OpenVPN 2.6.0はすでにリリースされており、多くの変更が加えられています

Darkcrizt

4分

OpenVPN

OpenVPN は、フリー ソフトウェア (SSL、VPN バーチャル プライベート ネットワーク) に基づく接続ツールです。

2.5ブランチのリリースからXNUMX年半後、 打ち上げが発表されましたそして新しいバージョンの OpenVPN 2.6.0、 XNUMX 台のクライアント マシン間の暗号化された接続を整理したり、複数のクライアントが同時に動作するための集中型 VPN サーバーを提供したりできる仮想プライベート ネットワークを作成するためのパッケージ。

OpenVPNに慣れていない人は、次のことを知っておく必要があります。 これは無料のソフトウェアベースの接続ツールであり、 SSL(Secure Sockets Layer)、VPN仮想プライベートネットワーク。

OpenVPN 接続されたユーザーとホストの階層的検証によるポイントツーポイント接続を提供します リモートで。 これは、Wi-Fiテクノロジー(IEEE 802.11ワイヤレスネットワーク)で非常に優れたオプションであり、負荷分散を含む幅広い構成をサポートします。

OpenVPN2.6.0の主な新機能

新しいバージョンでは、次のことが強調されています ovpn-dco カーネルモジュールがパッケージに含まれています、VPN のパフォーマンスを大幅に高速化できます。

高速化は、すべての暗号化操作を移動することによって実現されます、パケット処理および通信チャネル管理 Linuxカーネルの隣に、 これにより、コンテキストの切り替えに関連するオーバーヘッドを取り除くことができ、API に加えて内部カーネルに直接アクセスして作業を最適化し、カーネルとユーザー空間の間の遅いデータ転送を排除できます (モジュールは暗号化を実行します)。 、復号化、およびトラフィックをユーザー空間のコントローラーに送信せずにルーティングします)。

実行されたテストでは、tun インターフェイスに基づく構成と比較して、AES-256-GCM 暗号化を使用してクライアント側とサーバー側でモジュールを使用すると、8 倍のパフォーマンスの向上を達成できました (370 Mbit /秒から 2950 Mbit/秒)。 クライアント側でのみモジュールを使用することにより、パフォーマンスは送信トラフィックで 4 倍向上し、受信トラフィックでは変化しませんでした。 サーバー側でのみモジュールを使用することで、パフォーマンスが受信トラフィックで 35 倍、送信トラフィックで XNUMX% 向上しました。

新しいバージョンから際立っているもうXNUMXつの変更点は、 TLS モードを使用する機能が提供されます 自己署名証明書を使用する (「–peer-fingerprint」オプションを使用すると、「–ca」および「–capath」パラメーターを省略して、Easy-RSA または類似のソフトウェアに基づく PKI サーバーの起動を回避できます)。

これに加えて、UDP サーバーは、HMAC ベースの Cookie をセッション ID として使用する Cookie ベースの接続ネゴシエーション モードを実装していることにも注意してください。これにより、サーバーはステートレスな検証を実行できます。

一方、OpenSSL 3.0 ライブラリを使用したコンパイルのサポートが追加され、OpenSSL セキュリティの最小レベルを選択するオプション「–tls-cert-profile insecure」が追加されました。

また、新しい制御コマンド remote-entry-count および remote-entry-get が追加され、外部接続の数をカウントしてそれらを列挙することもわかります。

キー ネゴシエーション プロセスでは、EKM (Exported Keying Material、RFC 5705) メカニズムが、特定の OpenVPN PRF メカニズムではなく、キー生成マテリアルを取得するためのより優先度の高い方法になりました。 EKM には、OpenSSL ライブラリまたは mbed TLS 2.18+ が必要です。

OpenSSL のサポートは FIPS モードで提供され、FIPS 140-2 のセキュリティ要件を満たすシステムで OpenVPN を使用できるようにします。

新しいバージョンから際立っている他の変更の中で:

  • mlock は、十分なメモリ割り当てのチェックを実装しています。 使用可能な RAM が 100 MB 未満の場合、制限を増やすために setrlimit() が呼び出されます。
  • tls-verify を使用せずに、SHA256 ハッシュに基づく拇印によって証明書を検証またはバインドするオプション「–peer-fingerprint」が追加されました。
  • スクリプトの場合、遅延認証が提供され、「–auth-user-pass-verify」オプションによって実装されます。 スクリプトとプラグインで遅延認証を使用する場合に、保留中の認証についてクライアントに通知するためのサポートが追加されました。
  • OpenVPN 2.3.x 以前を実行している古いサーバーへの接続を許可する互換モード (–compat-mode) が追加されました。

最後に、それについてもっと知りたい場合は、詳細を調べることができます 次のリンクで。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。