当前随着网安部门对互联网违法犯罪的不断深入整治与打击,电信诈骗、网络黑产、黑客攻击和网络非法言论等违法犯罪行为在网上的活动变得越来越隐蔽化,嫌疑人通过代理、VPN方式联网,采取随意切换IP地址、使用境外IP地址登录等方式躲避公安机关追踪溯源,在互联网上进行各种犯罪,肆意发表言论,严重威胁到我国网络安全环境。
在我国私自提供VPN服务属违法行为,对VPN服务器开展电子数据取证将为案件侦办提供关键证据支撑。
引 言
近年来,西方国家与境外敌对反华势力利用互联网对我国的渗透日趋严峻,随着网络信息科技的日新月异,意识形态的传播呈现出从传统领域向网络领域延伸的特点。网络空间不仅是不同意识形态和价值观念汇聚的表达平台,更是不同意识形态争夺的战场。
我国对于境外有害内容、应用的整治,从政治色情类网站到社交软件应用,很多具有明显意识形态的网站、应用被屏蔽,然而国内一些有特殊利益需求、电信诈骗犯罪、黑客产业链等群体以及民运、维稳、涉恐对象对VPN等翻墙工具的依赖性极强。
VPN等翻墙工具的搭建成本及技术门槛并不高,在国外购买VPS,就可以通过脚本将其变成VPN对外销售,利润相当可观,很多网民甚至能通过一键安装脚本自行在国外主机搭建VPN等工具,这使得通过销售VPN来赚钱成为一个可行的商业方案。随着VPN需求的日益扩大,VPN逐步形成了一个产业。
如何对翻墙行为取证固定,溯源并打击VPN服务提供者成为上述案件侦办中必不可少的取证环节,本文将着重讨论VPN的发展技术以及客户端和服务器端的取证思路。
一、VPN在我国的现状
(一) VPN的特点
隐藏真实IP地址,如网络黑产、黑客攻击、薅羊毛等;
绕过网络审查,避开长城防火墙访问境外网站;
加速服务,如为网络游戏提供提速、部署CDN内容分发网络节点;
模拟地域,如绕开网站访问地域限制、视频版权播放区域限制。
当前我国手机用户已超过10亿,越来越多的人通过手机替代了计算机上网,通过手机使用VPN需要安装相应的APP应用程序,个人计算机使用VPN则在网络和共享中心中新增VPN链接后设置IP、密码,导入相关证书即可。
(二) 代理与VPN的区别
代理服务器通常是在应用层( HTTP)或传输层( SOCK )完成,属于软件应用层的应用范围,代理过程所有传输数据在代理服务器上都可获取,代理破网虽实现了匿名访问网络,但存在隐私安全。用户与VPN之间的链接通过建立加密通道传输数据,所有数据都通过VPN隧道传输,应用范围属于系统全局,VPN能实现代理的所有功能,移动智能终端使用VPN需要安装客户端应用,但VPN服务器上可保留日志记录,通过服务器可获取用户访问数据。
二、VPN的技术分析
在破网的实际过程中,有多种方式的VPN使用方法和技术。根据不同的划分标准,VPN可 以按如下几种类型进行分类:
(一) 按VPN的协议分类
VPN的隧道协议主要有三种,PPTP、L2TP和IPSec。其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议; IPSec是第三层隧道协议。
PPTP支持通过公共网络(例如Internet )建立按需的、多协议的、虚拟专用网络。PPTP允许加密IP通讯,然后在要跨越公司IP网络或公共IP网络(如Internet )发送的IP头中对其进行封装。
PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。PPTP只能在两端点间建立单一隧道,L2TP支持在两端点间使用多隧道,用户可以针对不同的服务质量创建不同的隧道。IPSec有两种模式,传输模式和隧道模式。使用隧道模式时,IPSec对IP报头和有效负载进行加密,VPN客户端要访问的目标IP和内容隐藏在加密数据中,从而实现绕过长城防火墙的目的,而加密后数据无法在网络上路由,故IPSec隧道再增加新的IP头(目标IP指向VPN服务器),加密数据传输到VPN服务器后,服务器解密数据,获取客户端欲访问的真实目标IP,转发从而实现翻墙功能。而传输模式只对IP有效负载进行加密,未对IP头进行修改,不能实现翻墙功能。
(二) 按VPN的应用分类
