Depois de quase quatro anos desde a publicação do ramo 2.4 e de quais versões menores estavam sendo lançadas (correções de bugs e alguns recursos adicionais) O lançamento do OpenVPN 2.5.0 foi preparado.
Esta nova versão vem com muitas mudanças importantes, dos quais os mais interessantes que podemos encontrar estão relacionados com as mudanças na criptografia, bem como a transição para o IPv6 e a adoção de novos protocolos.
Sobre o OpenVPN
Para aqueles que não estão familiarizados com o OpenVPN, eles devem saber que esta é uma ferramenta de conectividade baseada em software livre, SSL (Secure Sockets Layer), VPN Virtual Private Network.
OpenVPN oferece conectividade ponto a ponto com validação hierárquica de usuários e hosts conectados remotamente. É uma opção muito boa em tecnologias Wi-Fi (redes sem fio IEEE 802.11) e suporta uma ampla configuração, incluindo balanceamento de carga.
O OpenVPN é uma ferramenta multiplataforma que tem simplificado a configuração de VPNs em relação às mais antigas e mais difíceis de configurar como o IPsec e tornando-a mais acessível para pessoas inexperientes neste tipo de tecnologia.
Principais novos recursos do OpenVPN 2.5.0
Das mudanças mais importantes, podemos descobrir que esta nova versão do OpenVPN 2.5.0 é suporta criptografia datalink usando criptografia de fluxo ChaCha20 e o algoritmo autenticação de mensagem (MAC) Poly1305 que se posicionam como contrapartes mais rápidas e seguras de AES-256-CTR e HMAC, cuja implementação de software permite atingir tempos de execução fixos sem o uso de suporte de hardware especial.
La capacidade de fornecer a cada cliente uma chave tls-crypt exclusiva, que permite que grandes organizações e provedores de VPN usem a mesma proteção de pilha TLS e técnicas de prevenção DoS que estavam disponíveis anteriormente em pequenas configurações usando tls-auth ou tls-crypt.
Outra mudança importante é o mecanismo aprimorado para negociar criptografia usado para proteger o canal de transmissão de dados. Renomeado ncp-ciphers para data-ciphers para evitar ambigüidade com a opção tls-cipher e para enfatizar que data-ciphers é preferível para configurar cifras de canal de dados (o nome antigo foi mantido para compatibilidade).
Os clientes agora enviam uma lista de todas as cifras de dados que eles suportam para o servidor usando a variável IV_CIPHERS, que permite ao servidor selecionar a primeira cifra que é suportada por ambos os lados.
O suporte à criptografia BF-CBC foi removido das configurações padrão. OpenVPN 2.5 agora suporta apenas AES-256-GCM e AES-128-GCM por padrão. Esse comportamento pode ser alterado usando a opção de criptografia de dados. Ao atualizar para uma versão mais recente do OpenVPN, a configuração do Criptografia BF-CBC em arquivos de configuração antigos será convertido para adicionar BF-CBC ao pacote de criptografia de dados e modo de backup de criptografia de dados habilitado.
Adicionado suporte para autenticação assíncrona (adiado) para o plugin auth-pam. Da mesma forma, a opção "–client-connect" e a API de conexão do plug-in adicionaram a capacidade de adiar o retorno do arquivo de configuração.
No Linux, o suporte para interfaces de rede foi adicionado roteamento e encaminhamento virtual (VRF). Opção "–Bind-dev" é fornecido para colocar um conector externo no VRF.
Suporte para configurar endereços IP e rotas usando a interface Netlink fornecida pelo kernel Linux. O Netlink é usado quando construído sem a opção "–enable-iproute2" e permite que você execute o OpenVPN sem os privilégios adicionais necessários para executar o utilitário "ip".
O protocolo adicionou a capacidade de usar autenticação de dois fatores ou autenticação adicional pela Web (SAML), sem interromper a sessão após a primeira verificação (após a primeira verificação, a sessão permanece no estado 'não autenticado' e aguarda a segunda autenticação estágio para ser concluído).
Dos demais mudanças que se destacam:
- Agora você pode trabalhar apenas com endereços IPv6 dentro do túnel VPN (anteriormente, era impossível fazer isso sem especificar endereços IPv4).
- Capacidade de vincular criptografia de dados e configurações de criptografia de dados de backup aos clientes a partir do script de conexão do cliente.
- Capacidade de especificar o tamanho do MTU para a interface tun / tap no Windows.
Suporte para escolher o mecanismo OpenSSL para acessar a chave privada (por exemplo, TPM).
A opção "–auth-gen-token" agora oferece suporte à geração de token baseada em HMAC. - Capacidade de usar máscaras de rede / 31 em configurações IPv4 (OpenVPN não tenta mais definir um endereço de transmissão).
- Adicionada opção "–block-ipv6" para bloquear qualquer pacote IPv6.
- As opções "–ifconfig-ipv6" e "–ifconfig-ipv6-push" permitem que você especifique o nome do host em vez do endereço IP (o endereço será determinado pelo DNS).
- Suporte a TLS 1.3. O TLS 1.3 requer pelo menos OpenSSL 1.1.1. Adicionadas opções "–tls-ciphersuites" e "–tls-groups" para ajustar os parâmetros TLS.