După aproape patru ani de la publicarea filialei 2.4 și din care versiuni minore au fost lansate (remedieri de erori și unele caracteristici suplimentare) A fost pregătită versiunea OpenVPN 2.5.0.
Această nouă versiune vine cu multe schimbări majore, dintre care cele mai interesante pe care le putem găsi sunt legate de schimbările de criptare, precum și de tranziția la IPv6 și adoptarea de noi protocoale.
Despre OpenVPN
Pentru cei care nu sunt familiarizați cu OpenVPN, ar trebui să știți asta acesta este un instrument de conectivitate bazat pe software gratuit, SSL (Secure Sockets Layer), rețea privată virtuală VPN.
OpenVPN oferă conectivitate punct-la-punct cu validare ierarhică a utilizatorilor și gazdelor conectate de la distanță. Este o opțiune foarte bună în tehnologiile Wi-Fi (rețele fără fir IEEE 802.11) și acceptă o configurație largă, inclusiv echilibrarea sarcinii.
OpenVPN este un instrument multiplatform care a simplificat configurația VPN-urilor în comparație cu cele mai vechi și mai dificil de configurat, cum ar fi IPsec, făcându-l mai accesibil pentru persoanele fără experiență în acest tip de tehnologie.
Principalele caracteristici noi ale OpenVPN 2.5.0
Dintre cele mai importante modificări putem constata că această nouă versiune a OpenVPN 2.5.0 este acceptă criptarea legătura de date folosind criptarea fluxului ChaCha20 și algoritmul autentificare mesaj (MAC) Poly1305 care sunt poziționate ca omologi mai rapizi și mai siguri ai AES-256-CTR și HMAC, a căror implementare software permite realizarea unor timpi de execuție fixi fără utilizarea unui suport hardware special.
La abilitatea de a oferi fiecărui client o cheie tls-crypt unică, ceea ce permite organizațiilor mari și furnizorilor de VPN să utilizeze aceleași tehnici de protecție a stivei TLS și tehnici de prevenire DoS care erau disponibile anterior în configurații mici folosind tls-auth sau tls-crypt.
O altă schimbare importantă este mecanism îmbunătățit pentru negocierea criptării folosit pentru a proteja canalul de transmisie a datelor. Redenumit ncp-ciphers în data-ciphers pentru a evita ambiguitatea cu opțiunea tls-cipher și pentru a sublinia faptul că data-ciphers este preferată pentru configurarea canalelor de date (vechiul nume a fost păstrat pentru compatibilitate).
Clienții trimit acum o listă cu toate cifrele de date pe care le acceptă către server utilizând variabila IV_CIPHERS, care permite serverului să selecteze primul cifru care este compatibil cu ambele părți.
Suportul de criptare BF-CBC a fost eliminat din setările implicite. OpenVPN 2.5 acceptă acum AES-256-GCM și AES-128-GCM în mod implicit. Acest comportament poate fi modificat utilizând opțiunea de criptare a datelor. Când faceți upgrade la o versiune mai nouă de OpenVPN, configurația de Criptare BF-CBC în fișierele de configurare vechi va fi convertit pentru a adăuga BF-CBC la suita de cifrare a datelor și modul de backup de criptare a datelor activat.
S-a adăugat suport pentru autentificarea asincronă (amânat) la pluginul auth-pam. În mod similar, opțiunea „–client-connect” și pluginul de conectare API au adăugat posibilitatea de a amâna returnarea fișierului de configurare.
Pe Linux, a fost adăugat suport pentru interfețele de rețea rutare și redirecționare virtuală (VRF). Optiunea „–Bind-dev” este furnizat pentru a plasa un conector străin în VRF.
Suport pentru configurarea adreselor și rutelor IP utilizând interfața Netlink furnizată de kernel-ul Linux. Netlink este utilizat când este construit fără opțiunea „–enable-iproute2” și vă permite să rulați OpenVPN fără privilegiile suplimentare necesare pentru a rula utilitarul „ip”.
Protocolul a adăugat capacitatea de a utiliza autentificare cu doi factori sau autentificare suplimentară pe web (SAML), fără a întrerupe sesiunea după prima verificare (după prima verificare, sesiunea rămâne în starea „neautentificată” și așteptați a doua autentificare etapa de finalizat).
A altora modificări care se evidențiază:
- Acum puteți lucra numai cu adrese IPv6 în tunelul VPN (anterior era imposibil să faceți acest lucru fără a specifica adrese IPv4).
- Capacitatea de a lega criptarea datelor și setările de criptare a datelor de rezervă la clienți din scriptul de conexiune client.
- Posibilitatea de a specifica dimensiunea MTU pentru interfața tun / tap din Windows.
Suport pentru alegerea motorului OpenSSL pentru a accesa cheia privată (de ex. TPM).
Opțiunea „–auth-gen-token” acceptă acum generarea de simboluri bazate pe HMAC. - Abilitatea de a utiliza / 31 măști de rețea în setările IPv4 (OpenVPN nu mai încearcă să seteze o adresă de difuzare).
- S-a adăugat opțiunea „–block-ipv6” pentru a bloca orice pachet IPv6.
- Opțiunile „–ifconfig-ipv6” și „–ifconfig-ipv6-push” vă permit să specificați numele gazdei în loc de adresa IP (adresa va fi determinată de DNS).
- Suport TLS 1.3. TLS 1.3 necesită cel puțin OpenSSL 1.1.1. S-au adăugat opțiunile „–tls-ciphersuites” și „–tls-groups” pentru a regla parametrii TLS.