LINUX.ORG.RU
ФорумAdmin

OpenVPN параноя


0

1

Две сети соединены OpenVPN. Опция tls-auth включена. Пока еще не пробовал «смотреть» снифером на промежуточном хосте... Вообщем параноя. Возможно ли где нить посредине видеть пусть и не содержимое пакетов, а хотя бы что за трафик(протоколы) внутри тунеля OpenVPN?


Если шифрование включено то нет, но будет видно что передают нечто шифрованное что может подтолкнуть к дальнейшим мероприятиям.

anonymous
()
Ответ на: комментарий от zooooo

VoIP, как впрочем, и всё остальное имеет определенную сигнатуру/отпечаток пакетов. Шифрование тут ничего не даст.

Umberto ★☆
()

Обычно vpn строит сеть поверх сетевого уровеня, так что заголовки пакетов выше tcp(udp) видно не будет(и то не те, которые видят программы, смотрящие в впн, а те, на которых работает сеть), т.е. классифицировать трафик никак не получится(ну может какими-нибуть империчискими методами по анализу характера тока трафика. Например секунду трафика нет, вторую секунду канал забит и т.д., так что лучше пустить какую-нибуть торетнокачатку в впн для лучшей энтропии). На самом деле параноя помогает. Главное - никого не убить.

anonymous
()

если именно мост между сетями - то тогда шифруется все начиная с канального уровня и выше

TOXA ★★
()
Ответ на: комментарий от zooooo

Просто не хочется показывать, что внутри VPN VoIP трафик ходит между офисами.

чисто средствами OpenVPN этого не скроешь. Можно догадаться, что вы передаёте VoIP. Хотя и нельзя расшифровать.

drBatty ★★
()
Ответ на: комментарий от drBatty

Для некоторых голосовых кодеков даже не нужна расшифровка. Их сигнатура позволяет определять отдельно произносимые звуки и слова. Одна из атак на скайп.

Umberto ★☆
()

даже tcpdump покажет что идет шифрование данных внутри пакета
openvpn работает на основе SSL, то есть заголовки пакета будут видны, а данные буду выглядеть как мусор
будет ясно что идет передача зашифрованных данных на определенный хост:порт

x97Rang ★★★
()
Ответ на: комментарий от Umberto

Для некоторых голосовых кодеков даже не нужна расшифровка. Их сигнатура позволяет определять отдельно произносимые звуки и слова. Одна из атак на скайп.

скайп - это совсем другая фишка, насколько я знаю. Как вы выдерете «сигнатуру» из OpenVPN - это не совсем совсем не понятно.

drBatty ★★
()
Ответ на: комментарий от drBatty

ленивые вы чотатут. настоящий параноик не ищет лёгких путей и потому не знает лени.

вот от сюда

вот один из примеров анализа голосовых паттернов Language Identification of Encrypted VoIP Traffic Alejandra y Roberto or Alice and Bob?

Umberto ★☆
()
Ответ на: комментарий от Umberto

ленивые вы чотатут. настоящий параноик не ищет лёгких путей и потому не знает лени.

ну что есть, то есть. Я ленивый параноик. Конечно, просто обнаружить и VoIP, и даже угадать национальность. Но это ели только не применить дополнительные методы. Проще всего намешать в трафик скажем порнуху, и гонять её туда в паузах между VoIP. Тогда для аналитика будет просто непрерывный поток мусора не меняющийся структуры и ширины (порнуха одна и та-же, но каждый раз по разному зашифрованная. Ключи из /dev/random). И как такое вы будете анализировать?

drBatty ★★
()
Ответ на: комментарий от drBatty

Я ленивый параноик.

Так не бывает ©

Проще всего намешать в трафик скажем порнуху, и гонять её туда в паузах между VoIP
Ключи из /dev/random

Мешанина текста лишенная общего смысла.

непрерывный поток мусора не меняющийся структуры и ширины
не меняющийся структуры

яплякаль
тебе ясен смысл паттернов траффика? не меняющаяся структура + x = x

порнуха одна и та-же, но каждый раз по разному зашифрованная.

ярыдалъ
дооо, и сильно у неё вид изменится? стабильный поток.

И как такое вы будете анализировать?

при описанном типе противодействия ровно так же. «рябь на воде остаётся не зависимо от количества долитой воды и от её общего объёма в кастрюле»

hint: internet radio + traffic shaping + статический поток для выбора остатка канала и выравнивания.

Umberto ★☆
()
Ответ на: комментарий от Umberto

тебе ясен смысл паттернов траффика?

нет. расскажи.

дооо, и сильно у неё вид изменится? стабильный поток.

меня вид не очень волнует. Просто если гонять долго одно и то-же, то это одно и тоже можно в принципе отфильтровать. Ну а если это одно и то же зашифровано каждый раз по разному, то отфильтровать уже не получится. В принципе пойдёт любой мусор, но /dev/urandom не крипкостойкий, а /dev/random очень медленный источник мусора.

internet radio

вот как раз интернет радио аналитег может отфильтровать.

drBatty ★★
()
Ответ на: комментарий от drBatty

Ну а если это одно и то же зашифровано каждый раз по разному
вот как раз интернет радио аналитег может отфильтровать.

Эххх

Что, как и чем шифровано или вообще не шифровано не имеет никакого значения при условии равномерного потока. Ровно как простой условно хаотичный поток (радио), внутри впн тоннеля в рассматриваемой схеме, оторвать от такого же условно хаотичного потока кодека speex будет практически не возможно, тем более, если это всё сочится впритык в ограниченном канале ~40kb

Лор уже не торт. Толксы, чё.

Umberto ★☆
()

Возможно ли где нить посредине видеть пусть и не содержимое пакетов, а хотя бы что за трафик(протоколы) внутри тунеля OpenVPN?

Нет. Можно только сказать «какой-то трафик идёт».

Вкратце - каждый пакет OpenVPN предваряется маленькой преамбулой, содержащей таймстамп и последовательный номер. В результате, даже два одинаковых пакета шифруются по-разному (алгоритмы шифрования с обратной связью, ага).

Поэтому, о структуре трафика нельзя сказать ничего кроме того, что трафик есть. Ну так то, что он есть, и так понятно.

Конкретно по VoIP можно сказать так «равномерный поток пакетов примерно равного размера» - ну так копирование файлов по SMB или FTP выглядит точно также.

no-dashi ★★★★★
()
Ответ на: комментарий от Umberto

внутри впн тоннеля в рассматриваемой схеме

ну если внутри - тогда да. Очевидно.

drBatty ★★
()
Ответ на: комментарий от no-dashi

Поэтому, о структуре трафика нельзя сказать ничего кроме того, что трафик есть. Ну так то, что он есть, и так понятно.

а если абонент молчит? ага. Будет тишина на канале. Правильно? С FTP такого не бывает - вы принимаете файл одним непрерывным потоком. А вот тут поток неравномерный, и следовательно по неравномерности можно угадать и характер трафика.

drBatty ★★
()
Ответ на: комментарий от drBatty

Ну почему же. Я качаю один файл — идёт «непрерывный разговор». Файл докачался, я высматриваю, что бы качнуть дальше — «тишина на канале». Т.е. в общем случае резюме будет «скорее всего, наверное, похоже что они...».

berrywizard ★★★★★
()
Ответ на: комментарий от berrywizard

Ну почему же. Я качаю один файл — идёт «непрерывный разговор». Файл докачался, я высматриваю, что бы качнуть дальше — «тишина на канале».

однако, обладая статистикой, аналитег с лёгкостью отличит одно от другого.

Т.е. в общем случае резюме будет «скорее всего, наверное, похоже что они...».

Естественно. «с вероятность 99.2% это русскоговорящий еврей, детство которого прошло на окраине Бирибиджана»

drBatty ★★
()
Ответ на: комментарий от drBatty

Это если кодек vbr, а если то-же g711 то будет всегда один ровный поток в 64 кбит/с

Читал где-то статью, где по паттернам шифрованного voip трафика аналитики могли распознавать какую-то часть голосового потока с применением статистических данных по частоте использования звуков в языке...

Zur0
()
Ответ на: комментарий от Pinkbyte

с точки зрения пакетных паттернов да. исследование прочитай хоть. тот же gsm или speex что внутри aes что 3des будет выглядеть одинаково.

Umberto ★☆
()
Ответ на: комментарий от Umberto

:) ты после прочтения части 5 этого занятного детектива все еще веришь, что эти алогоритмы рабочие, а не просто «распилили и написали отчет»?

Вот это особенно порадовало.

traffic transmitted in HTTP over secure (SSL) connections and were able to identify a set of sensitive websites based on the number and sizes of objects in each encrypted HTTP response. Song et al. [26] used packet interarrival times to infer keystroke patterns and ultimately crack passwords typed over SSH. Zhang and Paxson [36] also used packet timing in SSH traffic to identify pairs of connections which form part of a chain of “stepping stone” hosts between the attacker and his eventual victim. In addition to these application-specific attacks, our own previous work demonstrates that packet size and timing are indicative of the application protocol used in SSL-encrypted TCP connections and in simple forms of encrypted tunnels [34].

mrdeath ★★★★★
()
Ответ на: комментарий от Umberto

вообще, насчет вбр, логично, что трафик будет переменный, на то он и vbr. Меня не убеждают их алгоритмы распознования речи.

Эти люди двумя формулами реализуют распознование зашифрованного потока, когда над алгоритмами распознования нешифрованного аудио люди убивают годы работ. Была компания в Беларуси, которая занималась распознаванием речи, так людям около 10 лет потребовалось что бы реализовать более менее рабочий proof of concept. Солидекс чтоли свалась, пока ее не купил толи микрософт, толи эппл.

