OpenVPN -protokoller
OpenVPN er den mest fleksible VPN-protokol tilgængelig på grund af dens open source-natur. Denne fleksibilitet gør den ideel, når man skaber en Tilpasset sikkerhedsopsætning.
Protokolkompatibilitet
Mens OpenVPN hurtigt har udviklet.
Der er dog foretaget flere ændringer siden version 1.1.0 Det kan påvirke kompatibilitet.
Disse noter antager, at du bruger openvpn 1.1.0 eller nyere. Versioner før 1.1.0 skal betragtes som eksperimentel.
I version 1.3.0, standard –UDP-MTU blev ændret fra 1500 til 1300. Hvis du vil have en 1.3.0 eller nyere version af OpenVpn for at tale med en 1.1.x eller 1.2.x version, du skal eksplicit bruge –UDP-MTU På begge sider af forbindelsen snarere end afhængigt af misligholdelser.
I version 1.5.X, TLS-modeindstillinger String-format blev ændret. Denne ændring vil kun påvirke dig, hvis du bruger TLS-baseret sikkerhed. Version 1.5.X er fuldt kompatibel med 1.4.x. Version 1.5.X kan tale med 1.3.X, men du skal bruge –Deaktiver-occ flag på 1.3.x peer. Version 1.5.X kan ikke tale med 1.2.x eller tidligere ved hjælp af TLS.
I version 1.5.X, hvis du bruger en tap-stil tunnel, bruges følgende standard til at forenkle konfigurationen af Ethernet Bridging: –Tun-MTU 1500-Tun-Mtu-Extra 32. Hvis du brobro til en 1.4.X -peer eller tidligere skal du eksplicit angive de foregående muligheder på 1.4.x peer.
I version 1.5.X, den røde hat /etc/init.d/openvpn Filen er ændret for ikke at muliggøre IP -videresendelse som standard (dette blev fortolket som værende for formodet for standardadfærd). IP -videresendelse kan let aktiveres i et script- eller -op -fil med kommandoen:
ekko 1>/proc/sys/net/ipv4/ip_forward
I version 1.5.x, –UDP-MTU blev omdøbt til –link-mtu Da OpenVPN nu understøtter både UDP- og TCP -protokollerne til tunneltransportlaget. –UDP-MTU vil stadig blive understøttet til kompatibilitet.
I version 1.5.x, –verb 5 er nu et fejlsøgningsniveau. Til normal brug, –verb 4 skal betragtes som en øvre grænse.
I version 1.6.0 og op, understøtter konfigurationsfilparseren Shell-escapes ved at foregå en karakter med et tilbageslag. Hvis du selv vil videregive en backslash -karakter, skal du bruge to på hinanden følgende tilbageslag.
I version 2.0, –Tun-MTU 1500-MSSFIX 1450 er nu standard. I 1.x Standard er –Link-MTU 1300 til tun -grænseflader og –Tun-MTU 1500 til tapgrænseflader med –MSSFIX handicappet).
Også i verson 2.0, når du bruger TLS, –Key-Method 2 er nu standard. Brug –Key-Method 1 på de 2.0 side at kommunikere med 1.x.
Start med version 2.0-beta12, OpenVPN har vedtaget en konsekvent tilgang til streng-omlægning for at forhindre pålidelige eller semi-betroede kammerater i at sende ondsindede udformede strenge. Detaljerne diskuteres i strengtyperne og omlægningsafsnittet på MAND -siden.
Start med version 2.0-beta17, OpenVPNs standardportnummer er ændret fra 5000 til 1194 pr. Officiel portopgave af IANA i november 2004.
OpenVPN Protocol (OpenVPN)
Med OpenVPN kan du tunnelere ethvert IP -undernetværk eller virtuel Ethernet -adapter over en enkelt UDP- eller TCP -port. Den bruger alle krypterings-, godkendelses- og certificeringsfunktioner på OpenSSL -biblioteket til at beskytte din private netværkstrafik, når det overfører internettet.
OpenVPN har to godkendelsestilstande:
- Statisk nøgle – Brug en statisk nøgle før delet
- TLS – Brug SSL/TLS + certifikater til godkendelse og nøgleudveksling
For TLS -godkendelse bruger OpenVPN en brugerdefineret sikkerhedsprotokol, der er beskrevet her på denne wiki -side. Denne protokol giver SSL/TLS -forbindelsen med et pålideligt transportlag (som det er designet til at fungere over). Det er andet job er at multiplex.
