Τα καλύτερα VPN προστατεύουν τη δραστηριότητά σας στο διαδίκτυο κρυπτογραφώντας τη σύνδεσή σας στο Διαδίκτυο, καθιστώντας πιο δύσκολο για τα εξωτερικά μέρη να παρακολουθούν ή να ελέγχουν τα δεδομένα σας. Ωστόσο, ορισμένοι πάροχοι και οργανισμοί Διαδικτύου χρησιμοποιούν μια τεχνολογία που ονομάζεται επιθεώρηση πακέτων σε βάθος (DPI) για να εξετάσουν τα δεδομένα που ταξιδεύουν στα δίκτυά τους.
Αυτή η τεχνική δίνει στον χειριστή του δικτύου τεράστιες ποσότητες πληροφοριών σχετικά με την κίνηση που ταξιδεύει στο δίκτυό του, γεγονός που του επιτρέπει να εντοπίζει εύκολα εισβολές, κακόβουλο λογισμικό και επιθέσεις κατανεμημένης άρνησης υπηρεσίας (DDoS). Ωστόσο, το DPI μπορεί επίσης να χρησιμοποιηθεί για τον εντοπισμό και τον αποκλεισμό της κυκλοφορίας VPN. Σε αυτόν τον οδηγό, θα σας καθοδηγήσω σχετικά με το τι είναι η βαθιά επιθεώρηση πακέτων, πώς λειτουργεί και τι μπορείτε να κάνετε για να διατηρήσετε το VPN σας να λειτουργεί ακόμα και όταν τα συστήματα DPI προσπαθούν να κλείσουν τη σύνδεσή σας.
Τι είναι η βαθιά επιθεώρηση πακέτων;
Η βαθιά επιθεώρηση πακέτων είναι μια μορφή φιλτραρίσματος πακέτων δικτύου που επιτρέπει τη λεπτομερή εξέταση των πακέτων δεδομένων καθώς κινούνται μέσα σε ένα δίκτυο. Ένα πακέτο δεδομένων είναι μια μικρή μονάδα δεδομένων που αποστέλλονται μέσω ενός δικτύου και περιέχει δύο κύρια μέρη: την κεφαλίδα και το ωφέλιμο φορτίο. Η κεφαλίδα λέει στην υποδομή δικτύου πού πηγαίνει το πακέτο και πώς να το ερμηνεύσει, ενώ το ωφέλιμο φορτίο περιέχει τα πραγματικά δεδομένα που μεταφέρονται.
Το DPI λειτουργεί επιθεωρώντας τόσο την κεφαλίδα όσο και το ωφέλιμο φορτίο, επιτρέποντας στους διαχειριστές του δικτύου να αναλύουν το περιεχόμενο του πακέτου πέρα από τις πληροφορίες επιφάνειας. Σε αντίθεση με το βασικό φιλτράρισμα πακέτων, το οποίο χρησιμοποιεί στατικούς κανόνες για να επιτρέψει ή να απορρίψει την κυκλοφορία, το DPI εξετάζει το πραγματικό περιεχόμενο και μπορεί να συμπεράνει το πλαίσιο σχετικά με την κίνηση που επιτρέπει σε έναν διαχειριστή δικτύου να διαχειρίζεται την κυκλοφορία με διάφορους τρόπους.
Υπάρχουν πολλοί λόγοι που ένας διαχειριστής δικτύου μπορεί να θέλει να εφαρμόσει DPI στην υποδομή του, κυρίως γύρω από την ασφάλεια. Για παράδειγμα, το DPI μπορεί να βοηθήσει έναν διαχειριστή δικτύου να συμμετάσχει στην προστασία από κακόβουλο λογισμικό αναζητώντας υπογραφές κακόβουλου λογισμικού μέσα σε πακέτα δεδομένων. Στη συνέχεια, θα είναι σε θέση να αποκλείσουν αμέσως το κακόβουλο λογισμικό από την επικοινωνία με οποιοδήποτε εξωτερικό μέρος και να αρχίσουν να εντοπίζουν τη διαδρομή του πακέτου πίσω μέσω του δικτύου στο παραβιασμένο μηχάνημα. Είναι δυνατό να ακολουθήσετε την ίδια προσέγγιση για την εξαγωγή δεδομένων ή τις επιθέσεις DDoS, αυξάνοντας μαζικά την ταχύτητα με την οποία μια ικανή ομάδα ασφαλείας μπορεί να εντοπίσει και να μετριάσει τις απειλές.
