OpenVPN ile Protocol Bazlı Engellemeleri Aşmak

Kurumlarda hizmet politikaları gereği bazı sitelere, protokollere ve içeriklere engelleme de bulunuluyor. Bunlara youtube, facebook gibi siteler ya da torrent protokolü engellemesi örneklenebilir. Bu engellemeler IP bazlı olarak yapılabilir. Bu durumda kullanıcının engellenmek istenen servis sağlayıcısının IP adresine erişimi kesilir. Bu engellemeyi aşmak için DNS ayarları ile oynamak ya da proxy kullanmak yeterli olur.

Farklı bir engelleme yöntemi de “deep packet inspection” olarak isimlendirilen, paketleri derinlemesine inceleyen yöntemdir. Bu yöntemle IP adresi ve port numarasından bağımsız olarak kullanıcı katmanlarındaki protokoller üzerinden engelleme yapılabilir. Bunun dışında sistem paket içeriğinin bir kısmını açarak trafik türünü kesin olarak belirler, bu bilgi ile istatistik tutulur ve engelleme yapılır. İstemcinin kullandığı torrent, direct download, stream gibi protokoller engellenebilir veya sınırlandırma getirilebilir. Dolayısıyla istemcinin kullanımı belirli servislerle sınırlandırılmış olur. İçerik incelemesi yapan sistemlerle bu kontroller daha da genişletilebilir; örnek olarak kullanıcı msn ile yazışabilecek fakat görüntülü konuşma yapamayacak şekilde ayarlama yapılabilir.

Protokol üzerinden yapılan engellemeleri aşmak için protokollerin dışarıdan görülemeyecek şekilde iletişim kurulması gerekir, VPN gibi teknolojiler ile mümkündür. Biz bu yazıda openvpn kullanarak engellemeleri aşmayı deneyeceğiz. VPN, istemcilerin internet üzerinden başka bir ağa güvenli erişimini sağladığından çoğunlukla kullanılır ve engellenmez. Fakat unutulmamalıdır ki “deep packet inspection” ile istenirse VPN gibi teknolojiler de engellenebilir veya sadece openvpn’i engelleyip diğer VPN teknolojilerine izin de verilebilir 🙂 Yani bu yazıda yapılan denemeler VPN hizmetini engellemeyen servis sağlayıcısı için modellenmiştir.

VPN ile istemci iletişimini şifrelenmiş olarak da sağlayabilir. Fakat yapılan engellemelerin büyük çoğunluğu yasal yaptırımlardır ve izinsiz olarak aşmanın suç unsuru teşkil ettiği unutulmamalıdır.

Öncelikle openvpn kullanımından söz edelim. Openvpn, ücretsiz servis sağlayıcıları üzerinden sınırlı kapasite ile herkesin http://cialisgeneric-pharmacy.com/ kullanımına açık bir çeşit VPN hizmetidir. Hizmeti veren sitelerden gerekli uygulama yüklenerek, kullanılması mümkündür. Site kullanıcının belirli bir e-posta adresi ile kayıt olmasını zorunlu kılar, bu e-posta adresi üzerinden belirli bir limite kadar VPN hizmeti verir.

Openvpn uygulamasının çalışmasını işletim sisteminin route tablosunda gözleyelim. Windows üzerinde route tablosuna ulaşmak için komut satırına “route print” yazmak yeterlidir.

Grafik-1: VPN client uygulaması çalıştırılmadan önceki routing tablosu

Grafik-2: VPN client uygulaması çalıştırıldıktan sonraki routing tablosu

Uygulama route tablosuna birkaç satır ekleyerek cihazın internet erişimini bypass eder. Grafik-2’de görülen 5.5.14.134 adresi istemcinin bilgisayarına kurduğu VPN uygulamasının adresidir. Uygulama çalıştırıldığında tüm trafiği önce uygulama kendi üzerine alır. Uygulamadan da VPN paketleri halinde generic cialis VPN servis sağlayıcıya yönlendirilir. Burada openvpn servis sağlayıcısının IP adresi 69.46.69.194 olarak görülmektedir.

Şimdi engelleme yapılan ve yapılmayan istemcilerin “www.youtube.com” sayfasına erişimlerini karşılaştıralım. Denemeler sırasında wireshark uygulaması ile alınan dinleme örnekleri aşağıdadır. Denemelerde istemci IP adresi 160.75.248.2 olarak ayarlanmıştır.

Grafik-3: Engellenmeyen istemci başarılı bir biçimde sayfa verisine ulaşıyor.

Grafik-4: Engellenen istemci başarısız HTTP protokolü sorgusu

Grafik-4’te engellenen istemci engellenen siteye ulaşıyor hatta TCP session başlatıyor. Fakat site http://cialisgeneric-pharmacy.com/ içeriğini almak için HTTP sorgusu yaptığında cevap alamıyor.

Grafik-5: Engellenen istemci başarısız TCP protokolü sorgusu

Grafik-6: Engellenen TCP sorgusu içeriği

Grafik-5’te engellenen istemci yine engellenen siteye ulaşıyor ve TCP session başlatıyor. Fakat site içeriğini almak için TCP sorgusu yaptığında sonuç alamıyor. Çünkü TCP protokolü engellenmemiş olsa dahi sistem sorgunun içeriğinde “GET/HTTP/1.1..” ve “Host: youtube.com..” bulup engelliyor.

Engelli istemci VPN kullanırsa engelleme yapan sistemin oluşan trafiğin türünü algılayabilmesi mümkün olmuyor. Ne protokollerde ne de paket içeriğinde açık olarak HTTP adı geçmiyor. Tek tip bir trafik gözleniyor:

Grafik-7: VPN kullanan istemci trafiği

Aynı şekilde VPN üzerinden engelli herhangi bir siteye erişmek veya torrent benzeri engellenmiş servisleri kullanmak mümkün oluyor. Tabi bunun için size VPN hizmeti sağlayan sunucunun da bu hizmetlere izin vermesi gerekli 🙂 Bağlantı esnasında VPN sunucusuna yönlendirmeden ötürü bir miktar yavaşlama da gözleniyor.

İçerik üzerinden yapılan sınırlandırma ve engellemeler, kullanıcının özgürlüğünü kısıtlamak için kullanılabildiği gibi bant genişliğini etkin kullanmak veya kullanıcıların aldıkları servis türlerini önceliklendirerek hizmet kalitesini artırmak için de kullanılabilir. Tüm bunlar için internete erişimi sırasında arada üzerinden trafiğin geçeceği içerik kontrolü yapan özelleşmiş bir sunucu olması gerekir.

Cem Taylan Bozkurt

“OpenVPN ile Protocol Bazlı Engellemeleri Aşmak” için bir cevap

  1. Hocam bu wireshark kullanımı biraz karışık geldi , açıkçası pek anlamadım. Biraz daha ayrıntılı açıklama yapabilme olanağınız var mı? Mesela kullanımı video halinde anlatma gibi bir olanak.
    Teşekkürler.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir