VPN-obfuskering – vad är det här för tungvridar-trams? Skämt åsido är obfuskerings-tekniken ett mycket fiffigt påfund som vi ska bekanta oss lite närmare med bums.
Obfuskering är ett engelskt ord som ofta används inom IT-sammanhang. Det betyder i runda slängar ”avsiktlig tillkrångling”. It-ord.se beskriver begreppet som:
”En avsiktlig tillkrångling av meddelanden i syfte att göra dem svårare för obehöriga att tolka dem. Kryptering räknas inte som obfuskering, utan ordet används om andra sätt att förvilla människor och maskiner.”
VPN-företagen krypterar era internetuppkopplingar och döljer era riktiga IP-adresser. Det är förstås helt perfekt, men det kan inte likställas med obfuskering. Jag förstår att obfuskerings-tekniken kan verka krånglig på ytan, men frukta ej – häng med ett tag så slätar vi ut alla tänkbara frågetecken.
Nu har vi snackat lite löst om vad VPN-obfuskering är, men vi har en lång väg framför oss. Härnäst tar vi en kik på varför VPN-obfuskering blivit populärt inom VPN-svängen, när ni bör använda er av obfuskering, varför obfuskering är viktigt tillsammans med mycket annat.
2 VPN:er med VPN-obfuskering
1. Private Internet Access (PIA)
PIA erbjuder VPN-obfuskering genom att kombinera multihop och Shadowsocks. Trafiken dirigeras först genom flera VPN-servrar och sedan genom en Shadowsocks-proxy, vilket gör VPN-trafiken svår att identifiera. Denna funktion är tillgänglig på Windows, MacOS, Linux och Android via OpenVPN-protokollet.
2. OVPN
OVPN erbjuder inte inbyggd obfuskering i sina standardappar, men det kan man lösa via verktyg som obfsproxy eller shapeshifter-dispatcher. Rätt avancerad datavana krävs dock.
Varför används VPN-obfuskering inom VPN-svängen?
VPN-obfuskering osynliggör VPN-trafik. Mer specifikt får ni ta del av ett extra krypteringslager som maskerar VPN-trafik, och det slutliga målet är att myndigheter och internetoperatörer inte ska kunna märka av att ni skyddar er med en VPN-tjänst.
Obfuskerings-tekniken fungerar utmärkt tillsammans med OpenVPN-protokollet. Samma protokoll är mycket vanligt inom VPN-branschen, men har två uppenbara nackdelar. Det är aningen tungrott och sist men inte minst – känsligt för DPI (Deep Packet Inspection)-genomsökningar.
Om ni inte hört talas om DPI tidigare kan jag berätta att det används för att kontrollera nätverkstrafik. DPI kan beskrivas som en datafiltrerings-teknik som undersöker alla datapaket som färdas över nätverket, och tack vare det kan bland annat skadlig kod och spionprogram identifieras.
DPI-tekniken kan även användas för att särskilja VPN-trafik från vanlig HTTPS-trafik, och det är just där som VPN-obfuskeringen kommer in i bilden.
Hur fungerar VPN-obfuskering?
Obfuskerings-tekniken kan fungera på olika sätt, men för att beskriva ett exempel är det följande som gäller på OpenVPN-sidan.
Ett OpenVPN-datapaket består grovt sett av två delar, en ”header” och en ”payload”. Headern är viktigast i det här sammanhanget. Den berättar för omvärlden att det är ett OpenVPN-paket som tuffar fram.
Men VPN-obfuskeringen är smart. Den skrubbar bort Headerns metadata (beskrivande attribut), och tack vare det ska DPI-bestyckade brandväggar kunna överlistas. Målet är alltid att DPI-brandväggarna inte ska ha en aning om huruvida ni använder en VPN-tjänst eller inte.
OpenVPN-datapaketen ska med andra ord efterlikna vanlig HTTPS-trafik för att på så sätt kunna lura brandväggarna. Brandväggarna kan dock vinna kampen genom att försöka identifiera den obfuskerings-teknik som används, eller som genom att blockera all HTTPS-trafik, men den sistnämnda varianten skulle dock vara ganska förödande.
När bör ni använda VPN-obfuskering?