Το DPI επιτρέπει επίσης αποτελεσματικό φιλτράρισμα περιεχομένου. Μια επιχείρηση μπορεί να θέλει να περιορίσει την πρόσβαση σε συγκεκριμένους ιστότοπους ή να προστατεύσει από δημοφιλείς φορείς κακόβουλου λογισμικού, όπως οι διαφημίσεις στο διαδίκτυο, με τις οποίες βοηθά το DPI αναλύοντας και αποκλείοντας αιτήματα σε συγκεκριμένους τομείς. Ένα βασικό τείχος προστασίας ή διαδικτυακός διακομιστής μεσολάβησης μπορεί να επιτύχει το ίδιο αποτέλεσμα αποκλείοντας διευθύνσεις URL, αλλά η διαφορά με το DPI είναι το βάθος με το οποίο μπορείτε να αναλύσετε την επισκεψιμότητα για απαγορευμένο περιεχόμενο, επιτρέποντας ακόμη και δυναμικό αποκλεισμό ορισμένων λέξεων-κλειδιών.
Πώς λειτουργεί η βαθιά επιθεώρηση πακέτων;
Η βαθιά επιθεώρηση πακέτων λειτουργεί εξετάζοντας τόσο την κεφαλίδα όσο και το ωφέλιμο φορτίο καθενός από τα πακέτα δεδομένων που ταξιδεύουν μέσω ενός δικτύου. Το DPI αναλύει κάθε πακέτο που περνά από τα φίλτρα του για να βεβαιωθεί ότι συμμορφώνεται με ορισμένους κανόνες. Αυτοί οι κανόνες μπορεί να κυμαίνονται από βασικά πράγματα, όπως μια λίστα αποκλεισμού IP ή μια λίστα αποκλεισμού πρωτοκόλλου, έως προχωρημένους κανόνες όπως η ανίχνευση ανεπιθύμητων μηνυμάτων σε email ή ο δυναμικός εντοπισμός κακόβουλου λογισμικού με βάση ένα συνολικό μοτίβο επισκεψιμότητας.
Καθώς ένα πακέτο ταξιδεύει μέσω του δικτύου, διέρχεται από ένα σημείο επιθεώρησης όπου εμφανίζεται το DPI. Συνήθως, αυτός είναι ένας διακόπτης δικτύου που είτε αντιγράφει όλη την κίνηση που διέρχεται από αυτό και τη μεταδίδει σε μια αποκλειστική συσκευή που εκτελεί DPI, είτε μια βρύση δικτύου που βρίσκεται ανάμεσα σε δύο συσκευές και αναλύει παθητικά την κίνηση που ρέει μέσω αυτού.
Είτε έτσι είτε αλλιώς, όλη η κίνηση που διέρχεται από το σημείο DPI αναλύεται. Το DPI διαβάζει την κεφαλίδα του πακέτου για να δει πού πηγαίνει και ελέγχει το ωφέλιμο φορτίο για να δει τι είδους δεδομένα περιέχει (π.χ. ροή βίντεο, email, κακόβουλο λογισμικό). Το σύστημα DPI μπορεί στη συνέχεια να μπλοκάρει το πακέτο εάν περιέχει ανεπιθύμητο περιεχόμενο, να επαναδρομολογήσει το πακέτο εάν η κυκλοφορία χρειάζεται βελτιστοποίηση ή απλά να επιτρέψει στο πακέτο να περάσει εάν όλα είναι ελεγμένα.
Για παράδειγμα, το DPI μπορεί να αναγνωρίσει ότι μια κλήση VoIP βρίσκεται σε εξέλιξη και να επαναδρομολογήσει αυτήν την κίνηση σε αποκλειστικούς διακομιστές χαμηλής καθυστέρησης για να διατηρήσει την ποιότητα της κλήσης. Αντίθετα, το DPI μπορεί επίσης να αναγνωρίσει ότι μια ροή κίνησης είναι κίνηση BitTorrent και να μειώσει την προτεραιότητα των πακέτων που διέρχονται από το δίκτυο υπέρ άλλων πρωτοκόλλων όπως το HTTP.
Ωστόσο, ένα από τα μεγαλύτερα ζητήματα που μας απασχολούν είναι η σχέση μεταξύ DPI και VPN, τα οποία μπλοκάρονται εύκολα από τα περισσότερα συστήματα DPI.
