OpenVPN параноя

Если шифрование включено то нет, но будет видно что передают нечто шифрованное что может подтолкнуть к дальнейшим мероприятиям.

Просто не хочется показывать, что внутри VPN VoIP трафик ходит между офисами.

VoIP, как впрочем, и всё остальное имеет определенную сигнатуру/отпечаток пакетов. Шифрование тут ничего не даст.

Обычно vpn строит сеть поверх сетевого уровеня, так что заголовки пакетов выше tcp(udp) видно не будет(и то не те, которые видят программы, смотрящие в впн, а те, на которых работает сеть), т.е. классифицировать трафик никак не получится(ну может какими-нибуть империчискими методами по анализу характера тока трафика. Например секунду трафика нет, вторую секунду канал забит и т.д., так что лучше пустить какую-нибуть торетнокачатку в впн для лучшей энтропии). На самом деле параноя помогает. Главное - никого не убить.

если именно мост между сетями - то тогда шифруется все начиная с канального уровня и выше

Просто не хочется показывать, что внутри VPN VoIP трафик ходит между офисами.

чисто средствами OpenVPN этого не скроешь. Можно догадаться, что вы передаёте VoIP. Хотя и нельзя расшифровать.

Для некоторых голосовых кодеков даже не нужна расшифровка. Их сигнатура позволяет определять отдельно произносимые звуки и слова. Одна из атак на скайп.

даже tcpdump покажет что идет шифрование данных внутри пакета
openvpn работает на основе SSL, то есть заголовки пакета будут видны, а данные буду выглядеть как мусор
будет ясно что идет передача зашифрованных данных на определенный хост:порт

1. Скайп непонятно чем шифрует.
2. Где почитать.

2. Где почитать.

всё где-то там.

Для некоторых голосовых кодеков даже не нужна расшифровка. Их сигнатура позволяет определять отдельно произносимые звуки и слова. Одна из атак на скайп.

скайп - это совсем другая фишка, насколько я знаю. Как вы выдерете «сигнатуру» из OpenVPN - это не совсем совсем не понятно.

поконкретнее ссылку можно?

пруф можно?

ленивые вы чотатут. настоящий параноик не ищет лёгких путей и потому не знает лени.

вот от сюда

вот один из примеров анализа голосовых паттернов Language Identification of Encrypted VoIP Traffic Alejandra y Roberto or Alice and Bob?

ленивые вы чотатут. настоящий параноик не ищет лёгких путей и потому не знает лени.

ну что есть, то есть. Я ленивый параноик. Конечно, просто обнаружить и VoIP, и даже угадать национальность. Но это ели только не применить дополнительные методы. Проще всего намешать в трафик скажем порнуху, и гонять её туда в паузах между VoIP. Тогда для аналитика будет просто непрерывный поток мусора не меняющийся структуры и ширины (порнуха одна и та-же, но каждый раз по разному зашифрованная. Ключи из /dev/random). И как такое вы будете анализировать?

Я ленивый параноик.

Так не бывает ©

Проще всего намешать в трафик скажем порнуху, и гонять её туда в паузах между VoIP
Ключи из /dev/random

Мешанина текста лишенная общего смысла.

непрерывный поток мусора не меняющийся структуры и ширины
не меняющийся структуры

яплякаль
тебе ясен смысл паттернов траффика? не меняющаяся структура + x = x

порнуха одна и та-же, но каждый раз по разному зашифрованная.

ярыдалъ
дооо, и сильно у неё вид изменится? стабильный поток.

И как такое вы будете анализировать?

при описанном типе противодействия ровно так же. «рябь на воде остаётся не зависимо от количества долитой воды и от её общего объёма в кастрюле»

hint: internet radio + traffic shaping + статический поток для выбора остатка канала и выравнивания.

тебе ясен смысл паттернов траффика?

нет. расскажи.

дооо, и сильно у неё вид изменится? стабильный поток.

меня вид не очень волнует. Просто если гонять долго одно и то-же, то это одно и тоже можно в принципе отфильтровать. Ну а если это одно и то же зашифровано каждый раз по разному, то отфильтровать уже не получится. В принципе пойдёт любой мусор, но /dev/urandom не крипкостойкий, а /dev/random очень медленный источник мусора.

internet radio

вот как раз интернет радио аналитег может отфильтровать.