1. När ni befinner er i länder som blockerar VPN-trafik
Ni bör inte använda er av VPN-obfuskering för jämnan, det är onödigt då hastighetsläget kan påverkas. Men om ni befinner er i ett land som tillämpar starka censurlagar, såsom Irak, Kina eller Turkiet, obfuskera away.
I de länder som precis nämnts (och några till) är internetoperatörerna tvingade att använda DPI-teknik för att på så sätt kunna blockera VPN-trafik, och samtidigt släppa igenom vanlig HTTPS-trafik.
Under inledningen av 2020 haffades en kinesisk man som sålt otillåtna (dvs. säkra) VPN-tjänster. Men trots gripandet väljer många turister att använda sig av VPN-tjänster som klarar av att lura Kinas jättebrandvägg, och de straffas inte för den sakens skull.
Om ni använder en VPN i ett land som inte är fritt – tänk på att hålla er borta från Tor-nätverket och politiska forum, samt att använda er av obfuskerings-teknik förstås.
2. När ni vill använda en VPN-tjänst på jobbet eller i skolan
Många skolor/universitet och arbetsplatser skyddar sina nätverk med hjälp av starka (och irriterande) brandväggar, där VPN-trafik ofta är strängt förbjuden.
Mer specifikt har många av de nätverk som precis nämnts utrustats med DPI-teknik, med mål att blockera VPN-trafik. Men med en VPN-tjänst som erbjuder obfuskering värd namnet bör ni kunna ”lura systemet”.
3. När ni vill bättra på anonymiteten
Då obfuskerings-tekniken osynliggör VPN-trafik har myndigheter, hackers och internetoperatörer inte en aning om att ni skyddar er med en VPN. Tack vare det får anonymitetsläget sig en skjuts i rätt riktning.
4. När ni vill låsa upp tv-plattformar
Streamingportaler såsom Netflix, BBC iPlayer, SVT Play och C More svartlistar IP-nummer, söker igenom portar och använder sig av DPI-teknik. Målet är alltid detsamma – de ska mota bort användare som befinner sig i ”fel” länder.
Även här är VPN-obfuskeringen räddaren i nöden, då samma teknik nästan alltid klarar av att överlista tv-plattformarnas löjliga motåtgärder.
5. När ni vill kringgå VPN-blockeringar på offentliga Wi-Fi-nätverk
Offentliga Wi-Fi-nätverk, såsom de på flygplatser eller hotell, kan blockera VPN-trafik. Genom att använda obfuskering kan ni dölja VPN-användningen och upprätthålla säkerheten även på dessa nätverk.
Vilka obfuskerings-tekniker använder VPN-företagen?
Nu har vi kommit en bit på vägen, och för att sammanfatta läget döljer obfuskerings-tekniken VPN-trafik på ett mycket effektivt sätt. Men nu blir det dock lite snårigt.
Många VPN-företag erbjuder obfuskerings-teknik, men döper ofta funktionen till olika saker. ”Stealth VPN”, ”Cloaking technology”, ”Stealth mode” är tre vanliga namn som beskriver exakt samma sak. En standardiserad och välkänd benämning inte suttit helt fel.
Då smiter vi vidare, och för all del – ta en huvudvärkstablett. Nu kikar vi närmare på fyra obfuskerings-tekniker som är vanligt förekommande inom VPN-svängen.
1. OpenVPN Scramble
OpenVPN Scramble använder XOR-algoritmen för att maskera OpenVPN-trafik, vilket gör den mindre identifierbar för DPI-tekniker. Trots sin enkelhet är den effektiv mot vissa censurmetoder, men den har kritiserats för sin begränsade säkerhet och används inte i den officiella OpenVPN-klienten.
OpenVPN Scramble har tyvärr även ett ganska dåligt rykte, då många it-brottslingar använder sig av XOR-algoritmen för att kunna dölja spionprogram på ett lömskt och tyvärr ganska fiffigt sätt.
2. Obfsproxy
Obfsproxy är ett verktyg utvecklat för Tor-projektet som kan användas för att obfuskera trafik, inklusive OpenVPN. Det fungerar genom att kapsla in trafiken i ett extra lager, vilket gör den svårare att identifiera. Trots detta kan avancerade DPI-system ibland märka av att man använder detta verktyg.
