ProHoster > Blog > интернет жаңылыктары > OpenVPN 2.6.0 жеткиликтүү

OpenVPN 2.6.0 жеткиликтүү

2.5 филиалы жарыялангандан бери эки жарым жылдан кийин OpenVPN 2.6.0 релизи даярдалды, виртуалдык жеке тармактарды түзүү пакети эки кардар машинасынын ортосунда шифрленген байланышты уюштурууга же борборлоштурулган VPN серверин камсыз кылууга мүмкүндүк берет бир эле учурда бир нече кардарлардын иштеши үчүн. OpenVPN коду GPLv2 лицензиясы боюнча таратылат, Debian, Ubuntu, CentOS, RHEL жана Windows үчүн даяр бинардык пакеттер түзүлөт.

Негизги инновациялар:

  • Чексиз сандагы туташуулар үчүн колдоо көрсөтөт.
  • ovpn-dco ядро ​​модулу камтылган, бул VPN иштешин кыйла тездетүүгө мүмкүндүк берет. Ылдамдатуу бардык шифрлөө операцияларын, пакеттерди иштетүүнү жана байланыш каналын башкарууну Linux ядросунун тарабына жылдыруу аркылуу жетишилет, бул контекстти которуу менен байланышкан ашыкча чыгымдарды жок кылат, ички ядро ​​API'лерине түздөн-түз жетүү аркылуу ишти оптималдаштырууга мүмкүндүк берет жана ядронун ортосунда жай берилиштерди жок кылат. жана колдонуучу мейкиндиги (шифрлөө, чечмелөө жана маршрутизациялоо колдонуучу мейкиндигинде иштетүүчүгө трафикти жөнөтпөстөн модул тарабынан аткарылат).

    Жүргүзүлгөн сыноолордо, tun интерфейсине негизделген конфигурацияга салыштырмалуу, AES-256-GCM шифрин колдонуу менен кардар жана сервер тарабында модулду колдонуу өткөрүү жөндөмдүүлүгүн 8 эсеге жогорулатууга (370ден) жетишүүгө мүмкүндүк берди. Мбит/с чейин 2950 Мбит/сек). Модулду кардар тарабында гана колдонууда, өткөрүү жөндөмдүүлүгү чыгуучу трафик үчүн үч эсеге көбөйдү жана кирүүчү трафик үчүн өзгөргөн жок. Модулду сервер тарабында гана колдонууда өткөрүү жөндөмдүүлүгү кирген трафик үчүн 4 эсеге жана чыгуучу трафик үчүн 35% га өскөн.

  • TLS режимин өзүнөн өзү кол коюлган сертификаттар менен колдонсо болот (“-peer-манжа изи” опциясын колдонгондо, “-ca” жана “-capath” параметрлерин өткөрүп жиберип, Easy-RSA же негизделген PKI серверин иштетүүдөн качсаңыз болот. окшош программалык камсыздоо).
  • UDP сервери кукиге негизделген туташуу сүйлөшүү режимин ишке ашырат, ал HMAC негизиндеги Cookie файлын сессиянын идентификатору катары колдонуп, серверге жарандыгы жок текшерүүнү жүргүзүүгө мүмкүндүк берет.
  • OpenSSL 3.0 китепканасы менен куруу үчүн кошумча колдоо. Минималдуу OpenSSL коопсуздук деңгээлин тандоо үчүн "--tls-cert-profile insecure" опциясы кошулду.
  • Тышкы туташуулардын санын эсептөө жана алардын тизмесин көрсөтүү үчүн жаңы башкаруу командалары кошулду.
  • Негизги макулдашуу процессинде EKM (Экспорттолгон ачкыч материалы, RFC 5705) механизми азыр OpenVPN-спецификалык PRF механизминин ордуна ачкыч генерациялоочу материалды алуу үчүн артыкчылыктуу ыкма болуп саналат. EKM колдонуу үчүн OpenSSL китепканасы же mbed TLS 2.18+ талап кылынат.
  • FIPS режиминде OpenSSL менен шайкештик камсыз кылынат, бул OpenVPN'ди FIPS 140-2 коопсуздук талаптарына жооп берген системаларда колдонууга мүмкүндүк берет.
  • mlock жетиштүү эстутум сакталганын текшерүү үчүн текшерүү жүргүзөт. 100 МБдан аз RAM жеткиликтүү болгондо, чекти жогорулатуу үчүн setrlimit() чакырылат.
  • tls-verify колдонбостон, SHA256 хэшине негизделген манжа изи менен сертификаттын жарактуулугун же милдеттүүлүгүн текшерүү үчүн “--peer-manmak изи” опциясы кошулду.
  • Скрипттер "-auth-user-pass-verify" опциясын колдонуу менен ишке ашырылган кийинкиге калтырылган аутентификация опциясы менен камсыз кылынат. Скрипттерге жана плагиндерге кийинкиге калтырылган аутентификацияны колдонууда кардарга күтүлүп жаткан аутентификация жөнүндө маалымат берүү үчүн колдоо кошулду.
  • OpenVPN 2.3.x же эски версиялары менен иштеген эски серверлерге туташууга уруксат берүү үчүн шайкештик режими (-compat-mode) кошулду.
  • “--дата-шифрлер” параметри аркылуу өткөн тизмеде “?” префиксине жол берилет. SSL китепканасында колдоого алынганда гана колдонула турган кошумча шифрлерди аныктоо үчүн.
  • Сеанстын максималдуу убактысын чектей турган "-session-timeout" опциясы кошулду.
  • Конфигурация файлы теги менен атын жана сырсөзүн көрсөтүүгө мүмкүндүк берет .
  • Кардардын MTU динамикалык конфигурациялоо мүмкүнчүлүгү сервер тарабынан берилген MTU маалыматтарынын негизинде берилет. MTU максималдуу өлчөмүн өзгөртүү үчүн “—tun-mtu-max” опциясы кошулду (демейки – 1600).
  • Башкаруу пакеттеринин максималдуу өлчөмүн аныктоо үчүн "--max-packet-size" параметри кошулду.
  • inetd аркылуу OpenVPN ишке киргизүү режимин колдоо алынып салынды. ncp-өчүрүү опциясы алынып салынды. Текшерүү-хэш опциясы жана статикалык ачкыч режими эскирди (TLS гана сакталды). TLS 1.0 жана 1.1 протоколдору эскирди (tls-version-min параметри демейки боюнча 1.2 деп коюлган). Орнотулган псевдококустук сандар генераторунун ишке ашырылышы (-prng) алынып салынды; mbed TLS же OpenSSL крипто китепканаларынан PRNG ишке ашыруу колдонулушу керек. PF (Пакет чыпкалоо) үчүн колдоо токтотулду. Демейки боюнча, кысуу өчүрүлгөн (--allow-compression=no).
  • Демейки шифрлер тизмесине CHACHA20-POLY1305 кошулду.

Source: opennet.ru

Комментарий кошуу