Ну а если это одно и то же зашифровано каждый раз по разному
вот как раз интернет радио аналитег может отфильтровать.

Эххх

Что, как и чем шифровано или вообще не шифровано не имеет никакого значения при условии равномерного потока. Ровно как простой условно хаотичный поток (радио), внутри впн тоннеля в рассматриваемой схеме, оторвать от такого же условно хаотичного потока кодека speex будет практически не возможно, тем более, если это всё сочится впритык в ограниченном канале ~40kb

Лор уже не торт. Толксы, чё.

Возможно ли где нить посредине видеть пусть и не содержимое пакетов, а хотя бы что за трафик(протоколы) внутри тунеля OpenVPN?

Нет. Можно только сказать «какой-то трафик идёт».

Вкратце - каждый пакет OpenVPN предваряется маленькой преамбулой, содержащей таймстамп и последовательный номер. В результате, даже два одинаковых пакета шифруются по-разному (алгоритмы шифрования с обратной связью, ага).

Поэтому, о структуре трафика нельзя сказать ничего кроме того, что трафик есть. Ну так то, что он есть, и так понятно.

Конкретно по VoIP можно сказать так «равномерный поток пакетов примерно равного размера» - ну так копирование файлов по SMB или FTP выглядит точно также.

внутри впн тоннеля в рассматриваемой схеме

ну если внутри - тогда да. Очевидно.

Поэтому, о структуре трафика нельзя сказать ничего кроме того, что трафик есть. Ну так то, что он есть, и так понятно.

а если абонент молчит? ага. Будет тишина на канале. Правильно? С FTP такого не бывает - вы принимаете файл одним непрерывным потоком. А вот тут поток неравномерный, и следовательно по неравномерности можно угадать и характер трафика.

Ну почему же. Я качаю один файл — идёт «непрерывный разговор». Файл докачался, я высматриваю, что бы качнуть дальше — «тишина на канале». Т.е. в общем случае резюме будет «скорее всего, наверное, похоже что они...».

Ну почему же. Я качаю один файл — идёт «непрерывный разговор». Файл докачался, я высматриваю, что бы качнуть дальше — «тишина на канале».

однако, обладая статистикой, аналитег с лёгкостью отличит одно от другого.

Т.е. в общем случае резюме будет «скорее всего, наверное, похоже что они...».

Естественно. «с вероятность 99.2% это русскоговорящий еврей, детство которого прошло на окраине Бирибиджана»

Это если кодек vbr, а если то-же g711 то будет всегда один ровный поток в 64 кбит/с

Читал где-то статью, где по паттернам шифрованного voip трафика аналитики могли распознавать какую-то часть голосового потока с применением статистических данных по частоте использования звуков в языке...

а x+структура зашифрованная разными алгоритмами и ключами тоже равно x. Ох лол...

с точки зрения пакетных паттернов да. исследование прочитай хоть. тот же gsm или speex что внутри aes что 3des будет выглядеть одинаково.

:) ты после прочтения части 5 этого занятного детектива все еще веришь, что эти алогоритмы рабочие, а не просто «распилили и написали отчет»?

Вот это особенно порадовало.

traffic transmitted in HTTP over secure (SSL) connections and were able to identify a set of sensitive websites based on the number and sizes of objects in each encrypted HTTP response. Song et al. [26] used packet interarrival times to infer keystroke patterns and ultimately crack passwords typed over SSH. Zhang and Paxson [36] also used packet timing in SSH traffic to identify pairs of connections which form part of a chain of “stepping stone” hosts between the attacker and his eventual victim. In addition to these application-specific attacks, our own previous work demonstrates that packet size and timing are indicative of the application protocol used in SSL-encrypted TCP connections and in simple forms of encrypted tunnels [34].

вообще, насчет вбр, логично, что трафик будет переменный, на то он и vbr. Меня не убеждают их алгоритмы распознования речи.

Эти люди двумя формулами реализуют распознование зашифрованного потока, когда над алгоритмами распознования нешифрованного аудио люди убивают годы работ. Была компания в Беларуси, которая занималась распознаванием речи, так людям около 10 лет потребовалось что бы реализовать более менее рабочий proof of concept. Солидекс чтоли свалась, пока ее не купил толи микрософт, толи эппл.

