新たな研究で OpenVPN のフィンガープリント可能性が明らかに、プライバシーへの懸念が高まる

リンク一覧

要約と1 はじめに

2 背景と関連研究

現実世界のVPN検出における3つの課題

4 敵対者モデルと展開

5 倫理、プライバシー、責任ある開示

6 フィンガープリント可能な特徴の識別と6.1 オペコードベースのフィンガープリント

6.2 ACKベースのフィンガープリンティング

6.3 アクティブサーバーフィンガープリンティング

6.4 フィルタとプローバの構築

7 導入のための微調整と 7.1 ACK フィンガープリントしきい値

7.2 観測ウィンドウNの選択

7.3 パケット損失の影響

7.4 非同期プローブのサーバーチャーン

7.5 UDP と難読化された OpenVPN サーバーの調査

8 実際の導入設定

9 評価と結果および 9.1 制御 VPN フローの結果

9.2 すべてのフローの結果

10 議論と緩和策

11 結論

12 謝辞と参考文献

付録

抽象的な

過去 10 年間、プライバシーと監視の脅威に対する国民の意識が高まったため、VPN の採用は着実に増加しています。これに対応して、一部の政府は「デュアルユース」DPI テクノロジを使用して接続を識別し、VPN アクセスを制限しようとしています。VPN ブロッキングの可能性を調査するために、商用 VPN サービスで最も人気のあるプロトコルである OpenVPN を使用して、接続を正確にフィンガープリントするメカニズムを開発しました。バイト パターン、パケット サイズ、サーバー応答などのプロトコル機能に基づいて 3 つのフィンガープリントを識別します。ネットワークを制御する攻撃者の役割を演じ、パッシブ フィンガープリントとアクティブ プロービングを順番に実行する 2 段階のフレームワークを設計します。100 万人のユーザーを抱える ISP と提携してフレームワークを評価したところ、OpenVPN フローの 85% 以上を誤検知なしで識別できることがわかり、OpenVPN ベースのサービスは付随的な被害をほとんど受けずに効果的にブロックできることが示唆されました。一部の商用 VPN では検出を回避するための対策を実装していますが、私たちのフレームワークは 41 の「難読化された」VPN 構成のうち 34 への接続を正常に識別しました。我々は、VPN フィンガープリントがさまざまな脅威モデルに与える影響について議論し、短期的な防御策を提案します。長期的には、商用 VPN プロバイダーに対し、難読化のアプローチについて透明性を高め、検閲回避研究で開発されたような、より原則的な検出対策を採用するよう求めます。

1 はじめに

ISP、広告主、各国政府は、インターネットトラフィックの妨害、操作、監視をますます強化しています [16、22、27、47、69]。その結果、仮想プライベートネットワーク（VPN）の採用は、脅威モデルが高まっている活動家やジャーナリストの間だけでなく、信頼できないネットワークでのプライバシーの保護から検閲の回避に至るまでのさまざまな理由でVPNを使用する一般ユーザーの間でも急速に増加しています。最近の例として、香港で新しい国家安全法が可決されたことで、人気のあるVPNプロバイダーは、監視と検閲の強化への懸念から、ダウンロード数が120倍に急増しました [62]。

VPNの人気の高まりに対応して、多くのISPや政府は現在、管轄区域内のトラフィックの可視性と制御を維持するために、VPNトラフィックを追跡またはブロックしようとしています。グレートファイアウォール（GFW）の設計者であるBinxing Fang氏は、ファイアウォールとVPNの間には「永遠の戦い」があると述べ、中国はISPに個人のVPN使用を報告してブロックするよう命じました[60,61]。最近では、ロシアとインドが自国でのVPNサービスのブロックを提案しており、両国ともVPNを国家のサイバーセキュリティの脅威と位置付けています[44, 59]。商用ISPもVPN接続を追跡する動機があります。たとえば、2021年初頭、南アフリカの大手ISPであるRain, Ltd.は、データプランでサービス品質の制限を実施するために、VPN接続を90％以上抑制し始めました[64]。

ISPや検閲者は、IPレピュテーションに基づく接続の追跡、VPNプロバイダー（以下、プロバイダー）のウェブサイトのブロック、VPNの使用を禁止する法律や利用規約の制定など、さまざまな単純なVPN対策技術を採用していることが知られています[46,53,60]。しかし、これらの方法は堅牢ではなく、意欲的なユーザーはそれらにもかかわらずVPNサービスにアクセスする方法を見つけます。ただし、それほど強力ではないISPや検閲者でさえ、キャリアグレードのディープパケットインスペクション（DPI）などの技術にアクセスして、プロトコルセマンティクスに基づくより洗練された検出モードを実装できるようになりました[43, 48]。

