ProHoster > Blog > ειδήσεις στο διαδίκτυο > Διατίθεται OpenVPN 2.6.0

Διατίθεται OpenVPN 2.6.0

Μετά από δυόμισι χρόνια από τη δημοσίευση του κλάδου 2.5, ετοιμάστηκε η κυκλοφορία του OpenVPN 2.6.0, ένα πακέτο για τη δημιουργία εικονικών ιδιωτικών δικτύων που σας επιτρέπει να οργανώσετε μια κρυπτογραφημένη σύνδεση μεταξύ δύο μηχανών-πελατών ή να παρέχετε έναν κεντρικό διακομιστή VPN για την ταυτόχρονη λειτουργία πολλών πελατών. Ο κώδικας OpenVPN διανέμεται με την άδεια GPLv2, δημιουργούνται έτοιμα δυαδικά πακέτα για Debian, Ubuntu, CentOS, RHEL και Windows.

Βασικές καινοτομίες:

  • Παρέχει υποστήριξη για απεριόριστο αριθμό συνδέσεων.
  • Περιλαμβάνεται η μονάδα πυρήνα ovpn-dco, η οποία σας επιτρέπει να επιταχύνετε σημαντικά την απόδοση του VPN. Η επιτάχυνση επιτυγχάνεται με τη μετακίνηση όλων των λειτουργιών κρυπτογράφησης, επεξεργασίας πακέτων και διαχείρισης καναλιών επικοινωνίας στην πλευρά του πυρήνα Linux, η οποία εξαλείφει την επιβάρυνση που σχετίζεται με την εναλλαγή περιβάλλοντος, καθιστά δυνατή τη βελτιστοποίηση της εργασίας με απευθείας πρόσβαση στα εσωτερικά API του πυρήνα και εξαλείφει την αργή μεταφορά δεδομένων μεταξύ του πυρήνα και χώρο χρήστη (η κρυπτογράφηση, η αποκρυπτογράφηση και η δρομολόγηση εκτελούνται από τη μονάδα χωρίς αποστολή κίνησης σε έναν χειριστή στο χώρο χρήστη).

    Στις δοκιμές που πραγματοποιήθηκαν, σε σύγκριση με τη διαμόρφωση που βασίζεται στη διεπαφή tun, η χρήση της μονάδας στην πλευρά του πελάτη και του διακομιστή με χρήση του κρυπτογράφησης AES-256-GCM κατέστησε δυνατή την επίτευξη οκταπλάσιας αύξησης της απόδοσης (από 8 Mbit/s έως 370 Mbit/s). Όταν χρησιμοποιείτε τη μονάδα μόνο στην πλευρά του πελάτη, η απόδοση τριπλασιάστηκε για την εξερχόμενη κίνηση και δεν άλλαξε για την εισερχόμενη κίνηση. Όταν χρησιμοποιείτε τη μονάδα μόνο από την πλευρά του διακομιστή, η απόδοση αυξήθηκε κατά 2950 φορές για την εισερχόμενη κίνηση και κατά 4% για την εξερχόμενη κίνηση.

