לאחר כמעט ארבע שנים מאז פרסום סניף 2.4 ואילו גרסאות קלות שוחררו (תיקוני באגים וכמה תכונות נוספות) מהדורת OpenVPN 2.5.0 הוכנה.
גרסה חדשה זו מגיע עם הרבה שינויים גדולים, מהם המעניינים ביותר שנוכל למצוא קשורים לשינויים בהצפנה, כמו גם למעבר ל- IPv6 ואימוץ פרוטוקולים חדשים.
אודות OpenVPN
למי שלא מכיר את OpenVPN, כדאי שתדע זאת זהו כלי קישוריות מבוסס תוכנה חופשית, SSL (Secure Sockets Layer), רשת VPN וירטואלית פרטית.
OpenVPN מציע קישוריות נקודה לנקודה עם אימות היררכי של משתמשים ומארחים מחוברים מרחוק. זו אפשרות טובה מאוד בטכנולוגיות Wi-Fi (רשתות אלחוטיות IEEE 802.11) ותומכת בתצורה רחבה, כולל איזון עומסים.
OpenVPN הוא כלי מרובה צורות שהפשט את התצורה של רשתות VPN בהשוואה לתצורה ישנה יותר וקשה יותר כגון IPsec והפך אותה לנגישה יותר עבור אנשים חסרי ניסיון בסוג זה של טכנולוגיה.
התכונות החדשות העיקריות של OpenVPN 2.5.0
מבין השינויים החשובים ביותר אנו יכולים למצוא כי גרסה חדשה זו של OpenVPN 2.5.0 היא תומך בהצפנה קישור נתונים באמצעות הצפנת זרם ChaCha20 והאלגוריתם אימות הודעות (MAC) Poly1305 הממוקמים כמקבילים מהירים ובטוחים יותר של AES-256-CTR ו- HMAC, אשר יישום התוכנה שלהם מאפשר להשיג זמני ביצוע קבועים ללא שימוש בתמיכת חומרה מיוחדת.
La יכולת לספק לכל לקוח מפתח tls-crypt ייחודי, המאפשר לארגונים גדולים ולספקי VPN להשתמש באותן טכניקות הגנה על מחסניות TLS וטכניקות למניעת DoS שהיו זמינות בעבר בתצורות קטנות באמצעות tls-auth או tls-crypt.
שינוי חשוב נוסף הוא מנגנון משופר למשא ומתן על הצפנה משמש להגנה על ערוץ העברת הנתונים. שמות הצפנה ל- ncp הוחלפו לציפני נתונים כדי למנוע עמימות באפשרות tls-cipher ולהדגיש כי הצפנה לנתונים מועדפת על מנת להגדיר תצפית ערוצי נתונים (השם הישן נשמר לצורך תאימות).
כעת הלקוחות שולחים לשרת רשימה של כל צופני הנתונים שהם תומכים בהם באמצעות המשתנה IV_CIPHERS, המאפשר לשרת לבחור את הצופן הראשון התואם לשני הצדדים.
תמיכה בהצפנת BF-CBC הוסרה מהגדרות ברירת המחדל. OpenVPN 2.5 תומך כעת רק ב- AES-256-GCM ו- AES-128-GCM כברירת מחדל. ניתן לשנות התנהגות זו באמצעות אפשרות הצפנת הנתונים. בעת שדרוג לגרסה חדשה יותר של OpenVPN, התצורה של הצפנת BF-CBC בקבצי תצורה ישנים יומר כדי להוסיף BF-CBC לחבילת צופן הנתונים ומצב גיבוי להצפנת נתונים מופעל.
נוסף תמיכה לאימות אסינכרוני (נדחה) לתוסף ה- auth-pam. באופן דומה, האפשרות "–client-connect" ו- API של חיבור התוסף הוסיפו את היכולת לדחות את החזרת קובץ התצורה.
ב- Linux נוספה תמיכה בממשקי רשת ניתוב והעברה וירטואלית (VRF). האפשרות "–Bind-dev" מסופק להצבת מחבר זר ב- VRF.
תמיכה בקביעת תצורה של כתובות IP ונתיבים באמצעות ממשק Netlink המסופק על ידי ליבת לינוקס. Netlink משמש כאשר הוא נבנה ללא האפשרות "–enable-iproute2" ומאפשר לך להפעיל את OpenVPN ללא ההרשאות הנוספות הנדרשות להפעלת כלי השירות "ip".
הפרוטוקול הוסיף את היכולת להשתמש באימות דו-גורמי או באימות נוסף דרך האינטרנט (SAML), מבלי להפריע להפעלה לאחר האימות הראשון (לאחר האימות הראשון, ההפעלה נשארת במצב 'לא מאומת' והמתינה לאימות השני שלב להשלמה).
של אחרים שינויים הבולטים:
- כעת אתה יכול לעבוד רק עם כתובות IPv6 בתוך מנהרת ה- VPN (בעבר אי אפשר היה לעשות זאת בלי לציין כתובות IPv4).
- יכולת לאגד הצפנת נתונים והגדרות הצפנת נתונים לגיבוי ללקוחות מתסריט חיבור הלקוח.
- יכולת לציין את גודל MTU עבור ממשק ה- tun / tap ב- Windows.
תמיכה בבחירת מנוע OpenSSL לגישה למפתח הפרטי (למשל TPM).
האפשרות "–auth-gen-token" תומכת כעת בדור אסימונים מבוסס HMAC. - יכולת שימוש / 31 מסיכות רשת בהגדרות IPv4 (OpenVPN כבר לא מנסה להגדיר כתובת שידור).
- נוספה אפשרות "–block-ipv6" לחסימת כל מנות IPv6.
- האפשרויות "–ifconfig-ipv6" ו- "–ifconfig-ipv6-push" מאפשרות לך לציין את שם המארח במקום את כתובת ה- IP (הכתובת תיקבע על ידי DNS).
- תמיכה ב- TLS 1.3. TLS 1.3 דורש לפחות OpenSSL 1.1.1. נוסף אפשרויות "–tls-ciphersuites" ו- "–tls-groups" להתאמת פרמטרי TLS.