案例：VPN破网技术及取证研究( 二 ) _VPN

(二) 按VPN的应用分类
1、Access VPN ( 远程接入VPN )
客户端到网关，使用公网作为骨干网在设备之间传输VPN数据流量。此类VPN服务方式较为普遍，一般网民破网翻墙：主要采取此方式。
2、Intranet VPN (内联网VPN )
网关到网关，通过公司的网络架构连接来自同公司的资源。
3、Extranet VPN (外联网VPN )
与合作伙伴企业网构成Extranet ，将一个公司与另一个公司的资源进行连接。
(三) VPN在实际生活中的应用
VPN在现实中有多种实现方式，常见的有VPN服务器、软件VPN、硬件VPN、集成VPN 。当前互联网上开源VPN搭建方案较多，网民可在香港地区或以外地区购买一台VPS服务器，并做简单设置后即可提供VPN服务。目前较为流行的开源VPN如表1所示。

文章插图

表1 开源VPN信息表
三、案件中VPN相关调查取证思路
在实际案件中，对私自利用VPS搭建VPN应用，并非法提供VPN服务的情形，首要任务是通过现场勘验或远程勘验方式对VPS服务器进行取证，固定VPN的运行痕迹，配置文件和日志文件。对使用VPN的终端，通过常规计算机勘验即可取证。因开源VPN方案较多，本部分重点就centos系统下部署strongswan VPN的取证展开讨论。
(一) VPN服务器端的取证
1、信息收集
考虑到此类取证涉案VPN服务器多为异地或境外，采取远程勘验情形较多。在开展远勘前首先向办案部门获取VPN服务器管理员口令，并保证全程录音录像，登录服务器后查看在线用户，并立即修改管理员口令，以防其他用户登录服务器修改、删除文件内容。

文章插图

图1 踢出可疑用户
还需要提取系统时间、内存、网络状态、系统进程、端口、开机启动项、主机与外部的通信连接信息等易丢失数据。
2、关键数据提取
在取得服务器控制权并提取易丢失数据后，着重对VPS服务器中部署VPN相关数据进行提取。Strongswan是一个基于IPSec的多平台VPN解决方案，该程序安装成功后部分文件路径如表2所示。

文章插图

表2 部分文件路径信息表
从表中可以看出， strongswan部署成功后会产生三个配置文件strongswan.conf、ipsec.conf和 ipsec.secrets 。其中strongswan.conf文件为主配置文件，保护VPN的DNS地址、是否开启日志等信息。

文章插图

图2 strongswan.conf配置文件

文章插图
【案例：VPN破网技术及取证研究】
图3 ipsec.conf配置文件
lpsec.conf文件可获取证书配置信息、共享密钥认证信息和客户端连接后的IP地址段，其中专门针对IOS、Android、windows有配置说明。
lpsec.secrets文件可获取配置认证方式和认证用户名、密码信息，通过命令strongswan status可查看当前连接服务器使用VPN的用户。

文章插图

图4 当前VPN连接状态
(二) 客户端取证
苹果手机在VPN选项中可直接查看VPN类型、服务器地址、用户名及密码。安卓和苹果系统手机在使用IKEV1类型VPN时无需证书，直接以“用户名+密码+共享密码”方式登录，可直接提取；使用IKEV2类型VPN时，若为自签名证书，则手机需手动导入证书。
Windows7以_上的个人计算机均支持IKEV2类型，证书导入在“受信任的根证书颁发机构”中，可通过运行mmc命令从“计算机的证书管理”单元找到证书，在“控制面板>网络和Intermet>网络连接”中找到VPN链接地址。通过对VPN服务器的远程取证，提取关键配置和日志文件、VPN服务运行状态和用户连接状态等电子数据，固定服务器提供VPN应用的事实，可为后期依照相关法律法规打击处理提供证据支撑。
四、结语
随着互联网犯罪的黑产、灰产对匿名访问网络的需求增大，翻墙破网已成为此类人群的上网常态，并不断催生出越来越多的VPN制销团队。当前从法律和技术来说对VPN的屏蔽和封杀存在许多问题，但制售VPN的人或团队则相对固定，以盈利为目的，通过资金链可有效追溯犯罪嫌疑人的真实身份。一旦锁定嫌疑对象，结合现场或远程电子数据勘验固定VPN服务器相关日志数据，可为侦查办案提供证据支撑，实施精准打击。