Несмотря на запрет отдельных сервисов, протоколы VPN по-прежнему широко используются в корпоративной среде и частными лицами.

В последнее время использование стало затруднено из-за того, что зашифрованный трафик распознаётся и теряется на каналах связи. Выходом из этой ситуации может быть обфускация, когда трафик делают похожим на обычные HTTPS-пакеты. Компании-разработчики средств информационной безопасности представили несколько новых протоколов, предназначенных именно для этого. По словам разработчиков, новые протоколы работают эффективнее старых методов обфускации.

Stealth


Например, разработчики из компании Proton недавно представили новый протокол Stealth. Он использует обфускацию, чтобы скрыть VPN-соединение. Общая идея заключается в том, чтобы сделать VPN-трафик похожим на «обычный» трафик — или обычные HTTPS-соединения. Stealth делает это с помощью обфусцированного TLS-туннелирования через TCP. Это отличается от большинства популярных протоколов, которые обычно используют UDP, что упрощает их обнаружение. Кроме того, Stealth также устанавливает VPN-соединения особым и уникальным способом, который позволяет обойти интернет-фильтры.

Несмотря на все функции обфускации, протокол показывает более высокую производительность, чем обфусцированные VPN-протоколы прошлого поколения, обычно работающие на базе OpenVPN через TCP.

Stealth также совместим с сервисом Accelerator, который увеличивает скорость соединения на каналах с медленным интернетом за счёт использования протокола BBR.



Stealth сделан с нуля и не основан ни на одном из существующих протоколов, он доступен для всех клиентов компании, которые используют фирменное приложение. Единственной претензией может быть проприетарный характер этой разработки.

Cloak


Ещё одна разработка в данном направлении — программа Cloak, которая пытается маскировать проксированный трафик под обычную браузерную активность с помощью стеганографии. Она является дополнением к другим прокси-инструментам вроде OpenVPN или Shadowsocks.



В отличие от традиционных инструментов с явными отпечатками трафика, Cloak очень сложно точно распознать в потоке пакетов, и это чревато большим количеством ложных срабатываний, объясняют разработчики.

Для любого стороннего наблюдателя хост с сервером Cloak неотличим от обычного веб-сервера. Это справедливо как при пассивном наблюдении за потоком трафика к серверу и от него, так и при активном исследовании поведения сервера, что достигается за счёт использования ряда криптографических методов стеганографии.

Cloak может использоваться совместно с любой прокси-программой, туннелирующей трафик через TCP или UDP, например Shadowsocks или OpenVPN. На одном сервере может быть запущено несколько прокси-серверов, и сервер Cloak будет выступать в роли обратного прокси, соединяя клиентов с нужным им прокси.

Cloak мультиплексирует трафик через несколько базовых TCP-соединений, что уменьшает нагрузку на основной канал и накладные расходы на рукопожатие TCP. Это также делает структуру трафика более похожей на реальные веб-сайты.

Протокол позволяет нескольким клиентам подключаться к серверу через один порт (по умолчанию 443). Он также предоставляет функции управления трафиком: лимит использования и контроль пропускной способности. Это позволяет обслуживать несколько пользователей, даже если базовый прокси не был рассчитано на многопользовательскую работу.

Cloak также поддерживает туннелирование через промежуточный CDN, например, Amazon Cloudfront.

WebTunnel


В числе новых разработок можно упомянуть ещё WebTunnel, новый тип мостов Tor.

Это подключаемый транспорт для имитации трафика HTTPS, созданный под влиянием HTTPT. Он оборачивает соединение с полезной нагрузкой в WebSocket-подобное HTTPS-соединение, которое со стороны выглядит как обычный HTTPS (WebSocket), то есть как обычное соединение с веб-сервером.

WebTunnel настолько похож на обычный веб-трафик, что может сосуществовать с веб-сайтом на одной конечной точке, то есть с одним доменом, IP-адресом и портом. Такое сосуществование позволяет обратному прокси направлять как обычный веб-трафик, так и WebTunnel на соответствующие серверы приложений.

