ProHoster > Blog > nutizie internet > OpenVPN 2.6.0 dispunibule

OpenVPN 2.6.0 dispunibule

Dopu à dui anni è mezu da a publicazione di a filiera 2.5, hè stata preparata a liberazione di OpenVPN 2.6.0, un pacchettu per a creazione di rete privata virtuale chì permette di urganizà una cunnessione criptata trà duie macchine cliente o furnisce un servitore VPN centralizatu. per l'operazione simultanea di parechji clienti. U codice OpenVPN hè distribuitu sottu a licenza GPLv2, i pacchetti binari pronti sò generati per Debian, Ubuntu, CentOS, RHEL è Windows.

Innuvazioni principali:

  • Fornisce supportu per un numeru illimitatu di cunnessione.
  • U modulu di kernel ovpn-dco hè inclusu, chì vi permette di accelerà significativamente u rendiment VPN. L'accelerazione hè ottenuta movendu tutte l'operazioni di criptografia, u processu di pacchetti è a gestione di i canali di cumunicazione à u latu di u kernel Linux, chì elimina l'overhead assuciatu à u cambiamentu di u cuntestu, permette di ottimisà u travagliu accedendu direttamente à l'API di u kernel internu è elimina u trasferimentu di dati lento trà u kernel. è u spaziu di l'utilizatori (a criptografia, a decifrazione è u routing sò realizati da u modulu senza mandà trafficu à un gestore in u spaziu di l'utilizatori).

    In i testi realizati, paragunatu cù a cunfigurazione basata nantu à l'interfaccia tun, l'usu di u modulu nantu à i lati di u cliente è di u servitore utilizendu u cifru AES-256-GCM hà permessu di ottene un aumentu di 8 volte in u throughput (da 370). Mbit/s à 2950 Mbit/s). Quandu s'utilice u modulu solu in u latu di u cliente, u throughput hà triplicatu per u trafficu in uscita è ùn hà micca cambiatu per u trafficu entrante. Quandu s'utilice u modulu solu in u latu di u servitore, u throughput hà aumentatu da 4 volte per u trafficu in entrata è da 35% per u trafficu in uscita.

  • Hè pussibule aduprà u modu TLS cù certificati autofirmati (quandu si usa l'opzione "-peer-fingerprint", pudete omette i paràmetri "-ca" è "-capath" è evità di eseguisce un servitore PKI basatu in Easy-RSA o software simile).
  • U servitore UDP implementa un modu di negoziazione di cunnessione basatu in Cookie, chì usa un Cookie basatu in HMAC cum'è identificatore di sessione, chì permette à u servitore di fà una verificazione senza statu.
  • Aghjunghje supportu per custruisce cù a libreria OpenSSL 3.0. Aggiunta l'opzione "--tls-cert-profile insecure" per selezziunà u livellu minimu di sicurità OpenSSL.
  • Aghjunghjite novi cumandamenti di cuntrollu remote-entry-count è remote-entry-get per cuntà u numeru di cunnessione esterne è vede una lista di elli.
  • Durante u prucessu di accordu chjave, u mecanismu EKM (Materiale di Keying Exported, RFC 5705) hè avà u metudu preferitu per ottene materiale di generazione di chjave, invece di u mecanismu PRF specificu di OpenVPN. Per utilizà EKM, a libreria OpenSSL o mbed TLS 2.18+ hè necessaria.
  • A cumpatibilità cù OpenSSL in modu FIPS hè furnita, chì permette l'usu di OpenVPN in sistemi chì rispondenu à i requisiti di sicurezza FIPS 140-2.
  • mlock implementa un cuntrollu per assicurà chì una memoria sufficiente hè riservata. Quandu menu di 100 MB di RAM hè dispunibule, setrlimit () hè chjamatu per aumentà u limitu.
  • Aghjunghjia l'opzione "--peer-fingerprint" per verificà a validità o u ligame di un certificatu utilizendu una impronta digitale basatu annantu à l'hash SHA256, senza aduprà tls-verify.
  • I scripts sò furniti cù l'opzione di autentificazione differita, implementata cù l'opzione "-auth-user-pass-verify". U supportu per informà u cliente nantu à l'autentificazione pendente quandu si usa l'autentificazione differita hè statu aghjuntu à i scripts è i plugins.
  • Modu di cumpatibilità aghjuntu (-compat-mode) per permettà e cunnessione à i servitori più vechji chì eseguenu OpenVPN 2.3.x o versioni più vechje.
  • In a lista passata per u paràmetru "--data-ciphers", u prefissu "?" hè permessu. per definisce i cifri opzionali chì seranu utilizati solu s'ellu hè supportatu in a biblioteca SSL.
  • Opzione aghjunta "-session-timeout" cù quale pudete limità u tempu massimu di sessione.
  • U schedariu di cunfigurazione permette di specificà un nome è password usendu u tag .
  • A capacità di cunfigurà dinamicamente u MTU di u cliente hè furnita, basatu annantu à i dati MTU trasmessi da u servitore. Per cambià a dimensione massima di MTU, l'opzione "-tun-mtu-max" hè stata aghjunta (predeterminatu hè 1600).
  • Aggiuntu u paràmetru "--max-packet-size" per definisce a dimensione massima di i pacchetti di cuntrollu.
  • Eliminatu u supportu per u modu di lanciamentu OpenVPN via inetd. L'opzione ncp-disable hè stata eliminata. L'opzione verifica-hash è u modu di chjave statica sò stati obsoleti (solu TLS hè statu conservatu). I protokolli TLS 1.0 è 1.1 sò stati obsoleti (u paràmetru tls-version-min hè stabilitu à 1.2 per difettu). L'implementazione di u generatore di numeri pseudo-aleatoriu integrata (-prng) hè stata sguassata; l'implementazione PRNG da e librerie criptografiate mbed TLS o OpenSSL deve esse aduprata. U supportu per PF (Packet Filtering) hè statu discontinuatu. Per automaticamente, a compressione hè disattivata (--allow-compression = no).
  • Aggiuntu CHACHA20-POLY1305 à a lista di cifra predeterminata.

Source: opennet.ru

Add a comment