È possibile determinare la differenza tra una VPN sulla porta 443 rispetto al traffico SSL standard?
Per accedere ai siti Web SSL è necessario aprire la porta 443, ma se si imposta un servizio VPN sulla porta 443 è possibile effettuare la chiamata fuori dal firewall.
Sì. Anche se si esegue una VPN sulla porta 443, HTTPS (che utilizza la porta 443) e le VPN hanno abbastanza differenze all'interno dei protocolli che possono essere distinti dall'esterno che un firewall o un dispositivo che esegue l'ispezione approfondita dei pacchetti sarebbe in grado di classificarli immediatamente entrambi.
Se il firewall non blocca una connessione VPN sulla porta 443, è probabile che il firewall esegua solo il filtraggio delle porte o non abbia ancora le firme dei protocolli per le connessioni VPN.
È possibile distinguere tra "traffico VPN" e "traffico SSL standard", ovviamente per una nozione appropriata di "standard". Suppongo che per "standard" si intenda che le persone utilizzano un browser Web per accedere ai siti Web HTTPS.
Il punto è che mentre SSL è abbastanza bravo a nascondere il contenuto dei dati, perde la lunghezza dei dati: dall'osservazione dei record SSL, si può calcolare la lunghezza del contenuto del testo libero (possibilmente fino alla precisione di un singolo byte). Un browser Web invierà richieste HTTP, la cui lunghezza è in genere di poche centinaia di byte, determinando una risposta corrispondente (e più grande); e ci saranno pause. Il traffico IP generico incapsulato in una VPN basata su SSL dovrebbe mostrare uno schema distinto (in particolare, le strette di mano a tre vie TCP dovrebbero essere abbastanza evidenti).
Sebbene tali test non siano mai affidabili al 100%, possono essere abbastanza efficaci. A meno che gli utenti non siano pienamente consapevoli della presenza e del funzionamento di un tale meccanismo di rilevamento e provino a sconfiggerlo. Questo può trasformarsi in una lunga e faticosa guerra di rilevamento e furtività. Se i tuoi utenti sono davvero interessati a configurare una VPN, allora questo potrebbe essere per una ragione abbastanza legittima; potrebbe valere la pena di ripensare al motivo per cui vuoi bloccare la VPN, ma permetti comunque "HTTPS standard".
Se è possibile configurare la VPN per la prima connessione tramite la porta TCP 443 e quindi proteggere le comunicazioni in SSL (in realtà utilizzare TLS) e solo allora utilizzare il protocollo VPN ... quindi si eviterà che il firewall sia in grado di rilevare che è il traffico VPN invece del traffico HTTP.
In altre parole, il traffico VPN in chiaro su 443 assomiglierà al traffico VPN, facendo corrispondere qualsiasi protocollo in uso. Il traffico SSL VPN oltre 443 assomiglierà al traffico SSL.
Leggi altre domande sui tag monitoring proxy vpn tls detection