OpenVPN er et tilslutningsværktøj baseret på gratis software: SSL, VPN Virtual Private Network.
Efter to et halvt år siden udgivelsen af 2.5 filialen, lanceringen blev annonceretog den nye version af OpenVPN 2.6.0, en pakke til at skabe virtuelle private netværk, der gør det muligt at organisere en krypteret forbindelse mellem to klientmaskiner eller levere en centraliseret VPN-server, så flere klienter kan arbejde samtidigt.
For dem der ikke er bekendt med OpenVPN, skal du vide det dette er et gratis softwarebaseret tilslutningsværktøj, SSL (Secure Sockets Layer), VPN Virtual Private Network.
OpenVPN tilbyder punkt-til-punkt-forbindelse med hierarkisk validering af forbundne brugere og værter eksternt. Det er en meget god mulighed inden for Wi-Fi-teknologier (IEEE 802.11 trådløse netværk) og understøtter en bred konfiguration, herunder belastningsbalancering.
Vigtigste nye funktioner i OpenVPN 2.6.0
I den nye version fremhæves det ovpn-dco kernemodulet er inkluderet i pakken, hvilket kan fremskynde VPN-ydeevnen betydeligt.
Acceleration opnås ved at flytte alle krypteringsoperationer, pakkebehandling og kommunikationskanalstyring ved siden af linux-kernen, som gør det muligt at slippe af med de overhead, der er forbundet med kontekstskift, gør det muligt at optimere arbejdet ved direkte at få adgang til den interne kerne, udover det API og eliminerer langsom dataoverførsel mellem kernen og brugerrummet (modulet udfører krypteringen , dekryptering og routing uden at sende trafik til en controller i brugerrummet).
I de udførte tests, sammenlignet med konfigurationen baseret på tun-grænsefladen, tillod brugen af modulet på klient- og serversiden ved hjælp af AES-256-GCM-kryptering at opnå en stigning i ydeevnen på 8 gange (fra 370 Mbit / s til 2950 Mbit/s). Ved kun at bruge modulet på klientsiden øgedes ydeevnen tre gange for udgående trafik og ændredes ikke for indgående trafik. Ved kun at bruge modulet på serversiden steg ydeevnen 4 gange for indgående trafik og 35% for udgående.
En anden ændring, der skiller sig ud fra den nye version, er den muligheden for at bruge TLS-tilstand er tilvejebragt med selvsignerede certifikater (ved at bruge "–peer-fingerprint" muligheden, kan du udelade "–ca" og "–capath" parametrene og undgå at starte en PKI-server baseret på Easy-RSA eller lignende software).
Ud over dette bemærkes det også, at UDP-serveren implementerer en cookie-baseret forbindelsesforhandlingstilstand, der bruger en HMAC-baseret cookie som en sessionsidentifikator, hvilket gør det muligt for serveren at udføre tilstandsløs verifikation.
På den anden side tilføjede den understøttelse til kompilering med OpenSSL 3.0-biblioteket, samt tilføjede muligheden "–tls-cert-profile insecure" for at vælge minimumsniveauet for OpenSSL-sikkerhed.
Vi kan også opdage, at nye kontrolkommandoer remote-entry-count og remote-entry-get er blevet tilføjet for at tælle antallet af eksterne forbindelser og opregne dem.
I nøgleforhandlingsprocessen er EKM-mekanismen (Exported Keying Material, RFC 5705) nu en højere prioritet metode til at opnå nøglegenereringsmateriale i stedet for den specifikke OpenVPN PRF-mekanisme. EKM kræver OpenSSL-biblioteket eller mbed TLS 2.18+.
Support til OpenSSL leveres i FIPS-tilstand, hvilket gør det muligt at bruge OpenVPN på systemer, der opfylder sikkerhedskravene i FIPS 140-2.
Af de andre ændringer, der skiller sig ud fra den nye version:
- mlock implementerer kontrol for tilstrækkelig hukommelsesallokering. Hvis mindre end 100 MB RAM er tilgængeligt, kaldes setrlimit() for at øge grænsen.
- Tilføjet mulighed "–peer-fingerprint" for at validere eller binde certifikat med tommelfingeraftryk baseret på SHA256-hash, uden at bruge tls-verify.
- For scripts leveres doven godkendelse, implementeret af "–auth-user-pass-verify" muligheden. Tilføjet support til at informere klienten om afventende godkendelse ved brug af forsinket godkendelse i scripts og plugins.
- Tilføjet kompatibilitetstilstand (–compat-tilstand) for at tillade forbindelse til ældre servere, der kører OpenVPN 2.3.x eller tidligere.
Endelig, hvis du er interesseret i at vide mere om det, kan du se detaljerne I det følgende link.