當(dāng)前隨著網(wǎng)安部門對互聯(lián)網(wǎng)違法犯罪的不斷深入整治與打擊,電信詐騙、網(wǎng)絡(luò)黑產(chǎn)、黑客攻擊和網(wǎng)絡(luò)非法言論等違法犯罪行為在網(wǎng)上的活動變得越來越隱蔽化,嫌疑人通過代理、VPN方式聯(lián)網(wǎng),采取隨意切換IP地址、使用境外IP地址登錄等方式躲避公安機(jī)關(guān)追蹤溯源,在互聯(lián)網(wǎng)上進(jìn)行各種犯罪,肆意發(fā)表言論,嚴(yán)重威脅到我國網(wǎng)絡(luò)安全環(huán)境。
在我國私自提供VPN服務(wù)屬違法行為,對VPN服務(wù)器開展電子數(shù)據(jù)取證將為案件偵辦提供關(guān)鍵證據(jù)支撐。
引 言
近年來,西方國家與境外敵對反華勢力利用互聯(lián)網(wǎng)對我國的滲透日趨嚴(yán)峻,隨著網(wǎng)絡(luò)信息科技的日新月異,意識形態(tài)的傳播呈現(xiàn)出從傳統(tǒng)領(lǐng)域向網(wǎng)絡(luò)領(lǐng)域延伸的特點(diǎn)。網(wǎng)絡(luò)空間不僅是不同意識形態(tài)和價值觀念匯聚的表達(dá)平臺,更是不同意識形態(tài)爭奪的戰(zhàn)場。
我國對于境外有害內(nèi)容、應(yīng)用的整治,從政治色情類網(wǎng)站到社交軟件應(yīng)用,很多具有明顯意識形態(tài)的網(wǎng)站、應(yīng)用被屏蔽,然而國內(nèi)一些有特殊利益需求、電信詐騙犯罪、黑客產(chǎn)業(yè)鏈等群體以及民運(yùn)、維穩(wěn)、涉恐對象對VPN等翻墻工具的依賴性極強(qiáng)。
VPN等翻墻工具的搭建成本及技術(shù)門檻并不高,在國外購買VPS,就可以通過腳本將其變成VPN對外銷售,利潤相當(dāng)可觀,很多網(wǎng)民甚至能通過一鍵安裝腳本自行在國外主機(jī)搭建VPN等工具,這使得通過銷售VPN來賺錢成為一個可行的商業(yè)方案。隨著VPN需求的日益擴(kuò)大,VPN逐步形成了一個產(chǎn)業(yè)。
如何對翻墻行為取證固定,溯源并打擊VPN服務(wù)提供者成為上述案件偵辦中必不可少的取證環(huán)節(jié),本文將著重討論VPN的發(fā)展技術(shù)以及客戶端和服務(wù)器端的取證思路。
一、VPN在我國的現(xiàn)狀
(一) VPN的特點(diǎn)
- 隱藏真實(shí)IP地址,如網(wǎng)絡(luò)黑產(chǎn)、黑客攻擊、薅羊毛等;
- 繞過網(wǎng)絡(luò)審查,避開長城防火墻訪問境外網(wǎng)站;
- 加速服務(wù),如為網(wǎng)絡(luò)游戲提供提速、部署CDN內(nèi)容分發(fā)網(wǎng)絡(luò)節(jié)點(diǎn);
- 模擬地域,如繞開網(wǎng)站訪問地域限制、視頻版權(quán)播放區(qū)域限制。
當(dāng)前我國手機(jī)用戶已超過10億,越來越多的人通過手機(jī)替代了計(jì)算機(jī)上網(wǎng),通過手機(jī)使用VPN需要安裝相應(yīng)的App應(yīng)用程序,個人計(jì)算機(jī)使用VPN則在網(wǎng)絡(luò)和共享中心中新增VPN鏈接后設(shè)置IP、密碼,導(dǎo)入相關(guān)證書即可。
(二) 代理與VPN的區(qū)別
代理服務(wù)器通常是在應(yīng)用層( HTTP)或傳輸層( SOCK )完成,屬于軟件應(yīng)用層的應(yīng)用范圍,代理過程所有傳輸數(shù)據(jù)在代理服務(wù)器上都可獲取,代理破網(wǎng)雖實(shí)現(xiàn)了匿名訪問網(wǎng)絡(luò),但存在隱私安全。用戶與VPN之間的鏈接通過建立加密通道傳輸數(shù)據(jù),所有數(shù)據(jù)都通過VPN隧道傳輸,應(yīng)用范圍屬于系統(tǒng)全局,VPN能實(shí)現(xiàn)代理的所有功能,移動智能終端使用VPN需要安裝客戶端應(yīng)用,但VPN服務(wù)器上可保留日志記錄,通過服務(wù)器可獲取用戶訪問數(shù)據(jù)。
