OpenVPN és una eina de connectivitat basada en programari lliure: SSL, VPN Virtual Private Network.
Després de dos anys i mig des de la publicació de la branca 2.5, es va donar a conèixer el llançament de la nova versió de OpenVPN 2.6.0, un paquet per crear xarxes privades virtuals que permet organitzar una connexió encriptada entre dues màquines client o proporcionar un servidor VPN centralitzat per a múltiples clients per treballar simultàniament.
Per als qui desconeixen d'OpenVPN, han de saber que aquesta és una eina de connectivitat basada en programari lliure, SSL (Secure Sockets Layer), VPN Virtual Private Network (xarxa virtual privada).
OpenVPN ofereix connectivitat punt-a-punt amb validació jeràrquica d'usuaris i host connectats remotament. Resulta una molt bona opció en tecnologies Wi-Fi (xarxes sense fils IEEE 802.11) i permet utilitzar una gran configuració, entre elles balanceig de càrregues.
Principals novetats d'OpenVPN 2.6.0
En la nova versió es destaca que el mòdul kernel ovpn-dco està inclòs al paquet, el que pot accelerar significativament el rendiment de VPN.
L'acceleració s'aconsegueix movent totes les operacions d'encriptació, el processament de paquets i l'administració del canal de comunicació al costat del nucli de Linux, el que permet desfer-se de la sobrecàrrega associada amb el canvi de context, fa possible optimitzar el treball accedint directament al nucli intern, a més d'això l'API i elimina la transferència lenta de dades entre el nucli i l'espai de l'usuari (el mòdul realitza el xifrat, el desxifrat i l'encaminament sense enviar trànsit a un controlador a l'espai de l'usuari).
A les proves realitzades, en comparació amb la configuració basada en la interfície tun, l'ús del mòdul al costat del client i del servidor utilitzant el xifratge AES-256-GCM va permetre aconseguir un augment en el rendiment de 8 vegades (de 370 Mbit /sa 2950 Mbit/s). En utilitzar el mòdul només al costat del client, el rendiment va augmentar tres vegades per al trànsit sortint i no va canviar per al trànsit entrant. En utilitzar el mòdul només al costat del servidor, el rendiment va augmentar 4 vegades per al trànsit entrant i un 35% per al sortint.
Un altre dels canvis que es destaca de la nova versió és que es proporciona la capacitat de fer servir el mode TLS amb certificats autosignats (en utilitzar l'opció “–peer-fingerprint”, podeu ometre els paràmetres “–ca” i “–capath” i prescindir d'iniciar un servidor PKI basat en Easy-RSA o programari similar).
A més, també es destaca que el servidor UDP implementa un mode de negociació de connexió basat en cookies que utilitza una galeta basada en HMAC com a identificador de sessió, cosa que permet que el servidor realitzi una verificació sense estat.
D'altra banda, va afegir suport per compilar amb la biblioteca OpenSSL 3.0, a més que es va afegir l'opció “–tls-cert-profile insecure” per seleccionar el nivell mínim de seguretat d'OpenSSL.
També podrem trobar que es van afegir les noves ordres de control remote-entry-count i remote-entry-get per comptar la quantitat de connexions externes i enumerar-les.
En el procés de negociació de claus, el mecanisme EKM (Exported Keying Material, RFC 5705) és ara un mètode de més prioritat per obtenir material de generació de claus, en lloc del mecanisme OpenVPN PRF específic. EKM requereix la biblioteca OpenSSL o mbed TLS 2.18+.
Es proporciona compatibilitat amb OpenSSL en mode FIPS, cosa que permet utilitzar OpenVPN en sistemes que compleixen amb els requisits de seguretat de FIPS 140-2.
Dels altres canvis que es destaquen de la nova versió:
- mlock implementa la comprovació duna assignació de memòria suficient. Si hi ha menys de 100 MB de RAM disponible, s'anomena setrlimit() per augmentar el límit.
- Es va afegir l'opció “–peer-fingerprint” per validar o vincular el certificat per empremta digital segons el hash SHA256, sense fer servir tls-verify.
- Per a scripts, s'ofereix la possibilitat d'autenticació diferida, implementada mitjançant l'opció “–auth-user-pass-verify”. Es va afegir suport per informar el client sobre l'autenticació pendent quan es fa servir l'autenticació retardada en scripts i complements.
- S'ha afegit el mode de compatibilitat (–compat-mode) per permetre la connexió a servidors més antics que executen OpenVPN 2.3.xo anterior.
Finalment si estàs interessat en poder conèixer més a l'respecte, pots consultar els detalls en el següent enllaç.