ProHoster > Блог > интернет жаңалықтары > OpenVPN 2.6.0 қолжетімді

OpenVPN 2.6.0 қолжетімді

2.5 филиалы жарияланғаннан бері екі жарым жылдан кейін OpenVPN 2.6.0 шығарылымы дайындалды, бұл екі клиенттік машина арасында шифрланған қосылымды ұйымдастыруға немесе орталықтандырылған VPN серверін қамтамасыз етуге мүмкіндік беретін виртуалды жеке желілерді құру пакеті. бірнеше клиенттің бір уақытта жұмыс істеуі үшін. OpenVPN коды GPLv2 лицензиясы бойынша таратылады, Debian, Ubuntu, CentOS, RHEL және Windows үшін дайын екілік пакеттер жасалады.

Негізгі инновациялар:

  • Қосылымдардың шексіз санын қолдауды қамтамасыз етеді.
  • VPN өнімділігін айтарлықтай жылдамдатуға мүмкіндік беретін ovpn-dco ядро ​​модулі қамтылған. Жеделдету барлық шифрлау операцияларын, пакеттерді өңдеуді және байланыс арналарын басқаруды Linux ядросының жағына жылжыту арқылы қол жеткізіледі, бұл контекстті ауыстыруға байланысты үстеме шығындарды болдырмайды, ішкі ядро ​​​​ API интерфейстеріне тікелей қол жеткізу арқылы жұмысты оңтайландыруға мүмкіндік береді және ядро ​​арасында деректердің баяу берілуін болдырмайды. және пайдаланушы кеңістігі (шифрлау, шифрды шешу және маршруттауды модуль пайдаланушы кеңістігіндегі өңдеушіге трафикті жібермей орындайды).

    Жүргізілген сынақтарда, tun интерфейсіне негізделген конфигурациямен салыстырғанда, AES-256-GCM шифрін қолдана отырып, клиент және сервер жағында модульді пайдалану өткізу қабілеттілігін 8 есе арттыруға мүмкіндік берді (370-тен бастап). Мбит/с дейін 2950 Мбит/с). Модульді тек клиент жағында пайдаланған кезде өткізу қабілеті шығыс трафик үшін үш есе өсті және кіріс трафик үшін өзгермеді. Модульді тек сервер жағында пайдаланған кезде өткізу қабілеттілігі кіріс трафик үшін 4 есе және шығыс трафик үшін 35% артты.

  • Өздігінен қол қойылған сертификаттармен TLS режимін пайдалануға болады («-тең-саусақ ізі» опциясын пайдаланған кезде «-ca» және «-capath» параметрлерін өткізіп жіберуге және Easy-RSA негізіндегі PKI серверін іске қосудан аулақ болуға болады немесе ұқсас бағдарламалық қамтамасыз ету).
  • UDP сервері серверге азаматтығы жоқ тексеруді орындауға мүмкіндік беретін сеанс идентификаторы ретінде HMAC негізіндегі Cookie файлын пайдаланатын cookie-негізделген қосылым келіссөз режимін жүзеге асырады.
  • OpenSSL 3.0 кітапханасымен құруға қолдау қосылды. Минималды OpenSSL қауіпсіздік деңгейін таңдау үшін "--tls-cert-profile insecure" опциясы қосылды.
  • Сыртқы қосылымдардың санын санау және олардың тізімін көрсету үшін қашықтан енгізуді санау және қашықтан енгізуді алу жаңа басқару пәрмендері қосылды.
  • Негізгі келісім процесі кезінде EKM (Экспортталған кілттік материал, RFC 5705) механизмі енді OpenVPN-арнайы PRF механизмінің орнына кілт генерациялау материалын алудың таңдаулы әдісі болып табылады. EKM пайдалану үшін OpenSSL кітапханасы немесе mbed TLS 2.18+ қажет.
  • FIPS режимінде OpenSSL үйлесімділігі қамтамасыз етілген, бұл FIPS 140-2 қауіпсіздік талаптарына сәйкес келетін жүйелерде OpenVPN пайдалануға мүмкіндік береді.
  • mlock жеткілікті жадтың сақталғанына көз жеткізу үшін тексеруді жүзеге асырады. 100 МБ-тан аз ЖЖҚ қол жетімді болғанда, шектеуді арттыру үшін setrlimit() шақырылады.
  • tls-verify қолданбай SHA256 хэшіне негізделген саусақ ізі арқылы сертификаттың жарамдылығын немесе байланыстыруын тексеру үшін «--тең-саусақ ізі» опциясы қосылды.
  • Сценарийлер "-auth-user-pass-verify" опциясы арқылы жүзеге асырылатын кейінге қалдырылған аутентификация опциясымен қамтамасыз етілген. Сценарийлер мен плагиндерге кейінге қалдырылған аутентификацияны пайдалану кезінде клиентті күтудегі аутентификация туралы хабардар ету қолдауы қосылды.
  • OpenVPN 2.3.x немесе одан да ескі нұсқаларымен жұмыс істейтін ескі серверлерге қосылуға рұқсат беру үшін үйлесімділік режимі (-compat-mode) қосылды.
  • «--деректер-шифрлар» параметрі арқылы өткен тізімде «?» префиксіне рұқсат етіледі. SSL кітапханасында қолдау көрсетілсе ғана пайдаланылатын қосымша шифрларды анықтау үшін.
  • Максималды сеанс уақытын шектеуге болатын «-сеанс-тайм-аут» опциясы қосылды.
  • Конфигурация файлы тег арқылы атау мен құпия сөзді көрсетуге мүмкіндік береді .
  • Клиенттің MTU динамикалық конфигурациялау мүмкіндігі сервер арқылы берілетін MTU деректеріне негізделген. Максималды MTU өлшемін өзгерту үшін «—tun-mtu-max» опциясы қосылды (әдепкі – 1600).
  • Басқару пакеттерінің максималды өлшемін анықтау үшін "--max-packet-size" параметрі қосылды.
  • inetd арқылы OpenVPN іске қосу режиміне қолдау жойылды. ncp-disable опциясы жойылды. Тексеру-хэш опциясы және статикалық кілт режимі ескірген (тек TLS сақталған). TLS 1.0 және 1.1 протоколдары ескірген (tls-version-min параметрі әдепкі бойынша 1.2-ге орнатылған). Кірістірілген жалған кездейсоқ сандар генераторының іске асырылуы (-prng) жойылды; mbed TLS немесе OpenSSL криптовалюта кітапханаларынан PRNG енгізуі пайдаланылуы керек. PF (Packet Filtering) қолдауы тоқтатылды. Әдепкі бойынша қысу өшірілген (--allow-compression=жоқ).
  • Әдепкі шифрлар тізіміне CHACHA20-POLY1305 қосылды.

Ақпарат көзі: opennet.ru

пікір қалдыру