и я не знаю способа глупее выдать «товарищу Майору» долговременную криптографическую метку трафика.

 

RFC5077 тоже передаётся в открытом виде. Если использование не отключено — а оно у 99.999% не отключено — то также формирует метку трафика, не такую долговременную как сертификат, но вполне-себе значимую.

[Sergey Gilfanov]

Сертификаты TLS передаются в открытом виде, и я не знаю способа глупее выдать «товарищу Майору» долговременную криптографическую метку трафика.

И черт с ним. Смотри выше. Кому это настолько критично - должны делать так, чтобы никакие подобные метки к ним не привязывались.

[Macil]

Кому это настолько критично - должны делать так, чтобы никакие подобные метки к ним не привязывались.

Говорю же: ирония. Есть идиотское мнение — ИМХО посеянное в наши мозги Циммерманом — что если AES-256-пышь-пыщь, то и за жопу не возьмут. Очень иронично, на самом деле, т.к. критику DSA и схожих схем я очень давно вычитал именно на его сайте... Да и ZRTP он разрабатывал уже совсем по другим принципам. Жалко, что ему не хватил крепости яиц публично похоронить PGP.

[ttttt]

если цель - недектируемость

Обход DPI в общем-то не проблема, много людей над этим давно работает, обфускация тем же торовским obfs4 не детектится никаким DPI. Можно в него завернуть openvpn, openvpn вроде умеет через сокс прокси ходить, а торовский транспортный протокол PT можно превратить в сокс прокси, хоть через сам тор, хоть напрямую через что-то типа pluggabletransportadapter. Терроризировать же людей дропаньем пакетов у зашифрованных соединений и временным отключением интернета за неповиновение режиму и перегон любых неопознанных байтов не будет так просто реализовать у провайдеров России.

 

Но очевидно, что недетектируемость не сама цель. Цель - пользоваться нормальным интернетом одной кнопкой. Т.е. какой-то коммерческий сервис, у которого купить доступ и забыть о проблеме. Но здесь другого типа сложности, как это рекламировать и как деньги с людей брать, чтобы это было sustainable.

[fhunter]

Имитировать обычное HTTPS или TLS соединение?

Правильно! Правильно! Главное не забывать аутентифицироваться по клиентским сертификатам. Пусть «товарищ Майор» лопнет... Со смеху! И ротацию ключей RFC5077 отключить (или в некоторых случаях и не включать).

 

TLS — вотчина интернет-компаний. TLS разрабатывался Нетскейпом: одной из первых инетрнет-компаний. Он защищает интересы интернет-компаний. Не твои.

Блин.

0) адекватные настройки SSL/TLS - это уже по-дефолту. (недефолтные параметры DH, нормальный набор методов шифрования и т.д.)

a) да, только vpn-сервер контролируете вы. при других раскладах это совсем не интересно. тем более что для личных целей получается ну совсем дёшево.

б1) клиентский сертификат содержать в себе чего либо ценного с точки зрения идентификации вообще не обязан. Вплоть до самоподписанного с левыми данным, лишь бы его сервер на той стороне принимал.

б2) ну ок, можно нагенерить таких несколько десятков и периодически их менять. ну увидит "товарищ майор" самоподписанный сертификат с пустыми/левыми полями - что дальше?

в) в случае с тоннелем через TLS - клиентский сертификат помогает закрыться от активной атаки - "потыкать палочкой в этот порт - а там точно https как нашлось?"

 

Вопрос был - как замаскировать VPN от DPI. точка. Модель угроз - фильтрация VPN системами DPI, ничего другого описанная схема не решает. Задача - вывести трафик из юрисдикции текущей страны.

[ff.0xff]

Меня просто одного сдесь начинает напрягать сталинский режим в росссии касательно интернета? я вот за границей по VPN работаю, и че мне блин теперь постоянно ключи им передавать, они там каждые сутки меняются, это внутрнние правло безопасности компании с которой я работаю... брет какой то....

Обход DPI в общем-то не проблема, много людей над этим давно работает, обфускация тем же торовским obfs4 не детектится никаким DPI.

Классная идея - я даже об этом как то не подумал

[SergoINFOLAN]

Терроризировать же людей дропаньем пакетов у зашифрованных соединений и временным отключением интернета за неповиновение режиму и перегон любых неопознанных байтов не будет так просто реализовать у провайдеров России.

почему?

Цель - пользоваться нормальным интернетом одной кнопкой. Т.е. какой-то коммерческий сервис, у которого купить доступ и забыть о проблеме. Но здесь другого типа сложности, как это рекламировать и как деньги с людей брать, чтобы это было sustainable.

такой интернет и такой сервис очевидно будет ЗАПРЕЩЁН на территории РФ.

Уже сейчас VPN тормозит и это не 1 кнопка...

[Tosha]

Меня просто одного сдесь начинает напрягать сталинский режим в росссии касательно интернета?

Ну пока же не сдаете ключи. А если и потребуют сдавать - то не вас а компанию. Впрочем, если ваша компания не будет позволять вам интернет без фильтрации запрещенной информации (или позволит, но вы не будете об этом хвастаться) то никто не будет вам ничего отключать.

[ttttt]

почему?

Ну сложно, дорого, долго, слишком много провайдеров. Но, конечно, если будет к этому идти, то хватает методов спрятаться.

 

такой сервис очевидно будет ЗАПРЕЩЁН на территории РФ

В этом и особенность. Сайты сервиса будут постоянно блокировать, нужны будут какие-то альтернативные способы коммуникации, типа чат-боты, email-роботы, и реклама этого всего на неподконтрольных платформах.

[Macil]

б1) клиентский сертификат содержать в себе чего либо ценного с точки зрения идентификации вообще не обязан. Вплоть до самоподписанного с левыми данным, лишь бы его сервер на той стороне принимал.

Боже! Сертификат уже содержит открытый ключ. Это фиксированная, высокоэнтропийная строка байт, криптографически связанная с твоим закрытым ключом. *Чем* это грозит, надеюсь, разжёвывать не нужно?

[zurz]

б1) клиентский сертификат содержать в себе чего либо ценного с точки зрения идентификации вообще не обязан. Вплоть до самоподписанного с левыми данным, лишь бы его сервер на той стороне принимал.

Боже! Сертификат уже содержит открытый ключ. Это фиксированная, высокоэнтропийная строка байт, криптографически связанная с твоим закрытым ключом. *Чем* это грозит, надеюсь, разжёвывать не нужно?

эта "фиксированная, высокоэнтропийная строка байт, криптографически связанная с твоим закрытым ключом" является вектором отслеживания, обнаружения, потенциальной атаки.

было бы интересно узнать, каким образом вы собираетесь защищаться от атак подобного рода. Желательно в двух вариантах: если атакующий - из адресного пространства государства в той же юрисдикции, где находится ваше юр.лицо, и ежели нет.

[Macil]

от атак подобного рода

От атак *какого* рода?

[Ivan_83]

И как тогда сделать возможность недетектирование OlpenVPN таким способом?

Сколько раз писать: обфусцировать протокол или написать свой обфусцированный.