Po skoraj štirih letih od objave podružnice 2.4 in katere manjše različice so izšle (popravki napak in nekatere dodatne funkcije) Pripravljena je bila različica OpenVPN 2.5.0.
Ta nova različica prihaja z veliko večjimi spremembami, med katerimi so najbolj zanimive, ki jih najdemo, povezane s spremembami v šifriranju, pa tudi s prehodom na IPv6 in sprejetjem novih protokolov.
O OpenVPN
Za tiste, ki OpenVPN ne poznajo, morate to vedeti to je brezplačno programsko orodje za povezljivost, SSL (Secure Sockets Layer), navidezno zasebno omrežje VPN.
OpenVPN ponuja povezljivost od točke do točke s hierarhično validacijo povezanih uporabnikov in gostiteljev na daljavo. Je zelo dobra možnost v tehnologijah Wi-Fi (brezžična omrežja IEEE 802.11) in podpira široko konfiguracijo, vključno z izravnavo obremenitve.
OpenVPN je multiplatformno orodje, ki je poenostavilo konfiguracijo VPN-jev v primerjavi s starejšimi in ga je težje konfigurirati, kot je IPsec, in je bolj dostopno za neizkušene ljudi v tej vrsti tehnologije.
Glavne novosti OpenVPN 2.5.0
Med najpomembnejšimi spremembami lahko ugotovimo, da je ta nova različica OpenVPN 2.5.0 podpira šifriranje datalink z uporabo šifriranja toka ChaCha20 in algoritem preverjanje pristnosti sporočil (MAC) Poly1305 ki so pozicionirani kot hitrejši in varnejši primerki AES-256-CTR in HMAC, katerih programska izvedba omogoča doseganje fiksnih časov izvajanja brez uporabe posebne strojne podpore.
La sposobnost, da vsaki stranki zagotovite edinstven ključ tls-crypt, ki velikim organizacijam in ponudnikom VPN omogoča uporabo enakih tehnik zaščite skladov TLS in preprečevanja DoS, ki so bile prej na voljo v majhnih konfiguracijah z uporabo tls-auth ali tls-crypt.
Druga pomembna sprememba je izboljšan mehanizem za pogajanje o šifriranju uporablja za zaščito kanala za prenos podatkov. Šifre ncp-preimenovane v podatkovne šifre, da bi se izognili dvoumnosti z možnostjo tls-cipher in poudarili, da so podatkovne šifre prednostne za konfiguriranje šifer podatkovnih kanalov (staro ime je ohranjeno zaradi združljivosti).
Stranke zdaj strežniku pošljejo seznam vseh podatkovnih šifer, ki jih podpirajo, s spremenljivko IV_CIPHERS, ki strežniku omogoča, da izbere prvo šifro, ki je združljiva z obema stranema.
Podpora za šifriranje BF-CBC je odstranjena iz privzetih nastavitev. OpenVPN 2.5 zdaj privzeto podpira samo AES-256-GCM in AES-128-GCM. To vedenje lahko spremenite z uporabo možnosti šifriranja podatkov. Pri nadgradnji na novejšo različico OpenVPN je konfiguracija BF-CBC šifriranje v starih konfiguracijskih datotekah bo pretvorjen za dodajanje BF-CBC v zbirko podatkovnih šifer in način varnostne kopije šifriranja podatkov omogočen.
Dodana podpora za asinhrono overjanje (odloženo) za vtičnik auth-pam. Podobno sta možnost – –client-connect in API za vtičnik dodali možnost odložitve vračanja konfiguracijske datoteke.
V Linuxu je bila dodana podpora za omrežne vmesnike virtualno usmerjanje in posredovanje (VRF). Možnost "–Bind-dev" je na voljo za namestitev tujega konektorja v VRF.
Podpora za konfiguriranje naslovov IP in poti z uporabo vmesnika Netlink, ki ga zagotavlja jedro Linuxa. Netlink se uporablja, če je zgrajen brez možnosti "–enable-iproute2" in omogoča zagon OpenVPN brez dodatnih privilegijev, potrebnih za zagon pripomočka "ip".
Protokol je dodal možnost uporabe dvofaktorske avtentikacije ali dodatne avtentikacije prek spleta (SAML), ne da bi prekinila sejo po prvem preverjanju (po prvem preverjanju seja ostane v stanju "brez avtentikacije" in počaka na drugo preverjanje pristnosti stopnjo dokončati).
Od drugih spremembe, ki izstopajo:
- Zdaj lahko v predoru VPN delate samo z naslovi IPv6 (prej tega ni bilo mogoče storiti brez navedbe naslovov IPv4).
- Sposobnost vezave nastavitev šifriranja podatkov in varnostnega kopiranja podatkov na odjemalce iz skripta odjemalske povezave.
- Možnost določanja velikosti MTU za vmesnik tun / tap v sistemu Windows.
Podpora za izbiro mehanizma OpenSSL za dostop do zasebnega ključa (npr. TPM).
Možnost "–auth-gen-token" zdaj podpira generiranje žetonov na osnovi HMAC. - Možnost uporabe / 31 mrežnih mask v nastavitvah IPv4 (OpenVPN ne poskuša več nastaviti naslova za oddajanje).
- Dodana možnost "–block-ipv6" za blokiranje katerega koli paketa IPv6.
- Možnosti "–ifconfig-ipv6" in "–ifconfig-ipv6-push" omogočata, da namesto naslova IP določite ime gostitelja (naslov bo določil DNS).
- Podpora za TLS 1.3. TLS 1.3 zahteva vsaj OpenSSL 1.1.1. Za prilagoditev parametrov TLS so dodane možnosti "–tls-ciphersuites" in "–tls-groups".