Sau gần 2.4 năm kể từ khi xuất bản nhánh XNUMX và những phiên bản nhỏ nào đang được phát hành (sửa lỗi và một số tính năng bổ sung) Bản phát hành OpenVPN 2.5.0 đã được chuẩn bị.
Phiên bản mới này đi kèm với rất nhiều thay đổi lớn, trong đó điều thú vị nhất mà chúng tôi có thể tìm thấy liên quan đến những thay đổi trong mã hóa, cũng như việc chuyển đổi sang IPv6 và việc áp dụng các giao thức mới.
Giới thiệu về OpenVPN
Đối với những người không quen thuộc với OpenVPN, bạn nên biết rằng đây là một công cụ kết nối dựa trên phần mềm miễn phí, SSL (Lớp cổng bảo mật), Mạng riêng ảo VPN.
OpenVPN cung cấp kết nối điểm-điểm với xác thực phân cấp của người dùng và máy chủ được kết nối từ xa. Nó là một lựa chọn rất tốt trong công nghệ Wi-Fi (mạng không dây IEEE 802.11) và hỗ trợ cấu hình rộng, bao gồm cả cân bằng tải.
OpenVPN là một công cụ đa nền tảng đã đơn giản hóa cấu hình của VPN so với các VPN cũ hơn và khó định cấu hình hơn như IPsec và làm cho nó dễ tiếp cận hơn đối với những người chưa có kinh nghiệm trong loại công nghệ này.
Các tính năng mới chính của OpenVPN 2.5.0
Trong số những thay đổi quan trọng nhất mà chúng tôi có thể thấy rằng phiên bản OpenVPN 2.5.0 mới này là hỗ trợ mã hóa liên kết dữ liệu sử dụng mã hóa luồng ChaCha20 và thuật toán xác thực tin nhắn (MAC) Poly1305 được định vị là đối tác nhanh hơn và an toàn hơn của AES-256-CTR và HMAC, có phần mềm triển khai cho phép đạt được thời gian thực thi cố định mà không cần sử dụng hỗ trợ phần cứng đặc biệt.
La khả năng cung cấp cho mỗi khách hàng một khóa tls-crypt duy nhất, cho phép các tổ chức lớn và nhà cung cấp VPN sử dụng cùng một kỹ thuật bảo vệ ngăn xếp TLS và ngăn chặn DoS đã có sẵn trước đây trong các cấu hình nhỏ bằng cách sử dụng tls-auth hoặc tls-crypt.
Một thay đổi quan trọng khác là cải thiện cơ chế để thương lượng mã hóa dùng để bảo vệ kênh truyền dữ liệu. Đã đổi tên ncp-ciphers thành data-cipher để tránh sự mơ hồ với tùy chọn tls-cipher và để nhấn mạnh rằng data-ciphers được ưu tiên để định cấu hình mật mã kênh dữ liệu (tên cũ đã được giữ lại để tương thích).
Giờ đây, khách hàng gửi danh sách tất cả các mật mã dữ liệu mà họ hỗ trợ tới máy chủ bằng cách sử dụng biến IV_CIPHERS, biến IV_CIPHERS cho phép máy chủ chọn mật mã đầu tiên tương thích với cả hai bên.
Hỗ trợ mã hóa BF-CBC đã bị xóa khỏi cài đặt mặc định. OpenVPN 2.5 hiện chỉ hỗ trợ AES-256-GCM và AES-128-GCM theo mặc định. Hành vi này có thể được thay đổi bằng cách sử dụng tùy chọn mã hóa dữ liệu. Khi nâng cấp lên phiên bản OpenVPN mới hơn, cấu hình của Mã hóa BF-CBC trong các tệp cấu hình cũ sẽ được chuyển đổi để thêm BF-CBC vào bộ mật mã dữ liệu và bật chế độ sao lưu mã hóa dữ liệu.
Đã thêm hỗ trợ cho xác thực không đồng bộ (hoãn lại) với plugin auth-pam. Tương tự, tùy chọn "–client-connect" và API kết nối plugin đã thêm khả năng trì hoãn việc trả lại tệp cấu hình.
Trên Linux, hỗ trợ cho các giao diện mạng đã được thêm vào định tuyến và chuyển tiếp ảo (VRF). Các tùy chọn "–Bind-dev" được cung cấp để đặt một trình kết nối nước ngoài trong VRF.
Hỗ trợ cấu hình địa chỉ IP và đường dẫn bằng giao diện Netlink do nhân Linux cung cấp. Netlink được sử dụng khi được xây dựng mà không có tùy chọn "–enable-iproute2" và cho phép OpenVPN chạy mà không cần các đặc quyền bổ sung để chạy tiện ích "ip".
Giao thức đã bổ sung khả năng sử dụng xác thực hai yếu tố hoặc xác thực bổ sung qua Web (SAML) mà không làm gián đoạn phiên sau lần xác minh đầu tiên (sau lần xác minh đầu tiên, phiên vẫn ở trạng thái 'chưa được xác thực' và chờ xác thực thứ hai giai đoạn hoàn thành).
Của những người khác những thay đổi nổi bật:
- Giờ đây, bạn chỉ có thể làm việc với các địa chỉ IPv6 trong đường hầm VPN (trước đây không thể thực hiện việc này nếu không chỉ định địa chỉ IPv4).
- Khả năng liên kết mã hóa dữ liệu và cài đặt mã hóa dữ liệu sao lưu cho máy khách từ tập lệnh kết nối máy khách.
- Khả năng chỉ định kích thước MTU cho giao diện tun / tap trong Windows.
Hỗ trợ chọn công cụ OpenSSL để truy cập khóa riêng (ví dụ: TPM).
Tùy chọn "–auth-gen-token" hiện hỗ trợ tạo mã thông báo dựa trên HMAC. - Khả năng sử dụng / 31 mặt nạ mạng trong cài đặt IPv4 (OpenVPN không còn cố gắng đặt địa chỉ phát sóng nữa).
- Đã thêm tùy chọn "–block-ipv6" để chặn bất kỳ gói IPv6 nào.
- Các tùy chọn "–ifconfig-ipv6" và "–ifconfig-ipv6-push" cho phép bạn chỉ định tên máy chủ thay vì địa chỉ IP (địa chỉ sẽ được xác định bởi DNS).
- Hỗ trợ TLS 1.3. TLS 1.3 yêu cầu ít nhất OpenSSL 1.1.1. Đã thêm các tùy chọn "–tls-ciphersuites" và "–tls-groups" để điều chỉnh các thông số TLS.