SSL / TLS -> Pålidelighedslag -> \ -TLS -forfatter HMAC \ \> Multiplexer ----> UDP / Transport IP Encrypt og HMAC / Tunnel -> Brug af OpenSSL EVP -> / pakker interface.
Historie
Jeg kunne ikke finde nogen historisk information om denne protokol.
Protokolafhængigheder
- UDP: Typisk bruger OpenVPN UDP som sin transportprotokol. Den velkendte UDP -port til OpenVPN -trafik er 1194.
- TCP: Derudover kan OpenVPN konfigureres til at bruge TCP som dens transportprotokol. Den velkendte TCP -port til OpenVPN -trafik er 1194.
Eksempel på trafik
Wireshark
OpenVPN -dissektoren er fuldt funktionel og inkluderet i Wireshark fra version 1.10.0.
Præferenceindstillinger
- OpenVPN TCP Port: Dissektoren forsøger automatisk at dissekere TCP -pakker som OpenVPN -trafik på denne port.
- OpenVPN UDP Port: Dissektoren forsøger automatisk at dissekere UDP -datagrammer som OpenVPN -trafik på denne port.
- Tilsidesættelse af TLS-Auth-detektion: Hvis detektion af TLS-forfatter mislykkes, kan du vælge at tilsidesætte detektion og indstille indstillingerne TLS-forfatter manuelt.
- –Tls-forfatter brugt?: Hvis parameteren –TLS-forfatter bruges, skal følgende præferencer også defineres.
- størrelse på HMAC -overskriften i bytes: Standard HMAC-algoritmen er SHA-1, der genererer en 160 bit HMAC, derfor skal 20 byte være OK.
- Pakke-id til gentagelsesbeskyttelse inkluderer valgfri tidsstempel?: Hvis parameteren –TLS-forfatter bruges, indsættes en ekstra pakke-id til replay-beskyttelse efter HMAC-signaturen. Dette felt kan enten være 4 bytes eller 8 byte inklusive en valgfri tid_t tidsstempel lang. Standardværdien er sand.
Eksempel Capture File
- Samplecaptures/openvpn_udp_tls-forfatter.pcapng
- Samplecaptures/openvpn_tcp_tls-forfatter.pcapng
Visfilter
En komplet liste over OpenVPN -displayfilterfelter findes i displayfilterreferencen
Vis kun den OpenVPN -baserede trafik:
OpenVpn
Optag filter
Du kan ikke direkte filtrere OpenVPN -protokoller, mens du fanger. Men hvis du kender UDP- eller TCP -porten, der er brugt (se ovenfor), kan du filtrere på den ene.
Fang kun OpenVPN -trafikken over standardporten (1194):
UDP Port 1194
TCP Port 1194
eksterne links
- http: // openvpn.net/OpenVpn – Officiel hjemmeside.
- http: // openvpn.net/indeks.PHP/open source/dokumentation/sikkerhedsoversigt.htmlOpenVPN – Sikkerhedsoversigt – OpenVPN -protokollen forklarede.
- http: // www.OPENSSL.org/OPENSSL – Officiel hjemmeside.
Hvad er OpenVPN -protokol?
Eventuelle data, der er overført over internettet, har brug for jernklædt sikkerhed. Virtuelle private netværk baseret på OpenVPN leverer kryptering og online anonymitet, hvilket gør cybersikkerhedskatastrofer meget mindre sandsynligt. Men hvad er openvpn, og hvordan fungerer det?
OpenVPN er en af de mest populære VPN -protokoller omkring. Det understøttes også af Nordlayers sikkerhedsprodukter, der tilbyder stærk kryptering og fleksibilitet for vores kunder. Denne Learning Center -artikel giver alt, hvad brugerne har brug for, før de tilføjer protokollen til deres sikkerhedsopsætning.
Hvordan fungerer OpenVPN -protokol?
Den første ting at forstå om OpenVPN er, at det er en VPN -protokol. En protokol er et sæt regler, der Opretter VPN -tunneler. Det bestemmer, hvordan man krypterer og mærker datapakker, der passerer over VPN -forbindelser.