  • Είναι δυνατή η χρήση της λειτουργίας TLS με αυτο-υπογεγραμμένα πιστοποιητικά (όταν χρησιμοποιείτε την επιλογή "-peer-fingerprint", μπορείτε να παραλείψετε τις παραμέτρους "-ca" και "-capath" και να αποφύγετε την εκτέλεση ενός διακομιστή PKI που βασίζεται στο Easy-RSA ή παρόμοιο λογισμικό).
  • Ο διακομιστής UDP εφαρμόζει μια λειτουργία διαπραγμάτευσης σύνδεσης που βασίζεται σε cookie, η οποία χρησιμοποιεί ένα cookie που βασίζεται σε HMAC ως αναγνωριστικό περιόδου λειτουργίας, επιτρέποντας στον διακομιστή να εκτελεί επαλήθευση χωρίς κατάσταση.
  • Προστέθηκε υποστήριξη για δημιουργία με τη βιβλιοθήκη OpenSSL 3.0. Προστέθηκε η επιλογή "--tls-cert-profile insecure" για να επιλέξετε το ελάχιστο επίπεδο ασφάλειας OpenSSL.
  • Προστέθηκαν νέες εντολές ελέγχου remote-entry-count και remote-entry-get για να μετρήσετε τον αριθμό των εξωτερικών συνδέσεων και να εμφανίσετε μια λίστα με αυτές.
  • Κατά τη διαδικασία συμφωνίας κλειδιού, ο μηχανισμός EKM (Exported Keying Material, RFC 5705) είναι πλέον η προτιμώμενη μέθοδος για την απόκτηση υλικού παραγωγής κλειδιών, αντί του μηχανισμού PRF που είναι ειδικός για το OpenVPN. Για να χρησιμοποιήσετε το EKM, απαιτείται η βιβλιοθήκη OpenSSL ή το mbed TLS 2.18+.
  • Παρέχεται συμβατότητα με OpenSSL σε λειτουργία FIPS, η οποία επιτρέπει τη χρήση του OpenVPN σε συστήματα που πληρούν τις απαιτήσεις ασφαλείας FIPS 140-2.
  • Το mlock εφαρμόζει έναν έλεγχο για να διασφαλίσει ότι έχει δεσμευτεί επαρκής μνήμη. Όταν είναι διαθέσιμα λιγότερα από 100 MB μνήμης RAM, καλείται η setrlimit() για να αυξήσει το όριο.
  • Προστέθηκε η επιλογή "--peer-fingerprint" για να ελέγξετε την εγκυρότητα ή τη δέσμευση ενός πιστοποιητικού χρησιμοποιώντας ένα δακτυλικό αποτύπωμα που βασίζεται στον κατακερματισμό SHA256, χωρίς τη χρήση tls-verify.
  • Τα σενάρια παρέχονται με την επιλογή αναβολής ελέγχου ταυτότητας, η οποία υλοποιείται χρησιμοποιώντας την επιλογή «-auth-user-pass-verify». Έχει προστεθεί υποστήριξη για την ενημέρωση του πελάτη σχετικά με τον εκκρεμή έλεγχο ταυτότητας κατά τη χρήση του αναβαλλόμενου ελέγχου ταυτότητας σε σενάρια και προσθήκες.
  • Προστέθηκε η λειτουργία συμβατότητας (-compat-mode) για να επιτρέπεται η σύνδεση σε παλαιότερους διακομιστές που εκτελούν OpenVPN 2.3.x ή παλαιότερες εκδόσεις.
  • Στη λίστα που περνά από την παράμετρο «--data-ciphers», επιτρέπεται το πρόθεμα «?». για να ορίσετε προαιρετικούς κρυπτογράφησης που θα χρησιμοποιούνται μόνο εάν υποστηρίζονται στη βιβλιοθήκη SSL.
  • Προστέθηκε η επιλογή "-session-timeout" με την οποία μπορείτε να περιορίσετε τον μέγιστο χρόνο συνεδρίας.
  • Το αρχείο διαμόρφωσης επιτρέπει τον καθορισμό ονόματος και κωδικού πρόσβασης χρησιμοποιώντας την ετικέτα .
  • Παρέχεται η δυνατότητα δυναμικής διαμόρφωσης του MTU του πελάτη, με βάση τα δεδομένα MTU που μεταδίδονται από τον διακομιστή. Για να αλλάξετε το μέγιστο μέγεθος MTU, έχει προστεθεί η επιλογή «—tun-mtu-max» (προεπιλογή 1600).
  • Προστέθηκε η παράμετρος "--max-packet-size" για τον καθορισμό του μέγιστου μεγέθους των πακέτων ελέγχου.
  • Καταργήθηκε η υποστήριξη για τη λειτουργία εκκίνησης OpenVPN μέσω του inetd. Η επιλογή ncp-disable έχει αφαιρεθεί. Η επιλογή επαλήθευσης κατακερματισμού και η λειτουργία στατικού κλειδιού έχουν καταργηθεί (διατηρήθηκε μόνο το TLS). Τα πρωτόκολλα TLS 1.0 και 1.1 έχουν καταργηθεί (η παράμετρος tls-version-min έχει οριστεί σε 1.2 από προεπιλογή). Η ενσωματωμένη εφαρμογή δημιουργίας ψευδοτυχαίων αριθμών (-prng) έχει αφαιρεθεί· θα πρέπει να χρησιμοποιηθεί η υλοποίηση PRNG από τις mbed TLS ή OpenSSL crypto βιβλιοθήκες. Η υποστήριξη για PF (Packet Filtering) έχει διακοπεί. Από προεπιλογή, η συμπίεση είναι απενεργοποιημένη (--allow-compression=no).
  • Προστέθηκε το CHACHA20-POLY1305 στην προεπιλεγμένη λίστα κρυπτογράφησης.

Πηγή: opennet.ru

Προσθέστε ένα σχόλιο