openVPN detektierung verhindern

Togijak · 1 Aug. 2015

Mit ziemlichem Erstaunen habe ich feststellen müssen, dass es möglich ist (offensichtlich per Script) zu erkennen, dass man mit einem VPN unterwegs ist. Den Test dazu findet man über diesen Link und Hintergrundinformationen dazu stehen hier

Das Resultat sieht dann so aus

was irgendwie nicht Sinn der Sache sein kann. Nach einfügen des Fixes mssfix 1250

ist das Resultat des erneuten Testes

Da ich das Einfügen des Fixes an meinem Client gezeigt habe der Hinweis für openVPN Nutzer, der Fix muss in die Config Datei von openVPN eingefügt werden. Angeblich soll auch der Fix mssfix 1360 funktionieren (was ich nicht getestet habe).

Die Quelle dieses Tipps stammt aus dem Forum von AirVPN ＷＩＴＣＨ？ — VPN and proxy detector. Can detect OpenVPN cipher, MAC and compression usage.

alter_Bekannter · 1 Aug. 2015

Vermutlich IP-Liste kannste nix machen.

Adressbereiche sind ja Providern zugeordnet.

Togijak · 1 Aug. 2015

alter_Bekannter schrieb:
Vermutlich IP-Liste kannste nix machen.

Sorry aber bei so was kann ich nicht anders = kannst Du nicht lesen? Deswegen sind doch extra Bilder drin für Leute wie dich, aber OK da ist auch wieder Text drin.

alter_Bekannter · 1 Aug. 2015

Und das hat jetzt genau mit dem Thema zu tun?

Mir scheint eher du verstehst nicht was da steht...

accC · 2 Aug. 2015

Umgehen wirst du das nie können. Du kannst versuchen es zu verschleiern, aber es ist nur eine Interessenfrage des "Angreifers".
Wie alter_Bekannter schon sagte kann man schlicht über die IP schon herausfinden, ob du mutmaßlich über einen Server ins Netz gehst oder über einen Privatanschluss. Im Fall liegt der Schluss nahe, dass du einen Proxy/ VPN verwendest.
Alternativ kann man auch gegen deine öffentliche IP (bzw. die des VPN/ Proxy) einen Portscan durchführen und sieht ggf. anhand der well-known oder anderer standardisierter (offener) Ports, ob du ggf. einen Proxy/ VPN verwendest.

alter_Bekannter · 2 Aug. 2015

Wenn er den Inhalt seiner Grafiken verstanden hat wir er dich gleich auch noch flamen, siehe den Bereich ab "PTR Test" bei beiden.

Togijak · 2 Aug. 2015

hmm nun bin ich aber gespannt, wie jemand erklären will, wie die angeblichen IP-Listen (der Adressbereich) sich durch Veränderung der MTU verändern soll? Ich hab in der Zwischenzeit die Bilder erneuert, damit deutlicher wird worum es geht. Offensichtlich hat sich niemand die Mühe gemacht, den verlinkten Beitrag Detecting VPN (and its configuration!) and proxy users on the server side zu lesen, denn dann wäre jedem klar, dass der Adressbereich garnix damit zu tun hat.

Und warum das überhaupt wichtig sein kann wäre da auch erläutert worden

You may already know that huge video and music streaming services and game shops never really liked VPN users who easily bypass all restrictions to unblock country restricted content or to buy a game for less. Examples are plentiful: Netflix changed their ToS recently so that it can now terminate your account contract if you’re found to be circumventing its geo-restrictions, Hulu was also noticed for blocking VPN users, and Steam has been always suspicious to non-Russian speakers from Russia.

accC · 2 Aug. 2015

alter_Bekannter schrieb:
Wenn er den Inhalt seiner Grafiken verstanden hat wir er dich gleich auch noch flamen, siehe den Bereich ab "PTR Test" bei beiden.

Warum? Betrachten wir doch ein real life Szenario, so wie es den TS wahrscheinlich auch interessiert:
Er, Nutzer A, ist mit einem Proxy/ VPN unterwegs und möchte diese Tatsache verstecken.
Netflix (und Co), Serverbetreiber S, möchte (zuverlässig) erkennen können, ob seine Besucher mit Proxy/ VPN unterwegs sind.

Dabei gilt:
1. S möchte false-positives vermeiden
2. S möchte eine hohe Trefferquote
Alles andere würde keinen Sinn machen, bei nur 1 würde er niemanden aussperren und bei nur 2 würde er jeden aussperren.
Die Bedingungen sind also eher zur formalen Definition eines Optimierungsproblems von Relevanz. Andererseits haben sie auch praktische Bedeutung: Bei nur 1 würden keine Nutzer ausgesperrt, dann wäre die Contentindustrie nicht erfreut und S müsste schließen. Bei nur 2 würden alle Nutzer ausgesperrt und S hätte bald keine Kunden mehr und müsste schließen.

