案例:VPN破网技术及取证研究( 二 )


(二) 按VPN的应用分类
1、Access VPN ( 远程接入VPN )
客户端到网关 , 使用公网作为骨干网在设备之间传输VPN数据流量 。此类VPN服务方式较为普遍 , 一般网民破网翻墙:主要采取此方式 。
2、Intranet VPN (内联网VPN )
网关到网关 , 通过公司的网络架构连接来自同公司的资源 。
3、Extranet VPN (外联网VPN )
与合作伙伴企业网构成Extranet , 将一个公司与另一个公司的资源进行连接 。
(三) VPN在实际生活中的应用
VPN在现实中有多种实现方式 , 常见的有VPN服务器、软件VPN、硬件VPN、集成VPN 。当前互联网上开源VPN搭建方案较多 , 网民可在香港地区或以外地区购买一台VPS服务器 ,  并做简单设置后即可提供VPN服务 。目前较为流行的开源VPN如表1所示 。

案例:VPN破网技术及取证研究

文章插图
 
表1 开源VPN信息表
三、案件中VPN相关调查取证思路
在实际案件中 , 对私自利用VPS搭建VPN应用 , 并非法提供VPN服务的情形 , 首要任务是通过现场勘验或远程勘验方式对VPS服务器进行取证 , 固定VPN的运行痕迹 , 配置文件和日志文件 。对使用VPN的终端 , 通过常规计算机勘验即可取证 。因开源VPN方案较多 , 本部分重点就centos系统下部署strongswan VPN的取证展开讨论 。
(一) VPN服务器端的取证
1、信息收集
考虑到此类取证涉案VPN服务器多为异地或境外 , 采取远程勘验情形较多 。在开展远勘前首先向办案部门获取VPN服务器管理员口令 , 并保证全程录音录像 , 登录服务器后查看在线用户 , 并立即修改管理员口令 , 以防其他用户登录服务器修改、删除文件内容 。
案例:VPN破网技术及取证研究

文章插图
 
图1 踢出可疑用户
还需要提取系统时间、内存、网络状态、系统进程、端口、开机启动项、主机与外部的通信连接信息等易丢失数据 。
2、关键数据提取
在取得服务器控制权并提取易丢失数据后 , 着重对VPS服务器中部署VPN相关数据进行提取 。Strongswan是一个基于IPSec的多平台VPN解决方案 , 该程序安装成功后部分文件路径如表2所示 。
案例:VPN破网技术及取证研究

文章插图
 
表2 部分文件路径信息表
从表中可以看出 , strongswan部署 成功后会产生三个配置文件strongswan.conf、ipsec.conf和 ipsec.secrets 。其中strongswan.conf文件为主配置文件 , 保护VPN的DNS地址、是否开启日志等信息 。
案例:VPN破网技术及取证研究

文章插图
 
图2 strongswan.conf配置文件
案例:VPN破网技术及取证研究

文章插图
【案例:VPN破网技术及取证研究】 
图3 ipsec.conf配置文件
lpsec.conf文件可获取证书配置信息、共享密钥认证信息和客户端连接后的IP地址段 , 其中专门针对IOS、Android、windows有 配置说明 。
lpsec.secrets文件可获取配置认证方式和认证用户名、密码信息 , 通过命令strongswan status可查看 当前连接服务器使用VPN的用户 。
案例:VPN破网技术及取证研究

文章插图
 
图4 当前VPN连接状态
(二) 客户端取证
苹果手机在VPN选项中可直接查看VPN类型、服务器地址、用户名及密码 。安卓和苹果系统手机在使用IKEV1类型VPN时无需证书 , 直接以“用户名+密码+共享密码”方式登录 , 可直接提取;使用IKEV2类型VPN时 , 若为自签名证书 , 则手机需手动导入证书 。
Windows7以_上的个人计算机均支持IKEV2类型 , 证书导入在“受信任的根证书颁发机构”中 , 可通过运行mmc命令从“计算机的证书管理”单元找到证书 , 在“控制面板>网络和Intermet>网络连接”中找到VPN链接地址 。通过对VPN服务器的远程取证 , 提取关键配置和日志文件、VPN服务运行状态和用户连接状态等电子数据 , 固定服务器提供VPN应用的事实 , 可为后期依照相关法律法规打击处理提供证据支撑 。
四、结语
随着互联网犯罪的黑产、灰产对匿名访问网络的需求增大 , 翻墙破网已成为此类人群的上网常态 , 并不断催生出越来越多的VPN制销团队 。当前从法律和技术来说对VPN的屏蔽和封杀存在许多问题 , 但制售VPN的人或团队则相对固定 , 以盈利为目的 , 通过资金链可有效追溯犯罪嫌疑人的真实身份 。一旦锁定嫌疑对象 , 结合现场或远程电子数据勘验固定VPN服务器相关日志数据 , 可为侦查办案提供证据支撑 , 实施精准打击 。


推荐阅读