Do not speak Portuguese? Translate this site with Google or Bing Translator

OpenVPN 2.5 lançado com muitas mudanças e algumas melhorias

E foi lançado o OpenVPN 2.5 com muitas mudanças e algumas melhorias. Confira todas as novidades dessa importante atualização.

OpenVPN é uma ferramenta de conectividade baseada em software livre, SSL (Secure Sockets Layer), VPN Virtual Private Network (rede privada virtual).

O OpenVPN oferece conectividade ponto a ponto com validação hierárquica de usuários e hosts conectados remotamente. É uma opção muito boa em tecnologias Wi-Fi (redes sem fio IEEE 802.11) e suporta uma ampla configuração, incluindo balanceamento de carga.

O OpenVPN é uma ferramenta multiplataforma que simplificou a configuração de VPNs em comparação com as mais antigas e difíceis de configurar como o IPsec, e a tornou mais acessível para pessoas inexperientes nesse tipo de tecnologia.

Depois de quase quatro anos desde o lançamento do branch 2.4 e do qual versões menores estavam sendo lançadas (correções de bugs e alguns recursos adicionais), o lançamento do OpenVPN 2.5.0 foi preparado.

Esta nova versão vem com um grande número de mudanças importantes, das quais as mais interessantes que podemos encontrar estão relacionadas às mudanças na criptografia, bem como a transição para o IPv6 e a adoção de novos protocolos.

Novidades do OpenVPN 2.5

OpenVPN 2.5 lançado com muitas mudanças e algumas melhorias
OpenVPN 2.5 lançado com muitas mudanças e algumas melhorias

Das mudanças mais importantes, podemos descobrir que esta nova versão do OpenVPN 2.5.0 suporta criptografia de link de dados por meio de criptografia de fluxo ChaCha20 e o algoritmo de autenticação de mensagem Poly1305 (MAC) que são posicionados como contrapartes mais rápidas e seguras de AES-256-CTR e HMAC, cuja implementação de software permite atingir tempos de execução fixos sem o uso de suporte de hardware especial.

A capacidade de fornecer a cada cliente uma chave tls-crypt exclusiva, o que permite que grandes organizações e provedores de VPN usem a mesma proteção de pilha TLS e técnicas de prevenção DoS que estavam disponíveis anteriormente em pequenas configurações usando tls-auth ou tls- cripta.

Outra mudança importante é o mecanismo aprimorado para negociar a criptografia usada para proteger o canal de transmissão de dados. Renomeado ncp-ciphers para data-ciphers para evitar ambiguidade com a opção tls-cipher e para enfatizar que data-ciphers é preferível para configurar cifras de canal de dados (o nome antigo foi mantido para compatibilidade).

Os clientes agora enviam ao servidor uma lista de todas as cifras de dados que eles suportam, usando a variável IV_CIPHERS, que permite ao servidor selecionar a primeira cifra compatível com os dois lados.

O suporte à criptografia BF-CBC foi removido das configurações padrão. OpenVPN 2.5 agora suporta apenas AES-256-GCM e AES-128-GCM por padrão. Esse comportamento pode ser alterado usando a opção de criptografia de dados.

Ao atualizar para uma versão mais recente do OpenVPN, as configurações de criptografia BF-CBC nos arquivos de configuração antigos serão convertidas para adicionar BF-CBC ao conjunto de criptografia de dados e modo de backup de criptografia de dados habilitado.

Suporte para autenticação assíncrona (preguiçosa) foi adicionado ao plugin auth-pam. Da mesma forma, a opção “–client-connect” e a API de conexão do plugin adicionaram a capacidade de adiar o retorno do arquivo de configuração.

No Linux, foi adicionado suporte para interfaces de rede de roteamento e encaminhamento virtual (VRF). A opção “–bind-dev” é fornecida para colocar um conector externo no VRF.

Suporte para configurar endereços IP e rotas usando a interface Netlink fornecida pelo kernel Linux. O Netlink é usado quando construído sem a opção “–enable-iproute2” e permite que o OpenVPN seja executado sem os privilégios adicionais necessários para executar o utilitário “ip”.

O protocolo adicionou a capacidade de usar autenticação de dois fatores ou autenticação adicional pela Web (SAML), sem interromper a sessão após a primeira verificação (após a primeira verificação, a sessão permanece no estado ‘não autenticado’ e aguarde a conclusão do segundo estágio de autenticação).

Das outras mudanças que se destacam:

  • Agora você pode trabalhar apenas com endereços IPv6 dentro do túnel VPN (anteriormente, era impossível fazer isso sem especificar endereços IPv4).
  • Capacidade de vincular criptografia de dados e configurações de criptografia de dados de backup a clientes a partir do script de conexão do cliente.
  • Capacidade de especificar o tamanho do MTU para a interface tun/tap no Windows.
  • Suporte para escolher o mecanismo OpenSSL para acessar a chave privada (por exemplo, TPM).
  • A opção “–auth-gen-token” agora oferece suporte à geração de token baseada em HMAC.
  • Capacidade de usar máscaras de rede/31 nas configurações de IPv4 (o OpenVPN não tenta mais definir um endereço de transmissão).
  • Adicionada a opção “–block-ipv6” para bloquear qualquer pacote IPv6.
  • As opções “–ifconfig-ipv6” e “–ifconfig-ipv6-push” permitem que você especifique o nome do host em vez do endereço IP (o endereço será determinado pelo DNS).
  • Suporte a TLS 1.3. TLS 1.3 requer pelo menos OpenSSL 1.1.1. Adicionadas as opções “–tls-ciphersuites” e “–tls-groups” para ajustar os parâmetros TLS.

Para saber mais sobre essa versão do OpenVPN, acesse a nota de lançamento.

Compartilhe:
Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.