二、VPN的技術(shù)分析
在破網(wǎng)的實(shí)際過程中,有多種方式的VPN使用方法和技術(shù)。根據(jù)不同的劃分標(biāo)準(zhǔn),VPN可 以按如下幾種類型進(jìn)行分類:
(一) 按VPN的協(xié)議分類
VPN的隧道協(xié)議主要有三種,PPTP、L2TP和IPSec。其中PPTP和L2TP協(xié)議工作在OSI模型的第二層,又稱為二層隧道協(xié)議; IPSec是第三層隧道協(xié)議。
PPTP支持通過公共網(wǎng)絡(luò)(例如Internet )建立按需的、多協(xié)議的、虛擬專用網(wǎng)絡(luò)。PPTP允許加密IP通訊,然后在要跨越公司IP網(wǎng)絡(luò)或公共IP網(wǎng)絡(luò)(如Internet )發(fā)送的IP頭中對其進(jìn)行封裝。
PPTP和L2TP都使用PPP協(xié)議對數(shù)據(jù)進(jìn)行封裝,然后添加附加包頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸。PPTP只能在兩端點(diǎn)間建立單一隧道,L2TP支持在兩端點(diǎn)間使用多隧道,用戶可以針對不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道。IPSec有兩種模式,傳輸模式和隧道模式。使用隧道模式時,IPSec對IP報頭和有效負(fù)載進(jìn)行加密,VPN客戶端要訪問的目標(biāo)IP和內(nèi)容隱藏在加密數(shù)據(jù)中,從而實(shí)現(xiàn)繞過長城防火墻的目的,而加密后數(shù)據(jù)無法在網(wǎng)絡(luò)上路由,故IPSec隧道再增加新的IP頭(目標(biāo)IP指向VPN服務(wù)器),加密數(shù)據(jù)傳輸?shù)絍PN服務(wù)器后,服務(wù)器解密數(shù)據(jù),獲取客戶端欲訪問的真實(shí)目標(biāo)IP,轉(zhuǎn)發(fā)從而實(shí)現(xiàn)翻墻功能。而傳輸模式只對IP有效負(fù)載進(jìn)行加密,未對IP頭進(jìn)行修改,不能實(shí)現(xiàn)翻墻功能。
(二) 按VPN的應(yīng)用分類
1、Access VPN ( 遠(yuǎn)程接入VPN )
客戶端到網(wǎng)關(guān),使用公網(wǎng)作為骨干網(wǎng)在設(shè)備之間傳輸VPN數(shù)據(jù)流量。此類VPN服務(wù)方式較為普遍,一般網(wǎng)民破網(wǎng)翻墻:主要采取此方式。
2、Intranet VPN (內(nèi)聯(lián)網(wǎng)VPN )
網(wǎng)關(guān)到網(wǎng)關(guān),通過公司的網(wǎng)絡(luò)架構(gòu)連接來自同公司的資源。
3、Extranet VPN (外聯(lián)網(wǎng)VPN )
與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet,將一個公司與另一個公司的資源進(jìn)行連接。
(三) VPN在實(shí)際生活中的應(yīng)用
VPN在現(xiàn)實(shí)中有多種實(shí)現(xiàn)方式,常見的有VPN服務(wù)器、軟件VPN、硬件VPN、集成VPN。當(dāng)前互聯(lián)網(wǎng)上開源VPN搭建方案較多,網(wǎng)民可在香港地區(qū)或以外地區(qū)購買一臺VPS服務(wù)器, 并做簡單設(shè)置后即可提供VPN服務(wù)。目前較為流行的開源VPN如表1所示。
表1 開源VPN信息表
三、案件中VPN相關(guān)調(diào)查取證思路
在實(shí)際案件中,對私自利用VPS搭建VPN應(yīng)用,并非法提供VPN服務(wù)的情形,首要任務(wù)是通過現(xiàn)場勘驗(yàn)或遠(yuǎn)程勘驗(yàn)方式對VPS服務(wù)器進(jìn)行取證,固定VPN的運(yùn)行痕跡,配置文件和日志文件。對使用VPN的終端,通過常規(guī)計(jì)算機(jī)勘驗(yàn)即可取證。因開源VPN方案較多,本部分重點(diǎn)就centos系統(tǒng)下部署strongswan VPN的取證展開討論。