Es gibt diverse Möglichkeiten, wie S versuchen kann, (zuverlässig) zu prüfen, ob A einen Proxy/ VPN einsetzt.
Der TS hat gerade einen der gefühlt 20.000 Wege verbaut.
Meine Aussage war lediglich, dass ich der festen Überzeugung bin, dass es S nicht in seinem Vorhaben aufhalten wird.

alter_Bekannter · 2 Aug. 2015

@Togijak:

Öh gerade die markierten Bereiche indizieren das deine Software nicht erkannt wurde aber du ein "Probably Server user" bist. Der Gesamtkontext klingt für mich wie: Keine Auffälligkeiten mehr im verhalten zu finden, aber "vermutlich Server user" => Schlussfolgerung die machen das an der IP Range fest.

Im Bild 1 wurdest du lediglich aufgrund des Formats der Datenverbindung als OpenVPN Verbindung eingeordnet. Was sich einfach wie du es getan hast durch eine Änderung dieses Verbindungsverhaltens vermeiden lässt.

@accC:

Klar der Punkt sind die Prioritäten die meisten arbeiten in dem Sektor eher nach dem Motto:
"Wo gehobelt wird da fallen Späne", siehe Netflix und Steam.

Beide sperren lieber mal großzügig pauschal aus. Kannst du Gegenbeispiele nenne die eine Praxisrelevante Größe darstellen?

Rakorium-M · 2 Aug. 2015

Im verlinkten Artikel steht, dass es gerade nicht um simple IP-Listen geht. Laut Artikel benutzt der Service mehrere Methoden, um VPN-Verbindungen zu erkennen:

MTU/MSS-Werte der Verbindung, die bei OpenVPN anders ausfallen. OpenVPN hat einen gewissen Overhead an Daten, die in ein Paket müssen. Dadurch sind die durch OpenVPN geleiteten Datenpakete kleiner als "normale" Gegenstücke. Hier hilft der mssfix.
Abgleich des User-Agent mit den Fingerprints der Verbindung. Anhand bestimmter Eigenschaften einer Verbindung/HTTP-Anfrage kann man teilweise feststellen, welches Betriebssystem/Programm die Verbindung aufgebaut hat ("Fingerprint"). Unterscheiden sich diese Informationen jetzt von den im User-Agent übertragenen, wurde entweder der UserAgent manipuliert, oder ein zwischengeschalteter Proxy-Server erzeugt die Anfragen. Diese Methode zielt eher auf Proxys als auf OpenVPN ab.
PTR-Records. Per Reverse-DNS-Lookup der IP-Adresse wird versucht herauszufinden, ob die Verbindung eher von einem Home-User stammt, oder aus einem Rechenzentrum kommt. Dagegen wären mir spontan keine Abwehrmaßnahmen bekannt.

alter_Bekannter · 2 Aug. 2015

Hast du meine Beiträge gelesen?

Oder nur Überflogen und nach Schlagworten gesucht?

virtus · 3 Aug. 2015

Rakorium-M schrieb:
Im verlinkten Artikel steht, dass es gerade nicht um simple IP-Listen geht. (...)

PTR-Records. Per Reverse-DNS-Lookup der IP-Adresse wird versucht herauszufinden, ob die Verbindung eher von einem Home-User stammt, oder aus einem Rechenzentrum kommt.

Genau das ist ein simpler Abgleich von Listen.

Laut Artikel benutzt der Service mehrere Methoden, um VPN-Verbindungen zu erkennen

Weder alter_Bekannter, noch accC haben etwas anderes gesagt.

Togijak · 3 Aug. 2015

Es geht mir persönlich nicht mal so sehr um Streaming sondern mehr um Aspekte wie die, die sich aus Artikeln wie dem

NSA ordnet Tor-User als Extremisten ein
03.07.2014

Der Wunsch nach Anonymisierung macht User in den Augen der NSA automatisch zu Extremisten und stellt sie unter Beobachtung. Das berichten NDR und WDR und berufen sich auf den Quellcode von Xkeyscore.

Die Journalisten Lena Kampf, Jacob Appelbaum und John Goetz haben sich Teile des Quellcodes des Ausspäh-Programms Xkeyscore angesehen und festgestellt, dass Nutzer des Anonymisierungsdienstes Tor sowie der Distribution Tails automatisch in einer Extremistendatenbank der NSA landen. Der Geheimdienst, der sich nach eigener Aussage strikt an die Gesetze halte, speichert die IP-Adressen derjenigen, die auf einen von Tors Directory Authorities zugreifen. Xkeyscore dient der Echtzeitüberwachung des Internet. Die Directory Authorities sind quasi die Eingangsportale in das Tor-Netzwerk, dessen Verschlüsslung der NSA laut den Snowden-Dokumenten Probleme beim Auswerten bereitet.