本稿では、敵対的ISPの観点からOpenVPN（商用VPNサービスで最も人気のあるプロトコル[6]）のフィンガープリンティング可能性を研究することにより、VPNの検出とブロックに対するDPIの影響を探ります。私たちは、2つの研究上の疑問に答えようとしています。 （1）ISPと政府は、トラフィックフローをOpenVPN接続としてリアルタイムで識別できるか？ （2）誤検知による重大な付随的損害を被ることなく、大規模に識別できるか？これらの疑問に答えるには、フィンガープリンティングの脆弱性を特定するだけでは不十分です。困難ではありますが、ISPと国家の検閲が現実世界でどのように機能するかという制約の下で、実用的なエクスプロイトを実証する必要があります。

我々はグレートファイアウォール[1,11,71]のアーキテクチャにヒントを得た、フィルタとプローバのコンポーネントからなる検出フレームワークを構築した。フィルタは、OpenVPNのハンドシェイク段階で特定したプロトコルの癖を利用して、通過するネットワークトラフィックに対してリアルタイムでパッシブフィルタリングを実行する。フローがフィルタによってフラグ付けされると、宛先アドレスが

確認としてアクティブ プロービングを実行するプローバーに送信されます。プロトコル固有の動作を引き出すように注意深く設計されたプローブを送信することで、プローバーは、サーバーがアクティブ プロービングに対する OpenVPN のオプションの防御を有効にしている場合でも、サイド チャネルを使用して OpenVPN サーバーを識別できます。当社の 2 フェーズ フレームワークは、極めて低い誤検知率で ISP 規模のトラフィックをライン速度で処理できます。

この調査では、コアまたは「バニラ」OpenVPNに加えて、商用の「難読化」VPNサービスも含めます。ISPや検閲者からの干渉の増加に対応して、難読化VPNサービスは、特に検閲が厳しい国やVPNの個人使用を禁止する法律がある国のユーザーから注目を集め始めています。難読化VPNサービスは、運営者が「目に見えない」および「ブロックできない」と宣伝することが多く[5、49、54]、通常、検出を回避するために追加の難読化レイヤーを備えたOpenVPNを使用します[2、66]。

Merit （100万人のユーザーにサービスを提供する中規模の地域ISP）と提携して、主要なMeritの拠点からミラーリングされた20Gbpsの入出力トラフィックを監視するモニターサーバーにフレームワークを展開しています。（倫理的考慮事項については§5を参照してください。）並列フィルターによる高速パケット処理のために、ゼロコピーモードでPF_RING [38]を使用しています。テストでは、ネットワーク内にある制御クライアントマシンから発信された2000フローのうち1718フローを識別できました。これは、40のユニークな「バニラ」OpenVPN構成のうち39に相当します。

さらに驚くべきことに、難読化された OpenVPN フローの 3 分の 2 以上も特定できました。上位 10 プロバイダーのうち 8 社が難読化されたサービスを提供していますが、それらはすべてフィルターによってフラグ付けされています。プロバイダーは観測不可能であると大々的に主張していますが (「... インターネット プロバイダーでさえ、VPN を使用していることを知りません」[49] など)、難読化されたサービスの実装のほとんどは、簡単にフィンガープリントできる単純な XOR パッチ [36] でマスクされた OpenVPN に似ています。難読化レイヤーでのランダム パディングが不足していることと、通常の OpenVPN サーバーと同じ場所にあることも、難読化されたサービスを検出しやすくしています。

通常、当社の単一サーバー セットアップでは、1 日あたり 15 TB のトラフィックと 20 億のフローを分析します。8 日間の評価で、当社のフレームワークは 3,638 のフローを OpenVPN 接続としてフラグ付けしました。これらのうち、3,245 のフローの検出結果を裏付ける証拠を見つけることができ、上限の誤検出率が以前の ML ベースのアプローチ [3、14、26] よりも 3 桁低いことが示唆されました。

我々は、最新の難読化手法を用いても、OpenVPN の使用を追跡およびブロックすることは簡単で、あらゆる ISP やネットワーク オペレーター、さらには国家レベルの敵対者でも実行可能であると結論付けています。検出を回避するために高度な戦略を採用する Tor や Refraction Networking [8, 74] などの回避ツールとは異なり、堅牢な難読化手法は OpenVPN やより広範な VPN エコシステムから著しく欠如しています。平均的なユーザーの場合、これは ISP からのブロックやスロットリングに直面する可能性があることを意味しますが、知名度の高い機密性の高いユーザーの場合、このフィンガープリント可能性により、OpenVPN トンネルのセキュリティを侵害することを目的とした追加攻撃が発生する可能性があります [40, 51]。脅威モデルが強化されたユーザーは、難読化されたサービスに接続している場合でも、VPN の使用が監視されないことを期待しないよう警告します。本稿で説明したフィンガープリンティングの悪用に対する短期的な防御策をいくつか提案していますが、長期的には、VPN エコシステムでも、グレート ファイアウォールと Tor の間にあったような猫とネズミの追いかけっこが差し迫っているのではないかと懸念しています。VPN 開発者とプロバイダーには、堅牢で十分に検証された難読化戦略を開発、標準化、採用し、敵対者による脅威が進化し続ける中でそれらを適応させるよう強く求めます。