En del kritiker säger dock då här: Programmet är lättviktigt, krypteringen är svag, och då krypteringsmönstret är lite väl slumpmässigt vinner ofta DPI-brandväggarna kampen.
3. OpenVPN över SSL
OpenVPN över SSL innebär att OpenVPN-trafiken kapslas in i en SSL-tunnel, vilket gör den svår att särskilja från vanlig HTTPS-trafik. Denna metod är effektiv mot DPI, men kan påverka hastigheten negativt och kräver ofta manuell konfiguration.
Det är dock få VPN-företag som väljer att satsa på den här obfuskeringstypen. Dels för att installationsprocessen är omständlig och dels för att man får en dålig uppkopplingshastighet.
4. Shadowsocks
Shadowsocks är ett lättvikts SOCKS5-proxyprotokoll som används för att kringgå internetcensur, särskilt i länder som Kina. Det kan användas fristående eller tillsammans med VPN-protokoll som OpenVPN för att maskera trafiken. Installation och konfiguration kräver dock avancerade tekniska kunskaper.
5. Obfs4
Obfs4 är en vidareutveckling av Obfsproxy som erbjuder en förbättrad motståndskraft mot DPI och är svårare att detektera. Det används ofta i kombination med Tor och vissa VPN-tjänster för att kringgå avancerade censurmetoder.
6. V2Ray/VMess
V2Ray är en plattform för att bygga proxyverktyg, och dess protokoll VMess används för att obfuskera trafik. Det är särskilt effektivt i miljöer med strikt censur och används ofta i Kina.
7. SoftEther
SoftEther är en VPN-programvara som stöder flera protokoll och har inbyggda obfuskeringstekniker. Den kan emulera HTTPS-trafik, vilket gör det svårt för DPI-system att identifiera VPN-användning.
Använd obfuskerings-tekniken på rätt sätt
VPN-obfuskering är fiffigt, men som vi varit inne och nosat på tidigare kan hastighetsläget påverkas. OpenVPN-protokollet är dessutom ganska tungrott, så om ni har en långsam internetförbindelse redan från start kan obfuskerings-tekniken förvandla en medioker uppkoppling till en snigeluppkoppling.
Men loppet är inte kört. Använd gärna de här knepen för att minimera hastighetsminskningen.
1. Koppla upp er mot den närmsta VPN-servern
Det fysiska avståndet är av stor betydelse. Om ni ansluter er mot en närliggande VPN-server går det snabbare för datapaketen att åka tur och retur, och tack vare det förbättras hastighetsläget. Ha gärna som vana att koppla upp er mot en VPN-server som är placerad i samma land som ni befinner er i, eller i bästa fall samma stad.
2. Använd Split Tunneling
Split Tunneling-tekniken är riktigt behändig. Tack vare den kan ni själva välja vilken trafik som ska skyddas, samt vilket trafik som ska förbli oskyddad. Ni kan exempelvis välja att skydda webbläsaren samtidigt som ni låter alla spelklienter få vara ifred.
Det är en bra idé att dela upp VPN-trafiken på det här sättet, då enheter och/eller program som inte måste skyddas inte heller påverkas av en eventuell hastighetsminskning.
3. Ändra DNS-inställningar
DNS-uppgifter finns alltid på plats, oavsett vilken operatör ni använder er av. Prova gärna att byta era befintliga DNS-adresser för att istället köra på Googles eller Cloudflares öppna DNS-varianter. Det finns inga garantier för att hastighetsläget förbättras, men den här metoden kan trots allt vara värd ett försök.
Att byta VPN-protokoll – är det effektivt?
När Netflix och BBC iPlayer strejkar är det många som försöker byta VPN-protokoll för att få streamingjättarna att ge med sig. Och jepp – ibland funkar det utmärkt att byta VPN-protokoll för att lura tv-plattformarna.
Men tänk gärna på att OpenVPN-protokollet är ruskigt starkt när det kommer till VPN-obfuskering. Om inte en obfuskerad OpenVPN-uppkoppling fixar biffen är chansen minimal att något annat protokoll räddar dagen.
VPN-obfuskering – yay or nay?
Har ni använt er av den här tekniken, och om så är fallet – är ni nöjda? Märkte ni av några hastighetsförändringar – eller kanske något annat som är värt att ta upp? Snacka gärna mer om saken i kommentarsfältet.






