Cacher votre trafic OpenVPN : introduction

Il est intéressant de noter que les restrictions frappent internet un peu partout dans le monde. Les gouvernements sont de plus en plus préoccupés par l'utilisation d'OpenVPN et font ce qu'ils peuvent pour maintenir les restrictions. Le Grand Firewall de Chine s'est avéré assez efficace pour bloquer certains fournisseurs de VPN en Chine et en dehors.

Il n'est pas impossible de voir des données cryptées dans les tunnels VPN. Des firewalls sophistiqués utilisent de façon efficace certaines techniques de DPI (Deep Packet Inspection, ou Inspection poussée des paquets) qui peuvent contourner n'importe quelle technique de cryptage utilisée, y compris le cryptage SSL.

Il existe de nombreuses solutions à ce problème, mais la plupart d'entre elles nécessite une connaissance technique des configurations de serveurs. Le but de cet article est de vous présenter les différentes options qui s'offrent à vous. S'il est important pour vous de cacher vos signaux VPN et si les redirections sur Port 443 ne se font pas, vous devez contacter votre fournisseur de VPN pour vous assurer qu'il est prêt à mettre en place une des solutions mentionnées ci-dessous.

Rediriger le Port par le port 443 TCP

C'est l'une des solutions les plus simples, et elle ne présente pas de difficulté majeure. Vous n'aurez pas besoin d'une expertise technique du coté du serveur, qui devrait fonctionner dans quasiment tous les cas pour rediriger votre OpenVPN via port 443.

Il faut garder en tête qu'OpenVPN utilise un port 80 TCP par défaut. En principe, c'est les firewalls qui sont responsables de la supervision du port 80 et du trafic crypté rejeté qui essaie de les utiliser. Pour le HTTPS, c'est le port 443 qui est configuré comme port principal par défaut. Ce port est utilisé par certains géants du web comme Twitter, Banks, Gmail et bien d'autres.

OpenVPN, comme HTTPS, se sert d'un codage SSL relativement difficile à identifier sur port 443. Bloquer le port effacerait toute connexion à internet et ne représenterait donc pas une option très pratique pour les censeurs d'internet.

Rediriger le port est possible sur presque tous les clients OpenVPN, rendant les choses extrêmement simples pour vous si vous souhaitez changer le port 443. Si votre fournisseur de VPN ne propose pas de tel client, vous devriez les contacter au plus vite.

Malheureusement, OpenVPN n'utilise pas le SSL standard et vu les techniques de DPI que certains pays comme la Chine utilisent, il est plus facile de dire si le trafic crypté est réel. Si c'est le cas, il faudra envisager des moyens peu conventionnel pour éviter la détection.

Obfsproxy

Ce serveur enferme les données dans une couche d'obfuscation, ce qui rend difficile d'identifier si un OpenVpn est utilisé. Cette stratégie a récemment été adoptée par Tor pour contrecarrer la Chine et ses mesures de blocage de l'accès aux réseaux publics de Tor. Il est auto-géré et facile à crypter avec un OpenVPN.

Obfsproxy doit être installé sur l'ordinateur client et sur le serveur VPN. Cela dit, il n'est pas aussi sûr que d'autres méthodes de tunnel et il ne code pas son trafic, mais sa bande passante moyenne est plus basse. Cela en fait une option efficace pour les utilisateurs qui se trouvent dans des pays comme la Syrie ou l'Éthiopie, où la bande passante fait défaut. Obfsproxy est relativement simple à configurer, ce qui est un plus.

Tunnel SSL pour OpenVPN

Un Secure Socket Layer (SSL) peut être efficacement utilisé comme substitut d'OpenVPN. De nombreux serveurs proxy l'utilisent pour protéger leurs connexions. De plus, il cache complètement la présence d'un OpenVPN. Puisque OpenVPN utilise un cryptage TLS ou SSL, il est complètement différent des chaînes SSL habituelles et il est plus silmple à détecter avec des DPI avancés. Pour éviter cela, il serait nécessaire de cacher les données OpenVPN avec une couche de code supplémentaire vu que les DPI n'arrivent pas à pénétrer dans la couche externe des chaînes SSL.

Conclusion

Cela va sans dire, OpenVPN n'est pas différent des trafics SSL habituels sans inspection poussée des paquets. C'est d'autant plus vrai si l'OpenVPN est routé par le port 443 TCP. Mais certains pays comme la Chine et l'Iran sont décidés à contrôler l'accès de leurs populations à internet. Il est intéressant de noter que les mesures qu'ils ont mises en places pour détecter le trafic caché sont techniquement très impressionnantes. Non seulement, cela peut vous mettre en danger, mais en plus, c'est une excellente raison de tenir compte des facteurs mentionnés plus haut.