Près de quatre ans après la publication de la branche 2.4 et de quelles versions mineures ont été publiées (corrections de bogues et quelques fonctionnalités supplémentaires) La version OpenVPN 2.5.0 a été préparée.
Cette nouvelle version s'accompagne de nombreux changements majeurs, dont les plus intéressants que l'on puisse trouver sont liés aux changements de chiffrement, ainsi qu'au passage à IPv6 et à l'adoption de nouveaux protocoles.
À propos d'OpenVPN
Pour ceux qui ne connaissent pas OpenVPN, sachez que il s'agit d'un outil de connectivité basé sur un logiciel gratuit, SSL (Secure Sockets Layer), réseau privé virtuel VPN.
OpenVPN offre une connectivité point à point avec validation hiérarchique des utilisateurs et des hôtes connectés à distance. C'est une très bonne option dans les technologies Wi-Fi (réseaux sans fil IEEE 802.11) et prend en charge une configuration large, y compris l'équilibrage de charge.
OpenVPN est un outil multiplateforme qui a simplifié la configuration des VPN par rapport aux VPN plus anciens et plus difficiles à configurer comme IPsec et le rendant plus accessible aux personnes inexpérimentées dans ce type de technologie.
Principales nouveautés d'OpenVPN 2.5.0
Parmi les changements les plus importants, nous pouvons constater que cette nouvelle version d'OpenVPN 2.5.0 est prend en charge le cryptage liaison de données utilisant le chiffrement de flux ChaCha20 et l'algorithme authentification de message (MAC) Poly1305 qui se positionnent comme des homologues plus rapides et plus sûrs de AES-256-CTR et HMAC, dont la mise en œuvre logicielle permet d'atteindre des temps d'exécution fixes sans l'utilisation d'un support matériel spécial.
La possibilité de fournir à chaque client une clé tls-crypt unique, qui permet aux grandes organisations et aux fournisseurs de VPN d'utiliser les mêmes techniques de protection de pile TLS et de prévention DoS qui étaient auparavant disponibles dans de petites configurations à l'aide de tls-auth ou tls-crypt.
Un autre changement important est le mécanisme amélioré pour négocier le chiffrement utilisé pour protéger le canal de transmission de données. Renommé ncp-ciphers en data-ciphers pour éviter toute ambiguïté avec l'option tls-cipher et pour souligner que data-ciphers est préférable pour configurer les chiffrements de canal de données (l'ancien nom a été conservé pour compatibilité).
Les clients envoient maintenant une liste de tous les chiffrements de données qu'ils prennent en charge au serveur à l'aide de la variable IV_CIPHERS, qui permet au serveur de sélectionner le premier chiffrement pris en charge par les deux côtés.
La prise en charge du cryptage BF-CBC a été supprimée des paramètres par défaut. OpenVPN 2.5 prend désormais en charge uniquement AES-256-GCM et AES-128-GCM par défaut. Ce comportement peut être modifié à l'aide de l'option de chiffrement des données. Lors de la mise à niveau vers une version plus récente d'OpenVPN, la configuration de Cryptage BF-CBC dans les anciens fichiers de configuration sera converti pour ajouter BF-CBC à la suite de chiffrement de données et le mode de sauvegarde du cryptage des données est activé.
Ajout de la prise en charge de l'authentification asynchrone (reporté) au plugin auth-pam. De même, l'option "–client-connect" et l'API de connexion du plugin ont ajouté la possibilité de différer le renvoi du fichier de configuration.
Sur Linux, la prise en charge des interfaces réseau a été ajoutée routage et transfert virtuels (VRF). L'option "–Bind-dev" est fourni pour placer un connecteur étranger dans VRF.
Prise en charge de la configuration des adresses IP et des routes à l'aide de l'interface Netlink fournie par le noyau Linux. Netlink est utilisé lorsqu'il est construit sans l'option «–enable-iproute2» et vous permet d'exécuter OpenVPN sans les privilèges supplémentaires requis pour exécuter l'utilitaire «ip».
Le protocole a ajouté la possibilité d'utiliser une authentification à deux facteurs ou une authentification supplémentaire sur le Web (SAML), sans interrompre la session après la première vérification (après la première vérification, la session reste dans l'état `` non authentifié '' et attend la deuxième authentification étape à terminer).
Des autres des changements qui se démarquent:
- Vous ne pouvez désormais travailler qu'avec des adresses IPv6 dans le tunnel VPN (auparavant, il était impossible de le faire sans spécifier d'adresses IPv4).
- Possibilité de lier le chiffrement des données et de sauvegarder les paramètres de chiffrement des données aux clients à partir du script de connexion client.
- Possibilité de spécifier la taille MTU pour l'interface tun / tap dans Windows.
Prise en charge du choix du moteur OpenSSL pour accéder à la clé privée (par exemple TPM).
L'option «–auth-gen-token» prend désormais en charge la génération de jetons basée sur HMAC. - Possibilité d'utiliser / 31 masques de réseau dans les paramètres IPv4 (OpenVPN n'essaie plus de définir une adresse de diffusion).
- Ajout de l'option "–block-ipv6" pour bloquer tout paquet IPv6.
- Les options «–ifconfig-ipv6» et «–ifconfig-ipv6-push» vous permettent de spécifier le nom d'hôte au lieu de l'adresse IP (l'adresse sera déterminée par DNS).
- Prise en charge de TLS 1.3. TLS 1.3 nécessite au moins OpenSSL 1.1.1. Ajout des options «–tls-ciphersuites» et «–tls-groups» pour ajuster les paramètres TLS.