(一) VPN服務(wù)器端的取證
1、信息收集
考慮到此類取證涉案VPN服務(wù)器多為異地或境外,采取遠(yuǎn)程勘驗(yàn)情形較多。在開展遠(yuǎn)勘前首先向辦案部門獲取VPN服務(wù)器管理員口令,并保證全程錄音錄像,登錄服務(wù)器后查看在線用戶,并立即修改管理員口令,以防其他用戶登錄服務(wù)器修改、刪除文件內(nèi)容。
圖1 踢出可疑用戶
還需要提取系統(tǒng)時間、內(nèi)存、網(wǎng)絡(luò)狀態(tài)、系統(tǒng)進(jìn)程、端口、開機(jī)啟動項(xiàng)、主機(jī)與外部的通信連接信息等易丟失數(shù)據(jù)。
2、關(guān)鍵數(shù)據(jù)提取
在取得服務(wù)器控制權(quán)并提取易丟失數(shù)據(jù)后,著重對VPS服務(wù)器中部署VPN相關(guān)數(shù)據(jù)進(jìn)行提取。Strongswan是一個基于IPSec的多平臺VPN解決方案,該程序安裝成功后部分文件路徑如表2所示。
表2 部分文件路徑信息表
從表中可以看出,strongswan部署 成功后會產(chǎn)生三個配置文件strongswan.conf、ipsec.conf和 ipsec.secrets。其中strongswan.conf文件為主配置文件,保護(hù)VPN的DNS地址、是否開啟日志等信息。
圖2 strongswan.conf配置文件
圖3 ipsec.conf配置文件
lpsec.conf文件可獲取證書配置信息、共享密鑰認(rèn)證信息和客戶端連接后的IP地址段,其中專門針對IOS、Android、windows有 配置說明。
lpsec.secrets文件可獲取配置認(rèn)證方式和認(rèn)證用戶名、密碼信息,通過命令strongswan status可查看 當(dāng)前連接服務(wù)器使用VPN的用戶。
圖4 當(dāng)前VPN連接狀態(tài)
(二) 客戶端取證
蘋果手機(jī)在VPN選項(xiàng)中可直接查看VPN類型、服務(wù)器地址、用戶名及密碼。安卓和蘋果系統(tǒng)手機(jī)在使用IKEV1類型VPN時無需證書,直接以“用戶名+密碼+共享密碼”方式登錄,可直接提取;使用IKEV2類型VPN時,若為自簽名證書,則手機(jī)需手動導(dǎo)入證書。
Windows7以_上的個人計(jì)算機(jī)均支持IKEV2類型,證書導(dǎo)入在“受信任的根證書頒發(fā)機(jī)構(gòu)”中,可通過運(yùn)行mmc命令從“計(jì)算機(jī)的證書管理”單元找到證書,在“控制面板>網(wǎng)絡(luò)和Intermet>網(wǎng)絡(luò)連接”中找到VPN鏈接地址。通過對VPN服務(wù)器的遠(yuǎn)程取證,提取關(guān)鍵配置和日志文件、VPN服務(wù)運(yùn)行狀態(tài)和用戶連接狀態(tài)等電子數(shù)據(jù),固定服務(wù)器提供VPN應(yīng)用的事實(shí),可為后期依照相關(guān)法律法規(guī)打擊處理提供證據(jù)支撐。
四、結(jié)語
隨著互聯(lián)網(wǎng)犯罪的黑產(chǎn)、灰產(chǎn)對匿名訪問網(wǎng)絡(luò)的需求增大,翻墻破網(wǎng)已成為此類人群的上網(wǎng)常態(tài),并不斷催生出越來越多的VPN制銷團(tuán)隊(duì)。當(dāng)前從法律和技術(shù)來說對VPN的屏蔽和封殺存在許多問題,但制售VPN的人或團(tuán)隊(duì)則相對固定,以盈利為目的,通過資金鏈可有效追溯犯罪嫌疑人的真實(shí)身份。一旦鎖定嫌疑對象,結(jié)合現(xiàn)場或遠(yuǎn)程電子數(shù)據(jù)勘驗(yàn)固定VPN服務(wù)器相關(guān)日志數(shù)據(jù),可為偵查辦案提供證據(jù)支撐,實(shí)施精準(zhǔn)打擊。
作者:云南玉溪公安 趙文浩 高進(jìn)春
