ProHoster > Bloc > notícies d'internet > OpenVPN 2.6.0 disponible

OpenVPN 2.6.0 disponible

Després de dos anys i mig des de la publicació de la branca 2.5, s'ha preparat el llançament d'OpenVPN 2.6.0, un paquet per a la creació de xarxes privades virtuals que permet organitzar una connexió xifrada entre dues màquines client o proporcionar un servidor VPN centralitzat. per a l'operació simultània de diversos clients. El codi OpenVPN es distribueix sota la llicència GPLv2, es generen paquets binaris preparats per a Debian, Ubuntu, CentOS, RHEL i Windows.

Principals innovacions:

  • Proporciona suport per a un nombre il·limitat de connexions.
  • S'inclou el mòdul del nucli ovpn-dco, que us permet accelerar significativament el rendiment de la VPN. L'acceleració s'aconsegueix movent totes les operacions de xifratge, processament de paquets i gestió de canals de comunicació al costat del nucli de Linux, la qual cosa elimina la sobrecàrrega associada al canvi de context, permet optimitzar el treball accedint directament a les API internes del nucli i elimina la transferència lenta de dades entre el nucli. i espai d'usuari (el xifratge, el desxifrat i l'encaminament els realitza el mòdul sense enviar trànsit a un gestor de l'espai d'usuari).

    En les proves realitzades, en comparació amb la configuració basada en la interfície tun, l'ús del mòdul als costats del client i del servidor mitjançant el xifrat AES-256-GCM va permetre aconseguir un augment de 8 vegades en el rendiment (a partir de 370 Mbit/s fins a 2950 Mbit/s). Quan s'utilitzava el mòdul només al costat del client, el rendiment es va multiplicar per tres per al trànsit de sortida i no va canviar per al trànsit d'entrada. Quan s'utilitza el mòdul només al costat del servidor, el rendiment va augmentar 4 vegades per al trànsit d'entrada i un 35% per al trànsit de sortida.

  • És possible utilitzar el mode TLS amb certificats autofirmats (quan utilitzeu l'opció "-peer-fingerprint", podeu ometre els paràmetres "-ca" i "-capath" i evitar executar un servidor PKI basat en Easy-RSA o programari similar).
  • El servidor UDP implementa un mode de negociació de connexió basat en galetes, que utilitza una galeta basada en HMAC com a identificador de sessió, permetent al servidor realitzar una verificació sense estat.
  • S'ha afegit suport per construir amb la biblioteca OpenSSL 3.0. S'ha afegit l'opció "--tls-cert-profile insecure" per seleccionar el nivell de seguretat mínim d'OpenSSL.
  • S'han afegit noves ordres de control remote-entry-count i remote-entry-get per comptar el nombre de connexions externes i mostrar-ne una llista.
  • Durant el procés d'acord de claus, el mecanisme EKM (Exported Keying Material, RFC 5705) és ara el mètode preferit per obtenir material de generació de claus, en lloc del mecanisme PRF específic d'OpenVPN. Per utilitzar EKM, cal la biblioteca OpenSSL o mbed TLS 2.18+.
  • Es proporciona compatibilitat amb OpenSSL en mode FIPS, que permet l'ús d'OpenVPN en sistemes que compleixen els requisits de seguretat FIPS 140-2.
  • mlock implementa una comprovació per assegurar-se que hi ha prou memòria reservada. Quan hi ha menys de 100 MB de RAM disponibles, es crida a setrlimit() per augmentar el límit.
  • S'ha afegit l'opció "--peer-fingerprint" per comprovar la validesa o la vinculació d'un certificat mitjançant una empremta digital basada en el hash SHA256, sense utilitzar tls-verify.
  • Els scripts es proporcionen amb l'opció d'autenticació diferida, implementada mitjançant l'opció "-auth-user-pass-verify". S'ha afegit suport per informar el client sobre l'autenticació pendent quan s'utilitza l'autenticació diferida als scripts i connectors.
  • S'ha afegit el mode de compatibilitat (-compat-mode) per permetre connexions a servidors antics que executen OpenVPN 2.3.xo versions anteriors.
  • A la llista passada pel paràmetre “--data-ciphers”, es permet el prefix “?”. per definir xifratges opcionals que només s'utilitzaran si són compatibles amb la biblioteca SSL.
  • S'ha afegit l'opció "-session-timeout" amb la qual podeu limitar el temps màxim de sessió.
  • El fitxer de configuració permet especificar un nom i una contrasenya mitjançant l'etiqueta .
  • Es proporciona la possibilitat de configurar dinàmicament la MTU del client, en funció de les dades de MTU transmeses pel servidor. Per canviar la mida màxima de MTU, s'ha afegit l'opció "—tun-mtu-max" (el valor per defecte és 1600).
  • S'ha afegit el paràmetre "--max-packet-size" per definir la mida màxima dels paquets de control.
  • S'ha eliminat el suport per al mode d'inici d'OpenVPN mitjançant inetd. S'ha eliminat l'opció ncp-disable. L'opció verificar-hash i el mode de clau estàtica han quedat obsolets (només s'ha conservat TLS). Els protocols TLS 1.0 i 1.1 han quedat obsolets (el paràmetre tls-version-min s'estableix a 1.2 de manera predeterminada). S'ha eliminat la implementació integrada del generador de nombres pseudoaleatoris (-prng); s'ha d'utilitzar la implementació PRNG de les biblioteques criptogràfiques mbed TLS o OpenSSL. El suport per a PF (filtrat de paquets) s'ha interromput. Per defecte, la compressió està desactivada (--allow-compression=no).
  • S'ha afegit CHACHA20-POLY1305 a la llista de xifratge per defecte.

Font: opennet.ru

Afegeix comentari