Dopo quasi quattro anni dalla pubblicazione del ramo 2.4 e di quali versioni minori venivano rilasciate (correzioni di bug e alcune funzionalità aggiuntive) La versione OpenVPN 2.5.0 è stata preparata.
Questa nuova versione viene fornito con molti cambiamenti importanti, di cui i più interessanti che possiamo trovare sono relativi ai cambiamenti nella crittografia, così come il passaggio a IPv6 e l'adozione di nuovi protocolli.
Informazioni su OpenVPN
Per coloro che non hanno familiarità con OpenVPN, dovresti saperlo questo è uno strumento di connettività basato su software gratuito, SSL (Secure Sockets Layer), rete privata virtuale VPN.
OpenVPN offre connettività punto-punto con convalida gerarchica di utenti e host connessi da remoto. È un'ottima opzione nelle tecnologie Wi-Fi (reti wireless IEEE 802.11) e supporta un'ampia configurazione, incluso il bilanciamento del carico.
OpenVPN è uno strumento multipiattaforma che ha semplificato la configurazione delle VPN rispetto a quelle più vecchie e più difficili da configurare come IPsec e rendendola più accessibile a persone inesperte in questo tipo di tecnologia.
Principali novità di OpenVPN 2.5.0
Tra le modifiche più importanti possiamo scoprire che questa nuova versione di OpenVPN 2.5.0 è supporta la crittografia datalink utilizzando la crittografia del flusso ChaCha20 e l'algoritmo autenticazione dei messaggi (MAC) Poly1305 che si posizionano come controparti più veloci e sicure di AES-256-CTR e HMAC, la cui implementazione software consente di ottenere tempi di esecuzione fissi senza l'utilizzo di speciali supporti hardware.
La capacità di fornire a ogni cliente una chiave tls-crypt unica, che consente alle grandi organizzazioni e ai provider VPN di utilizzare la stessa protezione dello stack TLS e le stesse tecniche di prevenzione DoS che erano precedentemente disponibili in piccole configurazioni utilizzando tls-auth o tls-crypt.
Un altro cambiamento importante è il meccanismo migliorato per negoziare la crittografia utilizzato per proteggere il canale di trasmissione dei dati. Ncp-ciphers è stato rinominato in data-ciphers per evitare ambiguità con l'opzione tls-cipher e per sottolineare che data-ciphers è preferito per la configurazione dei cifrari del canale dati (il vecchio nome è stato mantenuto per compatibilità).
I client ora inviano un elenco di tutte le crittografie di dati che supportano al server utilizzando la variabile IV_CIPHERS, che consente al server di selezionare la prima crittografia compatibile con entrambi i lati.
Il supporto della crittografia BF-CBC è stato rimosso dalle impostazioni predefinite. OpenVPN 2.5 ora supporta solo AES-256-GCM e AES-128-GCM per impostazione predefinita. Questo comportamento può essere modificato utilizzando l'opzione di crittografia dei dati. Quando si aggiorna a una versione più recente di OpenVPN, la configurazione di Crittografia BF-CBC nei vecchi file di configurazione sarà convertito per aggiungere BF-CBC alla suite di cifratura dei dati e la modalità di backup della crittografia dei dati abilitata.
Aggiunto supporto per l'autenticazione asincrona (differito) al plugin auth-pam. Allo stesso modo, l'opzione "–client-connect" e l'API plug-in connect hanno aggiunto la possibilità di rinviare la restituzione del file di configurazione.
Su Linux, è stato aggiunto il supporto per le interfacce di rete instradamento e inoltro virtuale (VRF). L'opzione "–Bind-dev" viene fornito per posizionare un connettore esterno in VRF.
Supporto per la configurazione di indirizzi IP e percorsi utilizzando l'interfaccia Netlink fornita dal kernel Linux. Netlink viene utilizzato quando viene creato senza l'opzione "–enable-iproute2" e consente di eseguire OpenVPN senza i privilegi aggiuntivi richiesti per eseguire l'utilità "ip".
Il protocollo ha aggiunto la possibilità di utilizzare l'autenticazione a due fattori o l'autenticazione aggiuntiva sul Web (SAML), senza interrompere la sessione dopo la prima verifica (dopo la prima verifica, la sessione rimane nello stato 'non autenticato' e attende la seconda autenticazione fase da completare).
Di altri cambiamenti che risaltano:
- Ora puoi lavorare solo con indirizzi IPv6 all'interno del tunnel VPN (in precedenza era impossibile farlo senza specificare gli indirizzi IPv4).
- Possibilità di associare la crittografia dei dati e le impostazioni di crittografia dei dati di backup ai client dallo script di connessione del client.
- Possibilità di specificare la dimensione MTU per l'interfaccia tun / tap in Windows.
Supporto per la scelta del motore OpenSSL per accedere alla chiave privata (es. TPM).
L'opzione "–auth-gen-token" ora supporta la generazione di token basata su HMAC. - Possibilità di utilizzare / 31 netmasks nelle impostazioni IPv4 (OpenVPN non tenta più di impostare un indirizzo di trasmissione).
- Aggiunta l'opzione "–block-ipv6" per bloccare qualsiasi pacchetto IPv6.
- Le opzioni "–ifconfig-ipv6" e "–ifconfig-ipv6-push" consentono di specificare il nome host invece dell'indirizzo IP (l'indirizzo sarà determinato dal DNS).
- Supporto TLS 1.3. TLS 1.3 richiede almeno OpenSSL 1.1.1. Aggiunte le opzioni "–tls-ciphersuites" e "–tls-groups" per regolare i parametri TLS.