ProHoster > Blog > warta internét > OpenVPN 2.6.0 sayogi

OpenVPN 2.6.0 sayogi

Saatos dua satengah taun saprak publikasi cabang 2.5, sékrési OpenVPN 2.6.0 parantos disiapkeun, pakét pikeun nyiptakeun jaringan pribadi virtual anu ngamungkinkeun anjeun ngatur sambungan énkripsi antara dua mesin klien atanapi nyayogikeun server VPN terpusat. pikeun operasi simultaneous sababaraha klien. Kode OpenVPN disebarkeun dina lisénsi GPLv2, bungkusan binér siap-siap dihasilkeun pikeun Debian, Ubuntu, CentOS, RHEL sareng Windows.

Inovasi utama:

  • Nyadiakeun rojongan pikeun jumlah taya sambungan.
  • Modul kernel ovpn-dco kalebet, anu ngamungkinkeun anjeun nyepetkeun kinerja VPN sacara signifikan. Akselerasi dihontal ku mindahkeun sadaya operasi enkripsi, pamrosésan pakét sareng manajemén saluran komunikasi ka sisi kernel Linux, anu ngaleungitkeun overhead anu aya hubunganana sareng switching konteks, ngamungkinkeun pikeun ngaoptimalkeun padamelan ku langsung ngaksés API kernel internal sareng ngaleungitkeun transfer data anu laun antara kernel. sarta spasi pamaké (enkripsi, dekripsi na routing dipigawé ku modul tanpa ngirim lalulintas ka Handler di spasi pamaké).

    Dina tés anu dilaksanakeun, dibandingkeun sareng konfigurasi dumasar kana antarmuka tun, panggunaan modul dina sisi klien sareng server nganggo cipher AES-256-GCM ngamungkinkeun pikeun ngahontal paningkatan 8 kali lipet dina throughput (tina 370). Mbit/s nepi ka 2950 Mbit/s). Nalika ngagunakeun modul ngan dina sisi klien, throughput ngaronjat tilu kali lipat pikeun lalulintas kaluar sarta henteu robah pikeun lalulintas asup. Lamun ngagunakeun modul ngan dina sisi server, throughput ngaronjat ku 4 kali pikeun lalulintas asup jeung ku 35% keur lalulintas kaluar.

  • Kasebut nyaéta dimungkinkeun pikeun ngagunakeun mode TLS sareng sertipikat anu ditandatanganan sorangan (nalika nganggo pilihan "-peer-fingerprint", anjeun tiasa ngaleungitkeun parameter "-ca" sareng "-capath" sareng nyingkahan ngajalankeun server PKI dumasar kana Easy-RSA atanapi software sarupa).
  • UDP server implements modeu rundingan sambungan basis Cookie, nu ngagunakeun cookie basis HMAC salaku identifier sési, sahingga server nedunan verifikasi stateless.
  • Ditambahkeun dukungan pikeun ngawangun sareng perpustakaan OpenSSL 3.0. Ditambahkeun "--tls-cert-profile insecure" pilihan pikeun milih tingkat kaamanan OpenSSL minimum.
  • Ditambahkeun paréntah kontrol anyar remote-entry-count na remote-entry-get ngitung jumlah sambungan éksternal tur mintonkeun daptar aranjeunna.
  • Salila prosés perjangjian konci, mékanisme EKM (Exported Keying Material, RFC 5705) ayeuna mangrupikeun metode anu dipikaresep pikeun kéngingkeun bahan generasi konci, tibatan mékanisme PRF khusus OpenVPN. Pikeun ngagunakeun EKM, perpustakaan OpenSSL atanapi mbed TLS 2.18+ diperyogikeun.
  • Kasaluyuan sareng OpenSSL dina mode FIPS disayogikeun, anu ngamungkinkeun panggunaan OpenVPN dina sistem anu nyumponan syarat kaamanan FIPS 140-2.
  • mlock ngalaksanakeun cek pikeun mastikeun yén mémori anu cekap ditangtayungan. Nalika kirang ti 100 MB RAM sadia, disebut setrlimit () pikeun ngaronjatkeun wates.
  • Ditambahkeun pilihan "--peer-fingerprint" pikeun pariksa validitas atanapi beungkeutan sertipikat nganggo sidik dumasar kana SHA256 hash, tanpa nganggo tls-verify.
  • Skrip disayogikeun ku pilihan auténtikasi anu ditunda, dilaksanakeun nganggo pilihan "-auth-user-pass-verify". Rojongan pikeun nginpokeun ka klien ngeunaan auténtikasi anu ditangguhkeun nalika nganggo auténtikasi anu ditunda parantos ditambahkeun kana skrip sareng plugins.
  • Ditambahkeun mode kasaluyuan (-compat-mode) pikeun ngidinan sambungan ka server heubeul ngajalankeun OpenVPN 2.3.x atawa versi heubeul.
  • Dina daptar anu ngalangkungan parameter "--data-ciphers", awalan "?" Diijinkeun. pikeun nangtukeun ciphers pilihan nu ngan bakal dipaké lamun dirojong dina perpustakaan SSL.
  • Ditambahkeun pilihan "-session-timeout" dimana anjeun tiasa ngawatesan waktos sési maksimal.
  • File konfigurasi ngamungkinkeun nangtukeun nami sareng kecap akses nganggo tag .
  • Kamampuhan pikeun dinamis ngonpigurasikeun MTU klien disayogikeun, dumasar kana data MTU anu dikirimkeun ku server. Pikeun ngarobah ukuran MTU maksimum, pilihan "-tun-mtu-max" geus ditambahkeun (standar nyaéta 1600).
  • Ditambahkeun parameter "--max-packet-size" pikeun nangtukeun ukuran maksimum pakét kontrol.
  • Dipiceun rojongan pikeun mode peluncuran OpenVPN via inetd. Pilihan ncp-disable parantos dihapus. Pilihan verifikasi-hash sareng modeu konci statik parantos dileungitkeun (ngan TLS anu dipikagaduh). Protokol TLS 1.0 sareng 1.1 parantos dileungitkeun (parameter tls-version-min disetel ka 1.2 sacara standar). Palaksanaan generator angka pseudo-acak diwangun-di (-prng) parantos dipupus; palaksanaan PRNG ti perpustakaan crypto Mbed TLS atanapi OpenSSL kedah dianggo. Rojongan pikeun PF (Packet Filtering) parantos dileungitkeun. Sacara standar, komprési ditumpurkeun (--allow-compression=no).
  • Ditambahkeun CHACHA20-POLY1305 kana daptar cipher standar.

sumber: opennet.ru

Tambahkeun komentar