Мало того, если в трафике идет 2 звонка, то их «анализу» тоже приходит конец. Ну и опять же, nonvbr кодеки спасут матерых кардеров, террористов и прочих личностей.

то их «анализу» тоже приходит конец

я ни коим образом не утверждаю что эта работа ололо-пыщпыщ. просто привёл один из примеров направления атак. это не единственная работа, просто та, которую нашел быстрее. можно порыться в архивах cryptome.org

это же направление используется для факторизации отпечатков определённых веб-страниц, загрузка которых вкупе к примеру со стилями, графикой создает тоже себе вполне уникальный отпечаток. не зависимо от типа шифрования.

Вкратце - каждый пакет OpenVPN предваряется маленькой преамбулой........

в принципе(ну ни как спец.) я понимаю и что такое тунель и алгоритмы. Но все равно большое спасибо.

Каменты навели меня на мыли что требуется еще изучить.

Мало того, если в трафике идет 2 звонка, то их «анализу» тоже приходит конец. Ну и опять же, nonvbr кодеки спасут матерых кардеров, террористов и прочих личностей.

Вообщем то мы сами в беларуси. Сеть состоит из маленьких компаний (владелец один, юр лица разные)+ пару офисов в Москве. Естественно, какая то часть сотрудников в организации А реально работает на организацию Б и так далее. Т.е. нужны коммуникации и голосовые в т.ч. Компании небольшие, денег мало и естественно у нас бюджетные решения. По OpenVPN кроме мыла, vnc, ssh, radmin гоняется и трафик asterisk'a. Реальность такова, что за VoIP, органы могут (если им захочется) дать мзды и им «нас рать», что это частный трафик и мы не оказываем никаких услуг. Вот собственно из за чего так глуповато мною был поставлен вопрос.

PS: рад был услышать коменты, определенно полезности есть.

если именно мост между сетями - то тогда шифруется все начиная с канального уровня и выше

не мост. OpenVPN в режиме маршрутизатора, т.е. это трафик IP протокола. Зачем гонять Ethernet кадры из офиса в офис? Определенный смысл есть (на то он и мост), но в моем случае простая маршрутизация.

я ни коим образом не утверждаю что эта работа ололо-пыщпыщ. просто привёл один из примеров направления атак. это не единственная работа, просто та, которую нашел быстрее. можно порыться в архивах cryptome.org

ссылка клевая, но к сожалению не осилю. Просто нет времени.

я не думаю что органы заинтересуются вашим астериском. В беларуси voip для организаций был легален всегда. Нелегальным был бизнес терминации звонков. А так как в беларуси все решается через одно всем известное место, эта проблема была «решена» запретом на лицензирование voip оборудования.

Выявляется терминация совсем не методом анализа исходящего трафика, а всего лишь антифраудовыми защитами провайдеров телефонных линий.

:) каменты тут из серии конференций блэкхатов, все на этапе теории или поков.

Но все равно приятно, что лор все еще торт.

Т.е. грубо говоря если наружу SIP открытым не болтается или болтается, но для конечного числа абонентов (ключевые сотрудники с мобил и т.д.) и у меня нет ТФОП номеров для доступа к астеру, то по сути можно забить ?

А если я захочу в астериск воткнуть транки sipnet.ru (опять же только для компании)? К слову звонки на Москву через sipnet почти в 2 раза дешевле чем через IP телефонию белтелекома. Я пока руководству не докладывал, но если будет у них инфа, то придется транки сделать...

наружу открывать SIP без вайтлиста это чревато стать предметом интереса миллионов сканеров, так и ждущих слабый пароль. В лучшем случае переодически тебе будут ложить весь апстрим канала.

А насчет остального так все и есть.

Реальность такова, что за VoIP, органы могут (если им захочется)

Учи матчасть. Не могут, если ты не предоставляешь услуги связи третьим лицам.

А если я захочу в астериск воткнуть транки sipnet.ru (опять же только для компании)?

Всегда пожалуйста. Я так почти так и сделал - только линки заводились с миниАТС на VoIP-шлюз и через SIPNet идут звонки на межгород.