¿Es posible determinar la diferencia entre una VPN en el puerto 443 en comparación con el tráfico SSL estándar?
Para acceder a los sitios web SSL, necesita abrir el puerto 443, pero si configura un servicio VPN en el puerto 443 puede marcar fuera del firewall.
Sí. Incluso si ejecuta una VPN en el puerto 443, el HTTPS (que usa el puerto 443) y las VPN tienen diferencias suficientes dentro de los protocolos que pueden distinguirse desde el exterior para que un firewall o dispositivo que realice una inspección profunda de paquetes pueda clasificarlos inmediatamente.
Si su firewall no bloquea una conexión VPN en el puerto 443, es probable que el firewall solo esté filtrando los puertos o que aún no tenga firmas de protocolo para las conexiones VPN.
Es posible diferenciar entre "tráfico VPN" y "tráfico SSL estándar", por supuesto, para una noción apropiada de "estándar". Supongo que por "estándar", te refieres a las personas que usan un navegador web para acceder a los sitios web de HTTPS.
El punto es que si bien SSL es bastante bueno para ocultar contenidos de datos, pierde la longitud de los datos: al observar los registros de SSL, se puede calcular la longitud de los contenidos de texto claro (posiblemente hasta la precisión de un solo byte). Un navegador web emitirá solicitudes HTTP, cuya longitud es generalmente de unos pocos cientos de bytes, lo que resulta en una respuesta correspondiente (y mayor); y habrá pausas. El tráfico IP genérico encapsulado en una VPN basada en SSL debe mostrar un patrón distinto (en particular, los protocolos de enlace de tres vías TCP deben ser bastante visibles).
Aunque estas pruebas nunca serán 100% confiables, pueden ser bastante efectivas. A menos que los usuarios estén plenamente conscientes de la presencia y el funcionamiento de dicho mecanismo de detección, e intenten vencerlo. Esto puede convertirse en una larga y tediosa guerra de detección y sigilo. Si sus usuarios están realmente interesados en configurar una VPN, este podría ser por alguna razón bastante legítima; puede valer la pena replantearse por qué quiere bloquear VPN pero aún así permitir "HTTPS estándar".
Si puede configurar su VPN para que se conecte primero a través del puerto TCP 443 y luego asegure las comunicaciones bajo SSL (en realidad use TLS) y solo luego utilice el protocolo VPN ... entonces finalmente evitará que el firewall pueda detectar que es tráfico VPN en lugar de tráfico HTTP.
Dicho de otra manera, el tráfico de VPN de texto simple sobre 443 se verá como el tráfico de VPN, coincidiendo con cualquier protocolo en uso. El tráfico SSL VPN sobre 443 se verá como el tráfico SSL.
Lea otras preguntas en las etiquetas tls vpn proxy detection monitoring