affected/package: 流量会被防火墙识别吗？

bjdgyc / anylink

AnyLink是一个企业级远程办公 ssl vpn 软件，可以支持多人同时在线使用。基于 openconnect 协议开发，并且借鉴了 ocserv 的开发思路，可以完全兼容 AnyConnect 客户端。

GNU Affero General Public License v3.0

1.56k stars 375 forks source link

affected/package: 流量会被防火墙识别吗？ #264

Open do02fw opened 11 months ago

do02fw commented 11 months ago

没有遇到问题，只是咨询一下，使用了什么加密协议以及算法？会不会被防火墙识别或者拦截？

使用的anylink版本 ?

./anylink tool -v
管理后台也可以查看

使用操作系统的类型和版本?

如： centos 7.9

cat /etc/issue
cat /etc/redhat-release

使用linux 内核版本?

uname -a

具体遇到的问题，可上传截图

bjdgyc commented 11 months ago

使用的思科anyconnect协议，https://datatracker.ietf.org/doc/html/draft-mavrogiannopoulos-openconnect-02

主流防火墙应该都能识别

itviewer commented 11 months ago

使用的思科anyconnect协议，https://datatracker.ietf.org/doc/html/draft-mavrogiannopoulos-openconnect-02

主流防火墙应该都能识别

个人理解，协议虽然是公开的，但其运行在https内，tls握手都是通用的，私以为其和正常https流量并没有明显特征区分。单纯通过流量分析应该不能区分正常https还是vpn。但是它可以怀疑你服务器运行的是某种vpn，然后通过简单工具主动嗅探服务器是否是anyconnect协议。普通防火墙应该不具备这样的功能。

itviewer commented 9 months ago

https://github.com/tlslink/anylink-client/issues/25

ocserv 新增了在地址后加 ？key 功能，思科客户端也是支持的，原则上探测工具无法再简单的靠修改user-agent来探测是普通网站还是VPN服务

itviewer commented 9 months ago

不过思科客户端的问题是只向 init 地址发送 ?key，其它如 /auth, /CSCOSSLC/tunnel 地址不携带，这样就没法发挥 camouflage 的作用