Cách ẩn OpenVPN Traffic trên máy tính

Có thể dễ dàng nhận thấy các biện pháp thắc chặc internet ngày nhiều trên thế giới. Chính phủ nhiều nước đang khá bận tâm về các phần mềm OpenVPNs và đều áp dụng tất cả các biện pháp thắt chặc có thể.  Đơn cử Đại tường lửa của Trung Quốc đang khá hiệu quả trong việc chặn nhiều  nhà cung cấp VPN trong và ngoài Trung Quốc.

Việc sử dụng đường hầm VPN với dữ liệu được mã hóa vẫn không chắc chăc 100% dữ liệu sẽ không bị phát hiện. Các tường lửa phức tạp có thể sử dụng kỹ thuật DPI (Quét sau gói dữ liệu) để phát hiện các công nghệ mã hóa kể cả  SSL.

Có khả nhiều giải pháp nhưng đa số đều đỏi hỏi kiến thức kỹ thuật về cấu hình máy chủ.  Mục đích của bài viết này là cung cấp giải pháp phù hợp với nhiều đối tượng người dùng khác nhau. Các thủ thuật này cũng liên quan tới Port 443 forwarding và nếu máy tính bạn thiếu tính năng này hoặc không rõ dịch vụ VPN mình nên liên hệ với nhà cung cấp VPN của mình để hiểu rõ thêm.

Cổng chuyển tiếp qua TCP port 443

Cò thể nói đây là một trong các cách dễ nhất và đơn giản nhất. Bạn sẽ không cần hiểu biết sâu  về máy chủ để có thể chuyển tiếp Open VPN thông qua cổng TCP port 443.

Bạn cần nhớ là mặc định OpenVPN sẽ sử dụng cổng 80 TCP. Thông thường, firewalls sẽ giám sát cổng này và sẽ không cho các dữ liệu mã hó a được truyền qua cổng này.  Trong khi đó giao thức  HTTPS  sử dụng chủ yếu là cổng 443.  cổng này được sử dụng khá nhiều biều nhiều nhà cung cấp có tên tuổi như  Twitter, Ngân hàng, Gmail và các trang web khác.

Các dịch vụ OpenVPN như HTTPS sử dụng  SSL coding không dễ nhận diện cổng 443. Khóa cổng này sẽ ngăn cản việc truy cập internet và là giải pháp không thực tế.

Chuyển tiếp cổng là thủ thuật đơn giản được hỗ trợ bởi hầu hết các  OpenVPN client cho nên việc thay đổi cổng 443 là biện p háp khá khả thi. Trong trường hợp nhà cung cấp VPN của bạn không hỗ trợ thì bạn nên liên hệ họ ngay lập tức.

Cũng khá tiết là  OpenVPN lại không sử dụng chuẩn SSL thông thường và với việc sử dụng kỹ thuật quét sâu (Deep Inspection techniques) tại các quốc gia như Trung Quốc thì việc nhận diện ra các luồng dữ liệu được mã hóa dễ dàng hơn. do đó, cần phải có giải pháp khác để khắc phục nhược điểm này.

Obfsproxy

Đây là giải pháp mà máy chủ sẽ  gói dữ liệu bằng 1 lớp che dấu thêm (còn gọi là obfuscation) sẽ khiến khó để nhận diện ra phần mềm OpenVPN đang được dùng. Giải pháp này dã được sử dụng bởi  Tor gần đây để vượt qua các rào cản ngăn cản sử dụng trình duyệt này của chính phủ Trung Quốc.

Để sử dụng Obfsproxy thì nó cần được cài đặt trên cá máy tính người dùng và máy chủ VPN. Như đã nói,  giải pháp này không bảo mật bằng nếu so sánh với các phương thức đường hầm (tunneling) khác cũng như không có khả năng mã hóa. Ngược lại, nó giải tỏa áp lực băng thông đường truyền.  Đây là giải pháp lý tưởng ở các quốc gia đang gặp kho khăn về băng thông như  Syria hoặc Ethiopia. Cuối cùng,  Obfsproxy cũng khá dễ để cấu hình và cài đặt.

Tạo đường hầm SSL cho OpenVPN

SSL là viết  tắt của cụm từ tiếng Anh là Secure Socket Layer channel và là giải pháp thay thế hiệu quả cho OpenVPN. Nhiều máy chủ  proxy áp dụng giải pháp này để bảo vệ kết nối của họ.  Ngoài ra, nó cũng hoàn toàn ẩn đi  OpenVPN. Tuy nhiên, do OpenVPN sử dụng mã hóa TLS hoặc SSL hoàn toàn khác so với đường hầm SSL thông thường nên dễ dàng bị phát hiện bởi kỹ thuật DPI.  Để khắc phục điều này, có thể tạo thêm một lớp bảo vệ thêm khi DPI sẽ không thể đi qua lớp bên ngoài của SSL channel.

Kết luận

Có thể nói  OpenVPN thực chất không khác biệt gì  một kết nói SSL nếu không có kỹ thuật DPI. Và điều này càng đúng khi  OpenVPN được định tuyến qua cổng TCP port 443. Tuy vậy, những quốc gia như Trung quốc hoặc Iran đang thắt chặc các truy cập mạng internet của người dân thông qua các các kỹ thuật có thể phát hiện ra các kết nối đường hầm. Do đó, người dùng nên biết được rủi ro khi duyệt web và có biện pháp bảo vệ thích đáng.