ProHoster > Blog > Interneteko albisteak > OpenVPN 2.6.0 eskuragarri

OpenVPN 2.6.0 eskuragarri

2.5 adarra argitaratu zenetik bi urte eta erdi igaro ondoren, OpenVPN 2.6.0 oharra prestatu da, sare pribatu birtualak sortzeko paketea, bi bezero-makinen arteko konexio enkriptatua antolatzeko edo VPN zerbitzari zentralizatua eskaintzeko aukera ematen duena. hainbat bezeroren aldi berean funtzionatzeko. OpenVPN kodea GPLv2 lizentziapean banatzen da, prest egindako pakete bitar Debian, Ubuntu, CentOS, RHEL eta Windows-erako sortzen dira.

Berrikuntza nagusiak:

  • Konexio kopuru mugagabe baterako laguntza eskaintzen du.
  • ovpn-dco kernel modulua sartzen da, eta horrek VPN errendimendua nabarmen bizkortzeko aukera ematen du. Azelerazioa enkriptatze-eragiketa guztiak, paketeen prozesaketa eta komunikazio-kanalen kudeaketa Linux nukleoaren alde batera eramanez lortzen da, eta horrek testuinguru-aldaketarekin lotutako gainkostua ezabatzen du, lana optimizatzea posible egiten du nukleoaren barneko APIetara zuzenean sartuz eta nukleoaren arteko datu-transferentzia motela ezabatzen du. eta erabiltzaile-espazioa (enkriptatzea, deszifratzea eta bideratzea moduluak egiten ditu trafikoa erabiltzaile-espazioko kudeatzaile bati bidali gabe).

    Egindako probetan, tun interfazean oinarritutako konfigurazioarekin alderatuta, AES-256-GCM zifra erabiliz modulua bezeroaren eta zerbitzariaren aldean erabiltzeari esker, 8 aldiz handitzea lortu zen (370etik aurrera). Mbit/s 2950 Mbit/s). Modulua bezero aldean bakarrik erabiltzean, irteera hirukoiztu egin zen irteerako trafikoarentzat eta ez zen aldatu sarrerako trafikoarentzat. Modulua zerbitzariaren aldean soilik erabiltzean, sarrerako trafikoan 4 aldiz handitu da abiadura eta irteerako trafikoan % 35.

  • TLS modua erabil daiteke autosinatutako ziurtagiriekin ("-peer-fingerprint" aukera erabiltzean, "-ca" eta "-capath" parametroak ezaba ditzakezu eta Easy-RSA edo Easy-RSAn oinarritutako PKI zerbitzari bat exekutatu saihestu dezakezu. antzeko softwarea).
  • UDP zerbitzariak Cookien oinarritutako konexio-negoziazio modua inplementatzen du, eta HMACn oinarritutako Cookie bat erabiltzen du saio-identifikatzaile gisa, zerbitzariak estaturik gabeko egiaztapena egiteko aukera emanez.
  • OpenSSL 3.0 liburutegiarekin eraikitzeko laguntza gehitu da. "--tls-cert-profile insecure" aukera gehitu da OpenSSL gutxieneko segurtasun-maila hautatzeko.
  • Kontrol-komando berriak gehitu dira urrutiko-sarrera-zenbaketa eta urruneko-sarrera-get kanpoko konexioen kopurua zenbatu eta horien zerrenda bistaratzeko.
  • Gakoen akordio prozesuan zehar, EKM (Exported Keying Material, RFC 5705) mekanismoa da orain gakoak sortzeko materiala lortzeko metodo hobetsia, OpenVPN-ren PRF mekanismoaren ordez. EKM erabiltzeko, OpenSSL liburutegia edo mbed TLS 2.18+ behar da.
  • OpenSSL-rekin bateragarritasuna FIPS moduan eskaintzen da, eta horrek OpenVPN erabiltzeko aukera ematen du FIPS 140-2 segurtasun-baldintzak betetzen dituzten sistemetan.
  • mlock-ek egiaztapen bat ezartzen du memoria nahikoa erreserbatuta dagoela ziurtatzeko. 100 MB baino gutxiago RAM erabilgarri dagoenean, setrlimit() deitzen da muga handitzeko.
  • "--peer-fingerprint" aukera gehitu da ziurtagiri baten baliozkotasuna edo lotura egiaztatzeko SHA256 hash-ean oinarritutako hatz-marka erabiliz, tls-verify erabili gabe.
  • Scriptek autentifikazio geroratuaren aukera eskaintzen dute, "-auth-user-pass-verify" aukera erabiliz inplementatuta. Autentifikazio geroratua erabiltzean bezeroari zain dagoen autentifikazioari buruz informatzeko laguntza gehitu da script eta pluginetan.
  • Bateragarritasun modua gehitu da (-compat-mode) OpenVPN 2.3.x edo bertsio zaharragoak exekutatzen dituzten zerbitzari zaharretarako konexioak ahalbidetzeko.
  • β€œ--data-ciphers” parametrotik pasatako zerrendan, β€œ?” aurrizkia onartzen da. SSL liburutegian onartzen badira soilik erabiliko diren hautazko zifraketak definitzeko.
  • Gehitu da "-session-timeout" aukera eta horrekin gehienezko saioaren denbora muga dezakezu.
  • Konfigurazio fitxategiak etiketa erabiliz izena eta pasahitza zehaztea ahalbidetzen du .
  • Bezeroaren MTU dinamikoki konfiguratzeko gaitasuna ematen da, zerbitzariak igorritako MTU datuetan oinarrituta. MTU gehienezko tamaina aldatzeko, "β€”tun-mtu-max" aukera gehitu da (lehenetsia 1600 da).
  • "--max-packet-size" parametroa gehitu da kontrol paketeen gehienezko tamaina definitzeko.
  • OpenVPN abiarazteko modurako laguntza kendu da inetd bidez. ncp-disable aukera kendu da. Egiaztatzeko hash aukera eta gako estatikoen modua zaharkituta geratu dira (TLS soilik mantendu da). TLS 1.0 eta 1.1 protokoloak zaharkituta geratu dira (tls-version-min parametroa 1.2 gisa ezarrita dago lehenespenez). Sasi-ausazko zenbaki-sorgailuaren inplementazioa (-prng) ezabatu egin da; mbed TLS edo OpenSSL kripto-liburutegietako PRNG inplementazioa erabili behar da. PF (Pakete Iragazkia) laguntza eten egin da. Lehenespenez, konpresioa desgaituta dago (--allow-compression=ez).
  • CHACHA20-POLY1305 gehitu da zifratze-zerrenda lehenetsian.

Iturria: opennet.ru

Gehitu iruzkin berria