ProHoster > Blog > noticias de internet > OpenVPN 2.6.0 dispoñible

OpenVPN 2.6.0 dispoñible

Despois de dous anos e medio desde a publicación da rama 2.5, preparouse o lanzamento de OpenVPN 2.6.0, un paquete para a creación de redes privadas virtuais que permite organizar unha conexión cifrada entre dúas máquinas cliente ou proporcionar un servidor VPN centralizado. para a operación simultánea de varios clientes. O código OpenVPN distribúese baixo a licenza GPLv2, xéranse paquetes binarios preparados para Debian, Ubuntu, CentOS, RHEL e Windows.

Principais novidades:

  • Ofrece soporte para un número ilimitado de conexións.
  • Inclúese o módulo do núcleo ovpn-dco, o que che permite acelerar significativamente o rendemento da VPN. A aceleración conséguese movendo todas as operacións de cifrado, procesamento de paquetes e xestión de canles de comunicación ao lado do núcleo de Linux, o que elimina a sobrecarga asociada ao cambio de contexto, permite optimizar o traballo accedendo directamente ás API do núcleo interno e elimina a transferencia lenta de datos entre o núcleo. e espazo de usuario (o cifrado, descifrado e enrutamento realízao o módulo sen enviar tráfico a un controlador no espazo de usuario).

    Nas probas realizadas, en comparación coa configuración baseada na interface tun, o uso do módulo nos lados do cliente e do servidor mediante o cifrado AES-256-GCM permitiu acadar un aumento de 8 veces no rendemento (de 370 Mbit/s a 2950 Mbit/s). Ao usar o módulo só no lado do cliente, o rendemento aumentou por tres para o tráfico de saída e non cambiou para o tráfico de entrada. Ao usar o módulo só no lado do servidor, o rendemento aumentou 4 veces para o tráfico de entrada e un 35 % para o tráfico de saída.

  • É posible utilizar o modo TLS con certificados auto-asinados (ao utilizar a opción "-peer-fingerprint", pode omitir os parámetros "-ca" e "-capath" e evitar executar un servidor PKI baseado en Easy-RSA ou software similar).
  • O servidor UDP implementa un modo de negociación de conexión baseado en cookies, que utiliza unha cookie baseada en HMAC como identificador de sesión, o que permite ao servidor realizar unha verificación sen estado.
  • Engadiuse compatibilidade para construír coa biblioteca OpenSSL 3.0. Engadiuse a opción "--tls-cert-profile insecure" para seleccionar o nivel mínimo de seguranza OpenSSL.
  • Engadíronse novos comandos de control remoto-entry-count e remote-entry-get para contar o número de conexións externas e mostrar unha lista delas.
  • Durante o proceso de acordo de claves, o mecanismo EKM (Exported Keying Material, RFC 5705) é agora o método preferido para obter material de xeración de claves, en lugar do mecanismo PRF específico de OpenVPN. Para usar EKM, é necesaria a biblioteca OpenSSL ou mbed TLS 2.18+.
  • Ofrécese compatibilidade con OpenSSL en modo FIPS, o que permite o uso de OpenVPN en sistemas que cumpran os requisitos de seguranza FIPS 140-2.
  • mlock implementa unha comprobación para asegurarse de que se reserva suficiente memoria. Cando hai menos de 100 MB de RAM dispoñibles, chámase a setrlimit() para aumentar o límite.
  • Engadiuse a opción "--peer-fingerprint" para comprobar a validez ou a vinculación dun certificado mediante unha impresión dixital baseada no hash SHA256, sen utilizar tls-verify.
  • Os scripts teñen a opción de autenticación diferida, implementada mediante a opción "-auth-user-pass-verify". Engadiuse aos scripts e complementos soporte para informar ao cliente sobre a autenticación pendente cando se utiliza a autenticación diferida.
  • Engadiuse o modo de compatibilidade (-compat-mode) para permitir conexións a servidores máis antigos que executan OpenVPN 2.3.x ou versións anteriores.
  • Na lista pasada polo parámetro "--data-ciphers", permítese o prefixo "?". para definir cifrados opcionais que só se utilizarán se se admiten na biblioteca SSL.
  • Engadiuse a opción "-session-timeout" coa que pode limitar o tempo máximo da sesión.
  • O ficheiro de configuración permite especificar un nome e un contrasinal mediante a etiqueta .
  • Ofrécese a capacidade de configurar dinámicamente a MTU do cliente, en función dos datos de MTU transmitidos polo servidor. Para cambiar o tamaño máximo de MTU, engadiuse a opción "—tun-mtu-max" (o predeterminado é 1600).
  • Engadiuse o parámetro "--max-packet-size" para definir o tamaño máximo dos paquetes de control.
  • Eliminouse o soporte para o modo de lanzamento de OpenVPN a través de inetd. Eliminouse a opción ncp-disable. A opción verificar-hash e o modo de chave estática quedaron obsoletos (só se mantivo TLS). Os protocolos TLS 1.0 e 1.1 quedaron obsoletos (o parámetro tls-version-min está configurado como 1.2 por defecto). Eliminouse a implementación integrada do xerador de números pseudoaleatorios (-prng); débese utilizar a implementación PRNG das bibliotecas criptográficas mbed TLS ou OpenSSL. O soporte para PF (filtrado de paquetes) foi descontinuado. Por defecto, a compresión está desactivada (--allow-compression=non).
  • Engadiuse CHACHA20-POLY1305 á lista de cifrado predeterminada.

Fonte: opennet.ru

Engadir un comentario