1、Access VPN ( 远程接入VPN )
客户端到网关,使用公网作为骨干网在设备之间传输VPN数据流量。此类VPN服务方式较为普遍,一般网民破网翻墙:主要采取此方式。
2、Intranet VPN (内联网VPN )
网关到网关,通过公司的网络架构连接来自同公司的资源。
3、Extranet VPN (外联网VPN )
与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接。
(三) VPN在实际生活中的应用
VPN在现实中有多种实现方式,常见的有VPN服务器、软件VPN、硬件VPN、集成VPN。当前互联网上开源VPN搭建方案较多,网民可在香港地区或以外地区购买一台VPS服务器, 并做简单设置后即可提供VPN服务。目前较为流行的开源VPN如表1所示。
表1 开源VPN信息表
三、案件中VPN相关调查取证思路
在实际案件中,对私自利用VPS搭建VPN应用,并非法提供VPN服务的情形,首要任务是通过现场勘验或远程勘验方式对VPS服务器进行取证,固定VPN的运行痕迹,配置文件和日志文件。对使用VPN的终端,通过常规计算机勘验即可取证。因开源VPN方案较多,本部分重点就CentOS系统下部署strongswan VPN的取证展开讨论。
(一) VPN服务器端的取证
1、信息收集
考虑到此类取证涉案VPN服务器多为异地或境外,采取远程勘验情形较多。在开展远勘前首先向办案部门获取VPN服务器管理员口令,并保证全程录音录像,登录服务器后查看在线用户,并立即修改管理员口令,以防其他用户登录服务器修改、删除文件内容。
图1 踢出可疑用户
还需要提取系统时间、内存、网络状态、系统进程、端口、开机启动项、主机与外部的通信连接信息等易丢失数据。
2、关键数据提取
在取得服务器控制权并提取易丢失数据后,着重对VPS服务器中部署VPN相关数据进行提取。Strongswan是一个基于IPSec的多平台VPN解决方案,该程序安装成功后部分文件路径如表2所示。
表2 部分文件路径信息表
从表中可以看出,strongswan部署 成功后会产生三个配置文件strongswan.conf、ipsec.conf和 ipsec.secrets。其中strongswan.conf文件为主配置文件,保护VPN的DNS地址、是否开启日志等信息。
图2 strongswan.conf配置文件
图3 ipsec.conf配置文件
lpsec.conf文件可获取证书配置信息、共享密钥认证信息和客户端连接后的IP地址段,其中专门针对IOS、android、windows有 配置说明。
lpsec.secrets文件可获取配置认证方式和认证用户名、密码信息,通过命令strongswan status可查看 当前连接服务器使用VPN的用户。
图4 当前VPN连接状态
(二) 客户端取证
苹果手机在VPN选项中可直接查看VPN类型、服务器地址、用户名及密码。安卓和苹果系统手机在使用IKEV1类型VPN时无需证书,直接以“用户名+密码+共享密码”方式登录,可直接提取;使用IKEV2类型VPN时,若为自签名证书,则手机需手动导入证书。
Windows7以_上的个人计算机均支持IKEV2类型,证书导入在“受信任的根证书颁发机构”中,可通过运行mmc命令从“计算机的证书管理”单元找到证书,在“控制面板>网络和Intermet>网络连接”中找到VPN链接地址。通过对VPN服务器的远程取证,提取关键配置和日志文件、VPN服务运行状态和用户连接状态等电子数据,固定服务器提供VPN应用的事实,可为后期依照相关法律法规打击处理提供证据支撑。
四、结语
随着互联网犯罪的黑产、灰产对匿名访问网络的需求增大,翻墙破网已成为此类人群的上网常态,并不断催生出越来越多的VPN制销团队。当前从法律和技术来说对VPN的屏蔽和封杀存在许多问题,但制售VPN的人或团队则相对固定,以盈利为目的,通过资金链可有效追溯犯罪嫌疑人的真实身份。一旦锁定嫌疑对象,结合现场或远程电子数据勘验固定VPN服务器相关日志数据,可为侦查办案提供证据支撑,实施精准打击。
转自:LBS,作者:赵文浩 高进春