Для большинства пользователей WebTunnel может использоваться в качестве альтернативы мостам obfs4.



Старые протоколы


Традиционные протоколы VPN, такие как OpenVPN, WireGuard, IKEv2, PPTP и L2TP, относительно легко распознать в сети.

В течение многих лет существовали различные проекты по обфускации существующих протоколов, но многие из них представляют собой доработки существующих протоколов, которые уже не очень хорошо работают.

Протокол VPN обычно состоит из двух каналов: канал данных и канал управления. Канал управления отвечает за обмен ключами, аутентификацию и обмен параметрами (например, предоставление IP-адреса или маршрутов и DNS-серверов). Канал данных отвечает за передачу трафика. Вместе они поддерживают безопасный туннель. Однако, чтобы ваши данные прошли через этот безопасный туннель, они должны быть инкапсулированы.

Инкапсуляция — это когда протокол VPN берёт пакеты и помещает их внутрь другого пакета. Этот дополнительный уровень необходим, потому что конфигурации протоколов не обязательно совпадают с конфигурациями обычного интернета. Дополнительный уровень позволяет информации пройти через туннель. После того как VPN-туннель установлен, задача канала управления заключается в поддержании стабильности соединения.

Как уже было сказано, традиционные протоколы относительно легко распознать в сети. Поэтому и создаются усовершенствованные доработки для них.

Комментарии (10)


  1. Mitch
    27.10.2024 14:34

    Забыли openconnect из старых


  1. rotabor
    27.10.2024 14:34

    Ну, в Stealth наверняка есть АНБшный бэкдор...


  1. x40c
    27.10.2024 14:34

    В течение многих лет существовали различные проекты по обфускации существующих протоколов, но многие из них представляют собой доработки существующих протоколов, которые уже не очень хорошо работают.

    Где-то рядом с этим текстом должна была быть AmneziaWG, которая вполне себе работает.


    1. Zolg
      27.10.2024 14:34

      вполне себе работает

      Увы, знаю примеры, стратегической победы некоторых операторов над обфускацией wg: до некоторых зарубежных хостов (подсетей?) udp пакеты не ходят вообще. Никакие.


      1. x40c
        27.10.2024 14:34

        Если использовать VPN для абсолютно всего трафика, то в логах клиент будет коннектится только к одному серверу и гоняеть через него огромные объёмы данных. Никакого DPI не нужно, просто такие IP будут блокироваться.

        Все мои сервера на амнезии вполне себе беспроблемно на модифицированном WG живут до сих пор. У знакомых тоже. Да и сам WG внутри РФ и извне в РФ тоже.

        В общем, считаю странным то, что в статье про амнезию не сказано ничего.


  1. Germanjon
    27.10.2024 14:34

    Думаю, нужно разделить задачи VPN:

    • Посмотреть что-то интересное и не проблемное на запрещённом инстаграмме.

    • Зайти на зарубежный сайт/сервис так, чтобы не было блокировки по стране.

    • Зайти на сайт конкурентов, чтобы не "засветиться" в логах.

    • Зайти на оппозиционный сайт так, чтобы товарищ майор об этом не сразу узнал.

    И искать альтернативы, исходя из задач. Например, если смотреть многогигабайтные видео, то все указанные сервисы или демаскируются потоком трафика или будут сильно просаживаться по скорости


    1. warus
      27.10.2024 14:34

      Обход это одно, а своя закрытая сеть для удалённой работы это другое, или частный случай: объединение офисов в один.
      В связи с сумасшедшей ситуацией пришлось отказаться от классного, производительного, удобного wireguard.
      Опробовали fastd, VpnCloud, Tinc остановились на fastd как самом быстром, Tinc самый распространённый.


    1. Kandimus
      27.10.2024 14:34

      Вы забыли добавить
      * работать из РФ на иностранные компании


  1. yladimyr
    27.10.2024 14:34

    Фигня это всё. Пока что китайские протоколы xray и собственный vps/vds будут работать стабильно.


  1. Apasnychel
    27.10.2024 14:34

    Никогда не заблокирует ssh протокол, так как всё рухнет,