Μετά από σχεδόν τέσσερα χρόνια από τη δημοσίευση του υποκαταστήματος 2.4 και από τις οποίες κυκλοφόρησαν μικρές εκδόσεις (επιδιορθώσεις σφαλμάτων και ορισμένες πρόσθετες λειτουργίες) Προετοιμάστηκε η έκδοση OpenVPN 2.5.0.
Αυτή η νέα έκδοση έρχεται με πολλές σημαντικές αλλαγές, εκ των οποίων το πιο ενδιαφέρον που μπορούμε να βρούμε σχετίζονται με αλλαγές στην κρυπτογράφηση, καθώς και με τη μετάβαση στο IPv6 και την υιοθέτηση νέων πρωτοκόλλων.
Σχετικά με το OpenVPN
Για όσους δεν είναι εξοικειωμένοι με το OpenVPN, πρέπει να το γνωρίζετε αυτό είναι ένα εργαλείο συνδεσιμότητας βασισμένο σε δωρεάν λογισμικό, SSL (Secure Sockets Layer), Εικονικό ιδιωτικό δίκτυο VPN.
OpenVPN προσφέρει συνδεσιμότητα από σημείο σε σημείο με ιεραρχική επικύρωση συνδεδεμένων χρηστών και κεντρικών υπολογιστών ελάχιστα. Είναι μια πολύ καλή επιλογή στις τεχνολογίες Wi-Fi (ασύρματα δίκτυα IEEE 802.11) και υποστηρίζει μια ευρεία διαμόρφωση, συμπεριλαμβανομένης της εξισορρόπησης φορτίου.
Το OpenVPN είναι ένα εργαλείο πολλών πλατφορμών που απλοποίησε τη διαμόρφωση των VPN σε σύγκριση με τα παλαιότερα και πιο δύσκολο να διαμορφωθεί όπως το IPsec και καθιστώντας το πιο προσιτό για άτομα που δεν έχουν εμπειρία σε αυτόν τον τύπο τεχνολογίας.
Κύρια νέα χαρακτηριστικά του OpenVPN 2.5.0
Από τις πιο σημαντικές αλλαγές μπορούμε να διαπιστώσουμε ότι αυτή η νέα έκδοση του OpenVPN 2.5.0 είναι υποστηρίζει κρυπτογράφηση datalink χρησιμοποιώντας κρυπτογράφηση ροής ChaCha20 και ο αλγόριθμος έλεγχος ταυτότητας μηνύματος (MAC) Poly1305 που τοποθετούνται ως ταχύτερα και ασφαλέστερα αντίστοιχα των AES-256-CTR και HMAC, των οποίων η εφαρμογή λογισμικού επιτρέπει την επίτευξη σταθερών χρόνων εκτέλεσης χωρίς τη χρήση ειδικής υποστήριξης υλικού.
La ικανότητα να παρέχει σε κάθε πελάτη ένα μοναδικό κλειδί tls-crypt, το οποίο επιτρέπει σε μεγάλους οργανισμούς και παρόχους VPN να χρησιμοποιούν τις ίδιες τεχνικές προστασίας στοίβας TLS και DoS που ήταν προηγουμένως διαθέσιμες σε μικρές διαμορφώσεις χρησιμοποιώντας tls-auth ή tls-crypt.
Μια άλλη σημαντική αλλαγή είναι η βελτιωμένος μηχανισμός διαπραγμάτευσης της κρυπτογράφησης χρησιμοποιείται για την προστασία του καναλιού μετάδοσης δεδομένων. Μετονομάστηκε ncp-ciphers σε data-ciphers για να αποφευχθεί η ασάφεια με την επιλογή tls-cipher και να υπογραμμιστεί ότι τα data-ciphers προτιμώνται για τη διαμόρφωση κανάλι δεδομένων ciphers (το παλιό όνομα διατηρείται για συμβατότητα).
Οι πελάτες στέλνουν τώρα μια λίστα όλων των κρυπτογράφων δεδομένων που υποστηρίζουν στον διακομιστή χρησιμοποιώντας τη μεταβλητή IV_CIPHERS, η οποία επιτρέπει στον διακομιστή να επιλέξει την πρώτη κρυπτογράφηση που είναι συμβατή και με τις δύο πλευρές.
