OpenVPN 2.6.0 사용 가능

2.5 브랜치 출시 후 2.6.0년 반 후에 OpenVPN 2 출시가 준비되었습니다. OpenVPN XNUMX은 두 클라이언트 시스템 간의 암호화된 연결을 구성하거나 중앙 집중식 VPN 서버를 제공할 수 있는 가상 사설망 생성용 패키지입니다. 여러 클라이언트의 동시 작업을 위해. OpenVPN 코드는 GPLvXNUMX 라이센스에 따라 배포되며 Debian, Ubuntu, CentOS, RHEL 및 Windows용으로 미리 만들어진 바이너리 패키지가 생성됩니다.

주요 혁신:

• 무제한의 연결을 지원합니다.
• ovpn-dco 커널 모듈이 포함되어 있어 VPN 성능 속도를 크게 높일 수 있습니다. 모든 암호화 작업, 패킷 처리 및 통신 채널 관리를 Linux 커널 측으로 이동하여 가속화를 달성합니다. 이는 컨텍스트 전환과 관련된 오버헤드를 제거하고 내부 커널 API에 직접 액세스하여 작업을 최적화할 수 있으며 커널 간의 느린 데이터 전송을 제거합니다. 및 사용자 공간(암호화, 암호 해독 및 라우팅은 사용자 공간의 핸들러로 트래픽을 보내지 않고 모듈에 의해 수행됨)

  수행된 테스트에서 tun 인터페이스 기반 구성과 비교하여 AES-256-GCM 암호화를 사용하는 클라이언트 및 서버 측 모듈을 사용하면 처리량이 8배 증가했습니다(370에서 2950배 증가). Mbit/s ~ 4Mbit/s). 클라이언트 측에서만 모듈을 사용하는 경우 나가는 트래픽의 처리량이 35배 증가했으며 들어오는 트래픽의 처리량은 변경되지 않았습니다. 서버 측에서만 모듈을 사용할 경우 들어오는 트래픽의 처리량이 XNUMX배, 나가는 트래픽의 경우 XNUMX% 증가했습니다.

• 자체 서명된 인증서로 TLS 모드를 사용할 수 있습니다. ("-peer-fingerprint" 옵션을 사용하는 경우 "-ca" 및 "-capath" 매개변수를 생략하고 Easy-RSA 기반 PKI 서버 실행을 피할 수 있습니다. 유사한 소프트웨어).
• UDP 서버는 HMAC 기반 쿠키를 세션 식별자로 사용하는 쿠키 기반 연결 협상 모드를 구현하여 서버가 무상태 검증을 수행할 수 있도록 합니다.
• OpenSSL 3.0 라이브러리를 사용한 빌드에 대한 지원이 추가되었습니다. 최소 OpenSSL 보안 수준을 선택하는 "--tls-cert-profile insecure" 옵션이 추가되었습니다.
• 외부 연결 수를 계산하고 해당 목록을 표시하는 새로운 제어 명령인 원격 항목 수(remote-entry-count) 및 원격 항목-겟(remote-entry-get)이 추가되었습니다.
• 키 계약 프로세스 중에 OpenVPN 관련 PRF 메커니즘 대신 EKM(Exported Keying Material, RFC 5705) 메커니즘이 키 생성 자료를 얻는 데 선호되는 방법입니다. EKM을 사용하려면 OpenSSL 라이브러리 또는 mbed TLS 2.18+가 필요합니다.
• FIPS 140-2 보안 요구 사항을 충족하는 시스템에서 OpenVPN을 사용할 수 있도록 FIPS 모드에서 OpenSSL과의 호환성이 제공됩니다.
• mlock은 충분한 메모리가 예약되었는지 확인하는 검사를 구현합니다. 100MB 미만의 RAM을 사용할 수 있는 경우 setrlimit()가 호출되어 제한을 늘립니다.
• TLS-verify를 사용하지 않고 SHA256 해시 기반 지문을 사용하여 인증서의 유효성이나 바인딩을 확인하는 "--peer-fingerprint" 옵션이 추가되었습니다.
• 스크립트에는 "-auth-user-pass-verify" 옵션을 사용하여 구현된 지연 인증 옵션이 제공됩니다. 지연된 인증을 사용할 때 보류 중인 인증에 대해 클라이언트에 알리는 지원이 스크립트 및 플러그인에 추가되었습니다.
• OpenVPN 2.3.x 또는 이전 버전을 실행하는 이전 서버에 연결할 수 있도록 호환성 모드(-compat-mode)를 추가했습니다.
• “--data-ciphers” 파라미터를 통해 전달된 목록에는 접두사 “?”가 허용됩니다. SSL 라이브러리에서 지원되는 경우에만 사용되는 선택적 암호를 정의합니다.
• 최대 세션 시간을 제한할 수 있는 "-session-timeout" 옵션이 추가되었습니다.
• 구성 파일을 사용하면 태그를 사용하여 이름과 비밀번호를 지정할 수 있습니다. .
• 서버가 전송한 MTU 데이터를 기반으로 클라이언트의 MTU를 동적으로 구성하는 기능이 제공됩니다. 최대 MTU 크기를 변경하기 위해 "—tun-mtu-max" 옵션이 추가되었습니다(기본값은 1600).
• 제어 패킷의 최대 크기를 정의하기 위해 "--max-packet-size" 매개변수가 추가되었습니다.
• inetd를 통한 OpenVPN 시작 모드에 대한 지원이 제거되었습니다. ncp-disable 옵션이 제거되었습니다. verify-hash 옵션과 정적 키 모드는 더 이상 사용되지 않습니다(TLS만 유지됨). TLS 1.0 및 1.1 프로토콜은 더 이상 사용되지 않습니다(tls-version-min 매개변수는 기본적으로 1.2로 설정됨). 내장된 의사 난수 생성기 구현(-prng)이 제거되었습니다. mbed TLS 또는 OpenSSL 암호화 라이브러리의 PRNG 구현을 사용해야 합니다. PF(패킷 필터링) 지원이 중단되었습니다. 기본적으로 압축은 비활성화되어 있습니다(--allow-compression=no).
• 기본 암호 목록에 CHACHA20-POLY1305를 추가했습니다.

출처 : opennet.ru