Der er mange forskellige protokolindstillinger for VPN -brugere, herunder L2TP, TLS/SSL og IPSEC. Hver enkelt har sine stærke punkter, men OpenVPN betragtes som en af branchens ledere.
OpenVPN stammer fra 2001 og var den første open source VPN-protokol. Siden da er der kommet et globalt samfund af udviklere. OpenVPNs open source-samfund kontrollerer fejl og finjusterer protokollen, tilføjer nye funktioner og opdaterer sikkerhedselementer. Konstant kontrol betyder, at protokollen er Sjældent efterladt af nye cybertrusler.
OpenVpn er En del af Secure Socket Tunneling Protocol (SSL) familie af VPN’er. Dette betyder, at det fungerer på transportlaget (niveau 4) i OSI -modellen. Det giver også OpenVPN adgang til det enorme SSL -bibliotek, der giver masser af tilpasningsmuligheder, når du opretter VPN’er.
På den tekniske side sikrer OpenVPN data ved kryptering og anonymiserer data via IP -adresse tildeling som alle VPN’er. Sættet med værktøjer, der bruges til at opnå dette, er imidlertid forskellig fra andre VPN -stilarter:
1. Kryptering
OpenVPN -protokollen bruger SSL/TLS -nøgleudveksling til at anvende kryptering, når du opretter VPN -tunneler. Denne proces anvender 256-bit kryptering som standard – et beskyttelsesniveau, som selv NSA ikke kan knække.
Hvis 256-bit kryptering er utilstrækkelig, kan OpenVPN gå endnu længere. Protokollen understøtter avancerede krypteringsteknikker som blowfish, AES og CAST-128-hvilket gør datatransmissioner næsten uundværlige til angreb udefra.
Derudover bruger OpenVPN Perfekt fremadrettet hemmeligholdelse (PFS). PFS opretter en unik krypteringsnøgle til hver session eller dataoverførsel. Udskiftning af krypteringsnøgler gør det meget svært for eksterne angribere at stjæle nøgler og arbejde omkring krypteringschifre.
2. Godkendelse
Ved siden af kryptering bruger OpenVPN også Avanceret godkendelse procedurer. Autentificering sikrer, at hver datapakke leveres til den rigtige adresse og i den rigtige sekvens.
Når brugere sender data via OpenVPN, gælder et værktøj kaldet TLS-forfatter Hash -meddelelsesgodkendelseskode (HMAC) Autentificering. HMAC garanterer praktisk talt nøjagtige dataoverførsler med minimalt datatab.
OpenVPN bruger to transmissionstilstande: UDP og TCP. Vi ser på begge senere. Men indtil videre er det vigtigt at bemærke, at kun TCP -tilstand leverer godkendelsestjenester. TCP kontrollerer overførsler til overvågning af mistede pakker, mens UDP kan føre til datatab.
OpenVPN -pakker kan passere gennem enhver port. Brug af SSL -protokoller betyder, at trafik, der sendes over nettet, næsten er umulig at skelne fra almindelige data. Med den korrekte konfiguration på port 443 vil udenforstående ikke engang være i stand til at registrere brugen af en VPN.
Denne portkonfiguration gør også OpenVPN meget god til at undgå firewalls – et problem, der kan plage IPSec VPN’er.
Fordele ved openvpn
OpenVPN er blevet GO-TO-protokollen for mange kommercielle virtuelle private netværk, og der er masser af gode grunde til dette. Fordelene ved protokollen inkluderer:
Stærk kryptering med mange muligheder. 256-bit kryptering er standardtilstand med OpenVPN-protokollen og skal beskytte data mod alle cyberangrebere. Standardindstillingen holder følsomme data sikre, såsom betalingsoplysninger eller virksomheds login. Og hvis brugerne ønsker mere robust kryptering, kan der tilføjes forskellige chiffer.
Let at skalere. OpenVPN-systemer kan tjene en enkelt arbejdsstation, der forbinder til et virksomhedsnetværk eller skaleres op til virksomhedsdækkende sikkerhedssystemer. VPN er designet til at dække så mange enheder, som brugerne har brug for. Brugere downloader forudkonfigurerede klienter, installerer dem på deres enheder og er klar til at gå.