Μπορείτε να αποτρέψετε τον εντοπισμό με βαθιά επιθεώρηση πακέτων;
Εάν χρησιμοποιείτε ένα ασφαλές VPN για να προστατεύσετε το απόρρητό σας ή ένα από τα καλύτερα VPN ροής για να παρακάμψετε τους περιορισμούς περιεχομένου σε χώρες όπου η επιτήρηση του Διαδικτύου επιβάλλεται από το νόμο, πιθανότατα θα συναντήσετε DPI που χρησιμοποιείται για τον αποκλεισμό του VPN σας σύνδεση.
Αυτό συμβαίνει επειδή ο ISP που χρησιμοποιείτε δεν μπορεί να διαβάσει την επισκεψιμότητα VPN σας, επομένως κάνει το επόμενο καλύτερο πράγμα: μπλοκάρει τη σύνδεση, ώστε να αναγκαστείτε να επιστρέψετε σε μια μη κρυπτογραφημένη σύνδεση όπου μπορούν να διαβάσουν ξανά την κυκλοφορία δικτύου .
Τα περισσότερα πρωτόκολλα VPN, όπως το OpenVPN και το WireGuard, σηματοδοτούν ανοιχτά ότι κρυπτογραφούν την κυκλοφορία διαφημίζοντας το πρωτόκολλο στην κεφαλίδα του πακέτου. Αν και διασφαλίζουν ότι τα δεδομένα είναι ασφαλή κρυπτογραφώντας τα, δεν κρύβουν το γεγονός ότι πρόκειται για σύνδεση VPN.
Τούτου λεχθέντος, υπάρχουν τρόποι να αποτρέψετε το DPI από τον εντοπισμό του VPN σας. Ορισμένες υπηρεσίες VPN προσφέρουν προηγμένες λειτουργίες που έχουν σχεδιαστεί ειδικά για την αποφυγή DPI, αλλά υπάρχουν κάποιες μικρές διαφορές στον τρόπο λειτουργίας τους. Αυτό που είναι πιο πιθανό να συναντήσετε είναι κάτι που ονομάζεται “συστηματικό πρωτόκολλο”, όπως το Shadowsocks, το οποίο σχεδιάστηκε για να χρησιμοποιείται από τα καλύτερα VPN για την Κίνα, για να αποφύγει το Μεγάλο Τείχος προστασίας της Κίνας.
Η συσκότιση είναι η πράξη της απόκρυψης του γεγονότος ότι χρησιμοποιείτε καθόλου VPN. Αυτό που κάνουν είναι να τυλίξουν την κρυπτογραφημένη επισκεψιμότητα VPN σε ένα δεύτερο επίπεδο κρυπτογράφησης που έχει σχεδιαστεί για να μοιάζει με την κανονική κίνηση HTTPS. Αυτό σημαίνει ότι από την άποψη των ISP, το μόνο που κάνετε είναι να συνδέεστε σε έναν κρυπτογραφημένο ιστότοπο και να στέλνετε επισκεψιμότητα μαζί του.
Η συσκότιση είναι η πράξη της απόκρυψης του γεγονότος ότι χρησιμοποιείτε καθόλου VPN
Δεν υπάρχει χαρακτηριστική κεφαλίδα πρωτοκόλλου VPN για αναγνώριση, επομένως το σύστημα DPI δεν μπορεί να το αποκλείσει. Το Shadowsocks είναι συγκεκριμένα ένα πρόσθετο στο πρωτόκολλο OpenVPN, αλλά υπάρχουν και άλλα έργα εκεί έξω που εργάζονται για τη συσκότιση του πρωτοκόλλου WireGuard.
Ενώ ορισμένοι πάροχοι, όπως η ιδιωτική πρόσβαση στο Διαδίκτυο, προσφέρουν αυτήν τη δυνατότητα ως ξεχωριστό πρωτόκολλο με το οποίο μπορείτε να συνδεθείτε, άλλοι πάροχοι όπως το NordVPN χρησιμοποιούν αντ’ αυτού ασαφείς διακομιστές. Δεν υπάρχει τρομερή διαφορά στην τεχνική προσέγγιση, αλλά είναι λιγότερο πιθανό να χτυπηθείτε με απαγόρευση IP όταν χρησιμοποιείτε έναν ασαφή διακομιστή, καθώς είναι ειδικά σχεδιασμένοι για να μεταφέρουν μόνο συγκεχυμένη κίνηση. Αυτό σημαίνει ότι είναι πιο δύσκολο για έναν ISP να βρει ότι η IP στην οποία συνδέεστε είναι στην πραγματικότητα διακομιστής VPN.
VIA: TomsGuide.com