Мало того, если в трафике идет 2 звонка, то их «анализу» тоже приходит конец. Ну и опять же, nonvbr кодеки спасут матерых кардеров, террористов и прочих личностей.

mrdeath ★★★★★
()
Ответ на: комментарий от mrdeath

то их «анализу» тоже приходит конец

я ни коим образом не утверждаю что эта работа ололо-пыщпыщ. просто привёл один из примеров направления атак. это не единственная работа, просто та, которую нашел быстрее. можно порыться в архивах cryptome.org

это же направление используется для факторизации отпечатков определённых веб-страниц, загрузка которых вкупе к примеру со стилями, графикой создает тоже себе вполне уникальный отпечаток. не зависимо от типа шифрования.

Umberto ★☆
()
Ответ на: комментарий от no-dashi

Вкратце - каждый пакет OpenVPN предваряется маленькой преамбулой........

в принципе(ну ни как спец.) я понимаю и что такое тунель и алгоритмы. Но все равно большое спасибо.

Каменты навели меня на мыли что требуется еще изучить.

zooooo
() автор топика
Ответ на: комментарий от mrdeath

Мало того, если в трафике идет 2 звонка, то их «анализу» тоже приходит конец. Ну и опять же, nonvbr кодеки спасут матерых кардеров, террористов и прочих личностей.

Вообщем то мы сами в беларуси. Сеть состоит из маленьких компаний (владелец один, юр лица разные)+ пару офисов в Москве. Естественно, какая то часть сотрудников в организации А реально работает на организацию Б и так далее. Т.е. нужны коммуникации и голосовые в т.ч. Компании небольшие, денег мало и естественно у нас бюджетные решения. По OpenVPN кроме мыла, vnc, ssh, radmin гоняется и трафик asterisk'a. Реальность такова, что за VoIP, органы могут (если им захочется) дать мзды и им «нас рать», что это частный трафик и мы не оказываем никаких услуг. Вот собственно из за чего так глуповато мною был поставлен вопрос.

PS: рад был услышать коменты, определенно полезности есть.

zooooo
() автор топика
Ответ на: комментарий от TOXA

если именно мост между сетями - то тогда шифруется все начиная с канального уровня и выше

не мост. OpenVPN в режиме маршрутизатора, т.е. это трафик IP протокола. Зачем гонять Ethernet кадры из офиса в офис? Определенный смысл есть (на то он и мост), но в моем случае простая маршрутизация.

zooooo
() автор топика
Ответ на: комментарий от Umberto

я ни коим образом не утверждаю что эта работа ололо-пыщпыщ. просто привёл один из примеров направления атак. это не единственная работа, просто та, которую нашел быстрее. можно порыться в архивах cryptome.org

ссылка клевая, но к сожалению не осилю. Просто нет времени.

zooooo
() автор топика
Ответ на: комментарий от zooooo

я не думаю что органы заинтересуются вашим астериском. В беларуси voip для организаций был легален всегда. Нелегальным был бизнес терминации звонков. А так как в беларуси все решается через одно всем известное место, эта проблема была «решена» запретом на лицензирование voip оборудования.

Выявляется терминация совсем не методом анализа исходящего трафика, а всего лишь антифраудовыми защитами провайдеров телефонных линий.

mrdeath ★★★★★
()
Ответ на: комментарий от zooooo

:) каменты тут из серии конференций блэкхатов, все на этапе теории или поков.

Но все равно приятно, что лор все еще торт.

mrdeath ★★★★★
()
Ответ на: комментарий от mrdeath

Т.е. грубо говоря если наружу SIP открытым не болтается или болтается, но для конечного числа абонентов (ключевые сотрудники с мобил и т.д.) и у меня нет ТФОП номеров для доступа к астеру, то по сути можно забить ?

А если я захочу в астериск воткнуть транки sipnet.ru (опять же только для компании)? К слову звонки на Москву через sipnet почти в 2 раза дешевле чем через IP телефонию белтелекома. Я пока руководству не докладывал, но если будет у них инфа, то придется транки сделать...

zooooo
() автор топика
Ответ на: комментарий от zooooo

наружу открывать SIP без вайтлиста это чревато стать предметом интереса миллионов сканеров, так и ждущих слабый пароль. В лучшем случае переодически тебе будут ложить весь апстрим канала.

А насчет остального так все и есть.

mrdeath ★★★★★
()
Ответ на: комментарий от zooooo

Реальность такова, что за VoIP, органы могут (если им захочется)

Учи матчасть. Не могут, если ты не предоставляешь услуги связи третьим лицам.

no-dashi ★★★★★
()
Ответ на: комментарий от zooooo

А если я захочу в астериск воткнуть транки sipnet.ru (опять же только для компании)?

Всегда пожалуйста. Я так почти так и сделал - только линки заводились с миниАТС на VoIP-шлюз и через SIPNet идут звонки на межгород.

no-dashi ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.