你用过OpenVPN、Wireguard或者IKEv2协议的VPN吗?小U本文梳理一下这些VPN协议的技术特点,安不安全,能不能翻墙等。
小U把“正统VPN”按加密模式的基础分爲两类:用SSL/TLS加密 和 IPSec加密,方便分类讨论。阅读全文: 隐私?翻墙?热门VPN协议模式一次过对比 OpenVPN / Wireguard / IPSec
摘要节点
SSL 系属VPN
建立在SSL/TLS加密协议上的VPN应该是现在使用人数最多、大家听过最多的VPN协议模式,包括:
这些VPN都利用了SSL或TLS的加密模式,SSL是一种为网路上的通讯提供加密的标准安全技术。它能够确保从客户端到服务器的数据传输过程中,数据保持私密性和完整性。
什麽是SSL/TLS?
我们经常访问的https开头的网址,就表示该网站使用了SSL。它主要使用证书(由证书授权中心签名)来验证伺服器的身份并建立加密的通讯。TLS是SSL的後续版本,是目前网路加密通讯的标准。它提供了更强的和更多的安全功能。TLS和SSL的工作方式大致相同,但TLS提供了更强大的加密算法和更安全的方式来保护通讯不被窃听或篡改。基於安全性的原因,多数现代的应用程式和浏览器已经过渡到使用TLS而非SSL。
SSL/TLS协议分析总结 – 任意的Blog (renyili.org)
VPN如何用到SSL/TLS?
就拿大家熟悉的OpenVPN和Wireguard爲例子,VPN的服务器端和客户端需要先沟通加密的方法和密钥,这就利用到SSL/TLS的握手协议,双方会核对公钥(Public Key)和私钥(Private Key)是否配对。
一旦身份验证成功,伺服器和客户端之间的加密隧道就建立起来了。此隧道使用户能够安全地访问网路资源。在此隧道内,所有通信都会加密,确保私密性和数据完整性。
提供SSL/TLS 加密协议的VPN业者
由於OpenVPN和WireGuard的开源,让他们十分流行。几乎所有主流的VPN提供商都有提供OpenVPN或者WireGuard的加密协议。包括:Surfshark、NordVPN、Proton VPN等等。
SSL/TLS系列的VPN可以翻墙吗?
看你翻的是什麽墙,如果是中国的GFW,那很不幸,所有的SSL/TLS系列的VPN都可以被准确识别。
早在十多年前Upsangel.com刚开站的时候,OpenVPN是可以通过防火墙的。旧式的防火墙只能通过端口和IP地址来设定规则,而现时的技术已经能分析每个数据包的特徵(就像有一个WireShark在上面运行)後来GFW发现了SSL/TLS VPN的重要特徵:握手过程存在着固定不变的数据包数目、不变的大小以及不变的次序以及间隔(合称时序),小U就试过用WireShark去捉取Surfshark VPN和NordVPN的OpenVPN模式的下头四个数据包,都是有相同的长度特徵的。
那会不会刚好是有四个数据包的长度和SSL VPN的握手模式吻合,出现误判呢?肯定会。但是GFW可以通过“试探”的方式来确认到底是否真正的SSL VPN:
GFW可以“主动探测”,去看看这个连线IP到底是不是一个正常的https网站,如果有大量SSL流量但是却没有https的网站会很让人怀疑。”主动探测“还有另外一招,就是尝试断流看用户的反应:
这也解释了当时爲什麽很多用户反映OpenVPN用几下就不行,这个“几下”就是GFW的侦测试探。
当然GFW是个黑盒,除了当局,外人是无法准确知道里面的规则,只能通过外部逆向工程reverse engineering猜测。
那现在要怎麽翻GFW呢?猫捉老鼠,道高一尺魔高一丈,最新的翻墙技术请参考:
【再不看就失效了】2023年8月三个可用的翻墙协议介绍和使用教程
Upsangel.com
IPSec 系属VPN
IPSec(Internet Protocol Security)是一套安全协议,用於在 IP 层对数据进行加密和身份验证,用於保护 IP 数据流,特别是在 VPN 连接中。在OSI(Open Systems Interconnection)模型IPSec的理论加密层在IP层(网路层Network Layer),比SSL的传输层要更底层,简单但不完全准确的理解是IPSec是对这个IP的所有通讯、无论是UDP还是TCP、无论是哪个端口的所有通讯加密,而SSL的传输流是只对於使用到SSL的应用加密。例如FTP, HTTP协议就不存在加密(但是可以透过SSL VPN的模式把这些流量都打包进SSL VPN的隧道里)。
常见的IPSec加密模式的VPN协议包括:
爲什麽IPSec VPN不是消费者主流?
看上去IPSec能提供更高的加密性,但是爲什麽不是现时大家用的VPN主流协议?小U认爲主要原因有:
IPSec部署困难、设备不互通
相比起OpenVPN和Wireguard,IPSec系的VPN设置起来并没有那麽简单,你可以参考下这位大神分享的“一键部署” IPSec伺服器的脚本Script,如果没有这些Script要一行行来设置的难度:
另外就是设备端的兼容性,OpenVPN和Wireguard无论在Windows、Mac还是Android,无论x86还是arm架构都通行无阻,但是IPsec模式就可能要看适配的设备。
IPSec系的VPN更难翻墙?
IPSec系的VPN的端口不能修改(或者说修改会很麻烦、容易导致设备不兼容),所以只要一封端口Port,大部分一键拿来用IPSec的VPN都不能正常运作。
这让IPSec不仅难以在GFW墙内无法生成,更是让很多私人和商业网络都能轻松封了这些VPN。所以IPSec系列的VPN更难翻墙。
小结:SSL/TLS和IPSec都很安全、但是抗封锁能力弱
SSL/TLS 和 IPSec 都是网络通信中的主要安全协议,它们提供了高度的加密和身份验证机制,以保护数据免受不必要的窃听和干扰。然而,尽管它们在安全性方面表现出色,但它们在抗封锁方面存在挑战。封锁和干扰 VPN 通信已成为某些国家和组织的常见做法,尤其是在试图限制或控制网络访问的地方。由於 SSL/TLS 和 IPSec 使用特定的端口和协议特徵,它们可能容易被识别和封锁。此外,许多防火墙和网络监控工具都可以识别这些协议的特征,从而进行干扰。
那麽过去10年,在GFW能识别SSL/TLS VPN後,国人是怎麽翻墙的?请容小U以後有时间再和大家「考古」。如果你是当下就有需要,请参考:
【再不看就失效了】2023年8月三个可用的翻墙协议介绍和使用教程
Upsangel.com
次分享0FacebookTweetPinLinkedIn