ProHoster > وبلاگ > اخبار اینترنتی > OpenVPN 2.6.0 در دسترس است

OpenVPN 2.6.0 در دسترس است

پس از گذشت دو سال و نیم از انتشار شعبه 2.5، انتشار OpenVPN 2.6.0 آماده شده است، بسته ای برای ایجاد شبکه های خصوصی مجازی که به شما امکان می دهد یک اتصال رمزگذاری شده بین دو ماشین مشتری سازماندهی کنید یا یک سرور VPN متمرکز ارائه دهید. برای عملکرد همزمان چندین مشتری. کد OpenVPN تحت مجوز GPLv2 توزیع می شود، بسته های باینری آماده برای Debian، Ubuntu، CentOS، RHEL و Windows تولید می شوند.

نوآوری های اصلی:

  • پشتیبانی از تعداد نامحدودی از اتصالات را فراهم می کند.
  • ماژول هسته ovpn-dco گنجانده شده است که به شما امکان می دهد سرعت عملکرد VPN را به میزان قابل توجهی افزایش دهید. شتاب با انتقال تمام عملیات رمزگذاری، پردازش بسته‌ها و مدیریت کانال ارتباطی به سمت هسته لینوکس به دست می‌آید، که سربار مربوط به سوئیچینگ زمینه را حذف می‌کند، بهینه‌سازی کار را با دسترسی مستقیم به APIهای هسته داخلی امکان‌پذیر می‌سازد و انتقال کند داده بین هسته را حذف می‌کند. و فضای کاربر (رمزگذاری، رمزگشایی و مسیریابی توسط ماژول بدون ارسال ترافیک به یک کنترل کننده در فضای کاربر انجام می شود).

    در تست های انجام شده، در مقایسه با پیکربندی مبتنی بر رابط tun، استفاده از ماژول در سمت مشتری و سرور با استفاده از رمز AES-256-GCM امکان دستیابی به افزایش 8 برابری توان (از 370) را فراهم کرد. مگابیت بر ثانیه تا 2950 مگابیت بر ثانیه). هنگام استفاده از ماژول فقط در سمت مشتری، توان عملیاتی برای ترافیک خروجی سه برابر افزایش یافت و برای ترافیک ورودی تغییری نکرد. هنگام استفاده از ماژول فقط در سمت سرور، توان عملیاتی 4 برابر برای ترافیک ورودی و 35 درصد برای ترافیک خروجی افزایش می یابد.

  • امکان استفاده از حالت TLS با گواهینامه های خود امضا شده وجود دارد (هنگام استفاده از گزینه "-peer-fingerprint"، می توانید پارامترهای "-ca" و "-capath" را حذف کنید و از اجرای سرور PKI بر اساس Easy-RSA یا نرم افزار مشابه).
  • سرور UDP یک حالت مذاکره اتصال مبتنی بر کوکی را پیاده‌سازی می‌کند که از یک کوکی مبتنی بر HMAC به عنوان شناسه جلسه استفاده می‌کند و به سرور اجازه می‌دهد تا تأیید بدون حالت را انجام دهد.
  • اضافه شدن پشتیبانی برای ساخت با کتابخانه OpenSSL 3.0. گزینه "--tls-cert-profile insecure" برای انتخاب حداقل سطح امنیتی OpenSSL اضافه شده است.
  • دستورات کنترلی جدید remote-entry-count و remote-entry-get برای شمارش تعداد اتصالات خارجی و نمایش لیستی از آنها اضافه شده است.
  • در طول فرآیند توافق کلید، مکانیسم EKM (Exported Keying Material, RFC 5705) اکنون روش ارجح برای به دست آوردن مواد تولید کلید، به جای مکانیسم PRF خاص OpenVPN است. برای استفاده از EKM، کتابخانه OpenSSL یا mbed TLS 2.18+ مورد نیاز است.
  • سازگاری با OpenSSL در حالت FIPS ارائه شده است، که امکان استفاده از OpenVPN را در سیستم هایی که الزامات امنیتی FIPS 140-2 را برآورده می کنند، فراهم می کند.
  • mlock برای اطمینان از اینکه حافظه کافی ذخیره شده است، بررسی می کند. زمانی که کمتر از 100 مگابایت رم در دسترس باشد، ()setrlimit برای افزایش حد فراخوانی می شود.
  • گزینه «--peer-fingerprint» را برای بررسی اعتبار یا اتصال گواهی با استفاده از اثر انگشت بر اساس هش SHA256، بدون استفاده از tls-verify اضافه کرد.
  • اسکریپت ها با گزینه تأیید اعتبار به تعویق افتاده ارائه می شوند که با استفاده از گزینه "-auth-user-pass-verify" اجرا می شود. پشتیبانی برای اطلاع رسانی به مشتری در مورد احراز هویت در انتظار هنگام استفاده از احراز هویت معوق به اسکریپت ها و افزونه ها اضافه شده است.
  • اضافه شدن حالت سازگاری (-compat-mode) برای اتصال به سرورهای قدیمی‌تر که OpenVPN 2.3.x یا نسخه‌های قدیمی‌تر دارند.
  • در لیستی که از طریق پارامتر "--data-ciphers" منتقل می شود، پیشوند "؟" مجاز است. برای تعریف رمزهای اختیاری که فقط در صورت پشتیبانی در کتابخانه SSL مورد استفاده قرار می گیرند.
  • گزینه "-session-timeout" اضافه شد که با آن می توانید حداکثر زمان جلسه را محدود کنید.
  • فایل پیکربندی امکان تعیین نام و رمز عبور با استفاده از تگ را فراهم می کند .
  • توانایی پیکربندی پویا MTU مشتری بر اساس داده های MTU ارسال شده توسط سرور ارائه می شود. برای تغییر حداکثر اندازه MTU، گزینه "—tun-mtu-max" اضافه شده است (پیش فرض 1600 است).
  • اضافه شدن پارامتر "--max-packet-size" برای تعیین حداکثر اندازه بسته های کنترلی.
  • پشتیبانی از حالت راه اندازی OpenVPN از طریق inetd حذف شد. گزینه ncp-disable حذف شده است. گزینه Verify-Hash و حالت کلید استاتیک منسوخ شده است (فقط TLS حفظ شده است). پروتکل های TLS 1.0 و 1.1 منسوخ شده اند (پارامتر tls-version-min به طور پیش فرض روی 1.2 تنظیم شده است). اجرای مولد اعداد شبه تصادفی داخلی (-prng) حذف شده است؛ پیاده‌سازی PRNG از کتابخانه‌های رمزنگاری mbed TLS یا OpenSSL باید استفاده شود. پشتیبانی از PF (Packet Filtering) متوقف شده است. به طور پیش فرض، فشرده سازی غیرفعال است (--allow-compression=no).
  • CHACHA20-POLY1305 به لیست رمزهای پیش فرض اضافه شد.

منبع: opennet.ru

اضافه کردن نظر