Fremragende enhedskompatibilitet. En af de største OpenVPN -fordele er, at brugere kan installere OpenVPN -klienter på Windows, Linux og MacOS. Protokollen tilbyder Android- og iOS -funktionalitet og kan konfigureres til specifik hardware, hvis det er nødvendigt.
Firewall Performance. Ikke alle VPN’er kan let krydse NAT -gateways eller firewalls. Det er ikke et problem med OpenVPN, som er kendt for sin evne til at håndtere firewalls og anden filtreringshardware.
Protokolfleksibilitet. Evnen til at skifte mellem UDP og TCP er en anden styrke af OpenVPN -protokoller. Spillere og streamere kan nyde hastigheden af UDP -transmission. TCP er tilgængelig til overførsler med høj sikkerhed, når hastigheden er mindre kritisk.
Plugin -venlig. OpenVPN arbejder med tredjeparts tilføjelser og plugins. Dette forbedrer den grundlæggende VPN og tilføjer en bred vifte af tjenester. Disse tjenester inkluderer fleksible godkendelsesindstillinger – en praktisk funktion til virksomhedsnetværk. Plugins inkluderer også masser af værktøjer til at oprette OpenVPN -servere.
Open source distribution. De fleste VPN-protokoller er virksomhedsejede. F.eks. Own L2TP. Men OpenVPN forbliver open source, hvilket sikrer, at kodebasen er gennemsigtig. Brugere behøver ikke at stole på, at virksomheder sikrer data og undgår sikkerhedsfejl. En verdensomspændende kodende samfund finjusterer OpenVPN for at reagere på de nyeste cybersecurity-tendenser.
Ulemper ved OpenVpn
De fordele, der er anført ovenfor separate OpenVPN fra de fleste andre VPN -protokoller. Men ingen cybersikkerhedsteknologi er fejlfri. OpenVPN er ingen undtagelse, og der er flere potentielle svagheder, som brugerne har brug for at vide om:
Ikke altid den hurtigste mulighed. Sikkerhed leveres med en omkostning i VPN’ernes verden. Det gælder for OpenVPN, især når du bruger den sikre UDP -overførselstilstand. Med stærk godkendelse og kryptering er indgrebet, er OpenVPN cirka så hurtigt som L2TP, mens andre tunnelprotokoller kan være hurtigere.
Kan være kompleks til at konfigurere. Brugere kan kæmpe for at oprette et OpenVPN -system fra bunden. VPN’s grundlæggere anbefaler en 20-trins manuel konfigurationsproces, og hvert trin er komplekst og tidskrævende. I praksis køber de fleste en klarbygget OpenVPN-klient med de funktioner, de har brug for. Dette er praktisk, men virksomheder med skræddersyet sikkerhedsbehov kan finde andre protokoller mere brugervenlige.
Ikke den bedste VPN til mobile enheder. OpenVPN er blevet en strømlinet løsning til desktop- og bærbare operativsystemer, men er ikke så glat til mobilbrugere. Android- og iOS-implementeringer er ikke så avancerede eller brugervenlige, selvom de forbedrer sig hele tiden.
Hvornår bruges OpenVPN?
Nu ved vi mere om, hvordan OpenVPN -teknologier fungerer og balancen mellem fordele og ulemper. Men hvilke virkelighedsanvendelser er der til OpenVPN-software?
Siden 2001 er OpenVPN blevet en uundværlig del af sikkerhedsløsninger, og dagens klienter har mange applikationer. Brug sager kan omfatte:
1. Tilpassede VPN -opsætninger
OpenVPN er den mest fleksible VPN-protokol tilgængelig på grund af dens open source-natur. Denne fleksibilitet gør den ideel, når man skaber en Tilpasset sikkerhedsopsætning.
Administratorer kan skifte avanceret kryptering eller skifte mellem TCP og UDP. Så længe brugere respekterer betingelserne for OpenVPN-softwarelicensaftalen, kan de bruge koden, som de ønsker-noget du ikke finder med alternativer i én størrelse, der passer til alle.
2. Robust kryptering til fjernadgang
Med 256-bit AES-kryptering af en del af pakken er OpenVPN sikker nok til at beskytte følsomme klientdata og fortrolige projektdokumenter.