Η υποστήριξη κρυπτογράφησης BF-CBC καταργήθηκε από τις προεπιλεγμένες ρυθμίσεις. Το OpenVPN 2.5 υποστηρίζει τώρα μόνο AES-256-GCM και AES-128-GCM από προεπιλογή. Αυτή η συμπεριφορά μπορεί να αλλάξει χρησιμοποιώντας την επιλογή κρυπτογράφησης δεδομένων. Κατά την αναβάθμιση σε νεότερη έκδοση του OpenVPN, η διαμόρφωση του Κρυπτογράφηση BF-CBC σε παλιά αρχεία διαμόρφωσης θα μετατραπεί για προσθήκη BF-CBC στη σουίτα κρυπτογράφησης δεδομένων και ενεργοποιήθηκε η λειτουργία δημιουργίας αντιγράφων ασφαλείας κρυπτογράφησης δεδομένων.
Προστέθηκε υποστήριξη για ασύγχρονο έλεγχο ταυτότητας (αναβάλλεται) στην προσθήκη auth-pam. Παρομοίως, η επιλογή "–client-connect" και το plugin connect API πρόσθεσαν τη δυνατότητα αναβολής της επιστροφής του αρχείου διαμόρφωσης.
Στο Linux, προστέθηκε υποστήριξη για διασυνδέσεις δικτύου εικονική δρομολόγηση και προώθηση (VRF). Η επιλογή Το "–Bind-dev" παρέχεται για την τοποθέτηση ενός ξένου συνδετήρα στο VRF.
Υποστήριξη για τη διαμόρφωση διευθύνσεων IP και διαδρομών χρησιμοποιώντας τη διασύνδεση Netlink που παρέχεται από τον πυρήνα Linux. Το Netlink χρησιμοποιείται όταν δημιουργείται χωρίς την επιλογή "-enable-iproute2" και επιτρέπει στο OpenVPN να εκτελείται χωρίς τα πρόσθετα δικαιώματα που απαιτούνται για την εκτέλεση του βοηθητικού προγράμματος "ip".
Το πρωτόκολλο προσέθεσε τη δυνατότητα χρήσης ελέγχου ταυτότητας δύο παραγόντων ή πρόσθετου ελέγχου ταυτότητας μέσω του Διαδικτύου (SAML), χωρίς διακοπή της περιόδου λειτουργίας μετά την πρώτη επαλήθευση (μετά την πρώτη επαλήθευση, η περίοδος σύνδεσης παραμένει σε κατάσταση «χωρίς έλεγχο ταυτότητας» και περιμένει τον δεύτερο έλεγχο ταυτότητας στάδιο για ολοκλήρωση).
Των άλλων αλλαγές που ξεχωρίζουν:
- Τώρα μπορείτε να εργαστείτε μόνο με διευθύνσεις IPv6 στη σήραγγα VPN (στο παρελθόν ήταν αδύνατο να το κάνετε χωρίς να καθορίσετε διευθύνσεις IPv4).
- Δυνατότητα δέσμευσης κρυπτογράφησης δεδομένων και ρυθμίσεων κρυπτογράφησης δεδομένων σε πελάτες από το σενάριο σύνδεσης πελάτη.
- Δυνατότητα καθορισμού του μεγέθους MTU για τη διεπαφή tun / tap στα Windows.
Υποστήριξη για την επιλογή του κινητήρα OpenSSL για πρόσβαση στο ιδιωτικό κλειδί (π.χ. TPM).
Η επιλογή "–auth-gen-token" υποστηρίζει τώρα τη δημιουργία διακριτικών που βασίζονται σε HMAC. - Δυνατότητα χρήσης / 31 netmasks στις ρυθμίσεις IPv4 (το OpenVPN δεν προσπαθεί πλέον να ορίσει μια διεύθυνση εκπομπής).
- Προστέθηκε η επιλογή "–block-ipv6" για αποκλεισμό οποιουδήποτε πακέτου IPv6.
- Οι επιλογές "–ifconfig-ipv6" και "–ifconfig-ipv6-push" σάς επιτρέπουν να καθορίσετε το όνομα κεντρικού υπολογιστή αντί της διεύθυνσης IP (η διεύθυνση θα καθοριστεί από το DNS).
- Υποστήριξη TLS 1.3. Το TLS 1.3 απαιτεί τουλάχιστον OpenSSL 1.1.1. Προστέθηκαν οι επιλογές "–tls-ciphersuites" και "–tls-groups" για προσαρμογή των παραμέτρων TLS.