ProHoster > BLOG > știri pe internet > OpenVPN 2.6.0 disponibil

OpenVPN 2.6.0 disponibil

După doi ani și jumătate de la publicarea ramurii 2.5, a fost pregătită lansarea OpenVPN 2.6.0, un pachet pentru crearea de rețele private virtuale care vă permite să organizați o conexiune criptată între două mașini client sau să furnizați un server VPN centralizat. pentru funcţionarea simultană a mai multor clienţi. Codul OpenVPN este distribuit sub licența GPLv2, sunt generate pachete binare gata făcute pentru Debian, Ubuntu, CentOS, RHEL și Windows.

Principalele inovații:

  • Oferă suport pentru un număr nelimitat de conexiuni.
  • Modulul nucleu ovpn-dco este inclus, ceea ce vă permite să accelerați semnificativ performanța VPN. Accelerația este obținută prin mutarea tuturor operațiunilor de criptare, procesare a pachetelor și gestionare a canalelor de comunicație către partea kernel-ului Linux, ceea ce elimină supraîncărcarea asociată cu comutarea contextului, face posibilă optimizarea muncii prin accesarea directă a API-urilor interne ale nucleului și elimină transferul lent de date între nucleu. și spațiul utilizatorului (criptarea, decriptarea și rutarea sunt efectuate de modul fără a trimite trafic către un handler din spațiul utilizatorului).

    În testele efectuate, în comparație cu configurația bazată pe interfața tun, utilizarea modulului pe partea client și server folosind cifrul AES-256-GCM a făcut posibilă obținerea unei creșteri de 8 ori a debitului (de la 370 Mbit/s până la 2950 Mbit/s). Când se folosește modulul numai pe partea clientului, debitul a crescut de trei ori pentru traficul de ieșire și nu s-a modificat pentru traficul de intrare. Când utilizați modulul numai pe partea de server, debitul a crescut de 4 ori pentru traficul de intrare și cu 35% pentru traficul de ieșire.

  • Este posibil să utilizați modul TLS cu certificate autosemnate (când utilizați opțiunea „-peer-fingerprint”, puteți omite parametrii „-ca” și „-capath” și puteți evita rularea unui server PKI bazat pe Easy-RSA sau software similar).
  • Serverul UDP implementează un mod de negociere a conexiunii bazat pe cookie, care utilizează un cookie bazat pe HMAC ca identificator de sesiune, permițând serverului să efectueze verificarea fără stat.
  • S-a adăugat suport pentru construirea cu biblioteca OpenSSL 3.0. S-a adăugat opțiunea „--tls-cert-profile insecure” pentru a selecta nivelul minim de securitate OpenSSL.
  • S-au adăugat noi comenzi de control remote-entry-count și remote-entry-get pentru a număra numărul de conexiuni externe și a afișa o listă a acestora.
  • În timpul procesului de acordare a cheilor, mecanismul EKM (Exported Keying Material, RFC 5705) este acum metoda preferată pentru obținerea materialului de generare a cheilor, în locul mecanismului PRF specific OpenVPN. Pentru a utiliza EKM, este necesară biblioteca OpenSSL sau mbed TLS 2.18+.
  • Este furnizată compatibilitatea cu OpenSSL în modul FIPS, ceea ce permite utilizarea OpenVPN pe sisteme care îndeplinesc cerințele de securitate FIPS 140-2.
  • mlock implementează o verificare pentru a se asigura că este rezervată suficientă memorie. Când sunt disponibile mai puțin de 100 MB de RAM, setrlimit() este apelat pentru a crește limita.
  • S-a adăugat opțiunea „--peer-fingerprint” pentru a verifica validitatea sau legarea unui certificat folosind o amprentă bazată pe hash-ul SHA256, fără a utiliza tls-verify.
  • Scripturile sunt furnizate cu opțiunea de autentificare amânată, implementată folosind opțiunea „-auth-user-pass-verify”. S-a adăugat suport pentru informarea clientului despre autentificarea în așteptare atunci când se utilizează autentificarea amânată la scripturi și pluginuri.
  • S-a adăugat modul de compatibilitate (-compat-mode) pentru a permite conexiuni la servere mai vechi care rulează OpenVPN 2.3.x sau versiuni mai vechi.
  • În lista trecută prin parametrul „--data-ciphers”, este permis prefixul „?”. pentru a defini coduri opționale care vor fi utilizate numai dacă sunt acceptate în biblioteca SSL.
  • A fost adăugată opțiunea „-session-timeout” cu care puteți limita timpul maxim de sesiune.
  • Fișierul de configurare permite specificarea unui nume și a unei parole folosind eticheta .
  • Este oferită capacitatea de a configura dinamic MTU-ul clientului, pe baza datelor MTU transmise de server. Pentru a modifica dimensiunea maximă a MTU, a fost adăugată opțiunea „—tun-mtu-max” (implicit este 1600).
  • S-a adăugat parametrul „--max-packet-size” pentru a defini dimensiunea maximă a pachetelor de control.
  • S-a eliminat suportul pentru modul de lansare OpenVPN prin inetd. Opțiunea ncp-disable a fost eliminată. Opțiunea de verificare-hash și modul cheie statică au fost depreciate (a fost păstrat doar TLS). Protocoalele TLS 1.0 și 1.1 au fost depreciate (parametrul tls-version-min este setat implicit la 1.2). Implementarea încorporată a generatorului de numere pseudo-aleatoare (-prng) a fost eliminată; ar trebui utilizată implementarea PRNG din bibliotecile criptografice mbed TLS sau OpenSSL. Suportul pentru PF (Packet Filtering) a fost întrerupt. În mod implicit, compresia este dezactivată (--allow-compression=no).
  • S-a adăugat CHACHA20-POLY1305 la lista de cifrare implicită.

Sursa: opennet.ru

Adauga un comentariu