Der Server des in der Sendung porträtierten Directory-Authority-Betreibers Sebastian Hahn taucht in der Liste ebenso auf wie andere europäische Directory Authorities. In der Kommentarspalte des Quellcodes bezeichnet der Geheimdienst die Nutzer des Anonymisierungsdienstes als Extremisten. Auch Suchanfragen, die Begriffe wie "Tor" und "Tails" ethalten, speichert der Geheimdienst routinemäßig. Ausgenommen von der Überwachung sind offenbar die Partnerländer der USA, Neuseeland, Australien, Großbritannien sowie Kanada.

Quelle

ergeben. OK was die NSA mach würde mir am .... vorbei gehen, wenn da nicht der Datenaustausch mit anderen Diensten wäre und wie deutsche Dienste denken reagieren und was das für absurde Konsequenzen haben kann hat man eben erst bei netzpolitik.org sehen können. In Deutschland muss sich jeder, der dem Staat kritisch gegenüber steht, möglicherweise auch zum Widerstand bereit ist Gedanken machen, in welchen Listen er geführt wird und warum (z.B. Nutzer des TOR-Browser).

Das Witch Script identifiziert übrigens auch TOR Nutzer

aber auch diesbezüglich habe ich mich schon an Jacob gewandt, denn viele User nutzen TOR nicht nur im DeepWeb und wollen deswegen auch nicht automatisch auf irgend einer Liste landen.

alter_Bekannter · 3 Aug. 2015

Was per se Quatsch ist, denn die meisten TOR Exit nodes tragen sich selbst auf extra Listen ein um nicht für den Traffic zu haften.

TOR Nutzer zu identifizieren ist daher schon sehr einfach und präzise.

Togijak · 3 Aug. 2015

@alter_Bekannter

"IRONIE ON"
Wenn ein Eintrag in eine Liste reicht um nicht für den Traffic (Datenmenge) zu haften würde kein Mensch mehr seinen Traffic bezahlen

"IRONIE OFF"

was in totalitären Staaten trotzdem negative Konsequenzen für den Nutzer haben kann = ein zweischneidiges Schwert

alter_Bekannter · 3 Aug. 2015

Ich bin mir gerade nicht sicher ob du das verstanden hast, die Listen existieren und zwar aus gneau diesem Grund:
https://www.google.de/?q=tor+exit+nodes+list

Direkt auf der ersten Seite ist sogar der Wikipediartikel der es erwähnt...

Die Aussage hat nichts mit meiner Meinung zu tun, es ist schlicht ein Fakt.

tokotoko · 3 Aug. 2015

Alle drei Screenshots während einer aktiven OpenVPN Verbindung auf einem Linux System erstellt.
Wenn das einfache ändern des mssfix/MTU die VPN-Erkennung aushebelt macht das wohl mein Anbieter richtig. Ist wohl auch "nur" ein Abgleich mit den von OpenVPN verwendeten Standardwerten, passen die nicht 100%ig wirds nicht erkannt. Diese zu ändern ist ein Klacks. Habe die Werte mal teilweise geschwärzt weil ich nicht weiss ob der Anbieter damit einverstanden wäre.
Auch die PTR Geschichte scheint nicht sonderlich zuverlässig zu sein. Das es ein Server ist wird nur in einem Fall erkannt, da hat der VPN Anbieter seinen Hostnamen gesetzt, der wird wohl gelistet sein und wird erkannt. Trotzdem wird weder OpenVPN noch ein Proxy erkannt.
Einmal gibts wohl gar keinen Hostnamen zu erkennen und einmal schlägt die Erkennung offensichtlich total fehl.

Togijak · 4 Aug. 2015

@alter_Bekannter:

Hatte ich schon verstanden und auch gar nicht angenommen, dass es sich um eine Meinung handelt

Tron · 6 Aug. 2015

Meinungen sind wie A... jeder hat eins!!

NSA ordnet Tor-User als Extremisten ein
03.07.2014

UND ich hab eh nicht vor irgendwann da rüber zu fliegen! Ausserdem bin ich Tor User seit Jahren also eh zu spät

Ah und jede Firma die OpenVpn benutzt ist dann eh auch bei der NSA dabei !

Togijak · 6 Aug. 2015

Tron schrieb:
Ah und jede Firma die OpenVpn benutzt ist dann eh auch bei der NSA dabei !

Beweis? Anscheinsbeweis?

openVPN detektierung verhindern

Mensch

N.A.C.J.A.C.

Mensch

N.A.C.J.A.C.

gesperrt

N.A.C.J.A.C.

Mensch

gesperrt

N.A.C.J.A.C.

NGBler

N.A.C.J.A.C.

Gehasst

Mensch

N.A.C.J.A.C.

Mensch

N.A.C.J.A.C.

NGBler

Mensch

NGBler

Mensch