Grundkurs i hur du döljer din OpenVPN-trafik

Det är värt att uppmärksamma att begränsningarna på internet har blivit större runt om i världen. Myndigheter bekymrar sig mer och mer om användningen av OpenVPN och gör allt som står i deras makt för att överlista protokollet. Kinas brandvägg har lyckats väl i det avseendet. Den har kunnat blockera olika VPN-leverantörer både i och utanför Kina.

Det säger sig självt att det är omöjligt att se data som krypteras i VPN-tunnlar. Avancerade brandväggar använder DPI-tekniker (Deep Packet Inspection) för att knäcka alla krypteringstekniker som används, inklusive SSL-kryptering.

Det finns många lösningar på problemet att tillgå, men de flesta av dem kräver teknisk kunskap om serverkonfiguration. Syftet med artikeln är att presentera de olika alternativ som du kan använda dig av. Om du vill dölja dina VPN-signaler, och om port 443-vidarebefordran saknas, behöver du kontakta din VPN-leverantör för att ta reda på ifall de är villiga att införa några av lösningarna nedan.

Portvidarebefordran genom TCP-port 443

Detta är ett av de enklare alternativen och går att utan några som helst problem aktiveras. Du behöver inte besitta någon teknisk expertis kring servrar, och lösningen bör fungera i nästan alla fall för att vidarebefordra OpenVPN genom port 443.

Ha dock i åtanke att OpenVPN som standard använder TCP-port 80. Vanligtvis ansvarar brandväggar för att övervaka port 80 och nekar krypterad trafik som försöker använda den. Vad gäller HTTPS anges port 443 som den primära porten som standard. Porten används på hela webben av jättar som Twitter, Banks, Gmail och andra internettjänster.

OpenVPN, t.ex. HTTPS, använder sig av SSL-kodning och är relativt svårt att identifiera med port 443. Om porten blockeras skulle åtkomsten till internet försvinna och det är därför inte en praktisk lösning för webbcensur.

Att vidarebefordra porten är något som stöds av alla OpenVPN-klienter, vilket gör det väldigt enkelt för dig att ändra till port 443. Om din VPN-leverantör inte erbjuder en sådan klient bör du genast ta kontakt med dem.

Olyckligtvis använder sig inte OpenVPN av standard-SSL, och med tanke på de ”Deep Inspection”-tekniker som används av länder som Kina är det enklare att avgöra ifall den krypterade trafiken är riktig. Om så är fallet måste du överväga att ta till avancerade metoder för att undvika att bli upptäckt.

Obfsproxy

Servern sluter effektivt data i ett svårtolkat lager, vilket gör det svårare att identifiera om en OpenVPN används. Strategin anammades nyligen av Tor för att bekämpa Kina och deras försök att blockera åtkomsten till publika Tor-nätverk. Den sköter sig självt och kan enkelt krypteras av OpenVPN.

Obfsproxy måste installeras på klientens dator och VPN-servern. Med det sagt är Obfsproxy inte lika säkert som andra tunnelmetoder. Det kodar inte heller trafik, men det använder mindre bandbredd överlag. Därför är det ett idealt val för platser som Syrien och Etiopien där bandbredd är en bristvara. Obfsproxy är jämförelsevis enkelt att konfigurera och installera, vilket är ett plus.

SSL-tunnel för OpenVPN

En Secure Socket Layer-kanal (SSL) kan på egen hand användas som ett effektivt substitut för OpenVPN. Många proxyservrar använder det för att skydda sina anslutningar. Dessutom döljer det OpenVPN fullständigt. Eftersom OpenVPN använder TLS- eller SSL-kryptering skiljer det sig kraftigt från den vanliga SSL-kanalen och är enklare att upptäcka av avancerade DPI-tekniker. För att undvika det vore det klokt att dölja OpenVPN-data genom ett extra kodat lager eftersom DPI-tekniker inte kan tränga igenom SSL-kanalernas yttre skal.

Slutsats

Det säger sig självt att OpenVPN ser ut precis som vanlig SSL-trafik utan Deep Packet Inspection. Detta förstärks ytterligare om OpenVPN-tjänsten dirigeras genom TCP-port 443. Men det tål att upprepas, länder som Kina och Iran jobbar hårt för att kontrollera sin befolknings åtkomst till internet. En intressant aspekt är att de använder sig av imponerande tekniker för att upptäcka dold trafik. Det kan inte bara leda till att du råkar illa ut, det är också ett starkt skäl till varför du borde begrunda de faktorer som nämnts tidigare.