Virksomheder kan oprette en sikker tunnel mellem lokale datacentre og hjemmearbejdsstationer. Og medarbejderne kan logge på openvpn -portaler, når de rejser verden rundt. Endnu bedre kan hjemmearbejdere skifte fra TCP til UDP -forbindelser til at streame eller spille spil uden for kontortid.
3. Oprettelse af nul tillidsnetværkskonfigurationer
Zero Trust Network Access (ZTNA) er et sæt sikkerhedsideer, der følger princippet “aldrig tillid, bekræft altid”. OpenVPN -teknologier er et godt fundament for mange ZTNA -systemer.
Med en VPN installeret kan virksomheder beskytte data, der passerer over netværksområdet. De kan filtrere adgang til internettet og forhindre adgang til farlige websteder. Og med en OpenVPN Cloud -implementering kan virksomheder kryptere data, der flyder til og fra SaaS -apps.
I mellemtiden tilføjer adgangskontrolplugins med multifaktor-godkendelse et ekstra element af kontrol, der holder uautoriserede aktører væk fra kritiske aktiver.
Det kritiske aspekt af OpenVPN er dens fleksibilitet. Brugere kan anvende det på hjemmet netværk, det kan låse offentlige WiFi -forbindelser i WiFi og sammenkoble filialplaceringer sikkert. Uanset hvor anonymitet og kryptering er nødvendig, kan OpenVPN godt have en rolle at spille.
Hvad er OpenVPN UDP og TCP?
OpenVPN bryder i to protokoller, og brugere kan bruge både TCP- og UDP -tilstande til datatransmission. Disse to tilstande har forskellige sikkerhedsniveauer og udfører meget forskellige roller. Så det er vigtigt at vide, hvordan de passer ind i netværkskonfigurationer.
OpenVPN UDP -tilstand
Bruger Datagram Protocol (UDP) Mode transporterer data over UDP -port 1194 og er standard OpenVPN -tilstand. UDP er defineret som en statsløs forbindelsesprotokol, fordi servere ikke bevarer sessionstilstandsdata under dataoverførsler.
Når brugere sender data i UDP -tilstand, er der Ingen mekanismer til at verificere og korrigere fejl. Kunder og VPN -servere opretter forbindelse direkte. UDP -pakkeformatet har et kontrolsum vedhæftet, der muliggør godkendelse, men serveren sender ikke godkendelsesanmodninger tilbage til klienten. Der er heller ingen facilitet til at genindede data, hvis der opstår en fejl.
UDP minimerer antallet af trin, der kræves for at sende data. Dette gør det ideelt til situationer med lav latens såsom spil, hvor datavidelitet er mindre vigtig end rå hastighed. Fjernelse af pakkeudskiftning frigør en masse båndbredde, udjævning af grafik og vandløb.
Men fordi UDP mangler en håndtryksproces, Forbindelser kan være usikre og upålidelige. Det er muligt at miste data under transmission, hvilket gør UDP mindre egnet til forretningssituationer, hvor nøjagtige overførsler er meget vigtige.
OpenVPN TCP -tilstand
Transmission Control Protocol (TCP) er den anden OpenVPN -tilstand. I dette tilfælde er TCP kategoriseret som en statlig protokol. Dette betyder, at serveren bevarer data om sessionstilstanden. Serveren henviser også tilbage til klienten til verifikationsformål.
Hver pakke er godkendt og kontrolleret for dataintegritet, når data rejser via en TCP -tunnel. Klienten, der sender data, vil vente på en anerkendelse af, at pakker er ankommet, før de sender den næste ramme. Hvis overførslen er ude, gentager TCP processen, indtil transmissionen lykkes.
TCP også Registrerer sekvensen for hver pakke i en overførsel. Hvis pakker ankommer ude af drift, vil protokollen samle strukturen i den originale rækkefølge. Dette tilføjer et andet element for at sikre dataintegritet.
Med OpenVPN åbner TCP generelt TCP -port 443. Dette gør det muligt for protokollen at krydse firewalls pålideligt.
På den negative side, TCP forbruger mere båndbredde end UDP -protokollen. Dette resulterer i mærkbart langsommere hastigheder Når du surfer på nettet og streaming -videoen. Autentificering garanterer overførsler med høj trofasthed, hvilket gør protokollen velegnet til forretningsopgaver. Men godkendelse kommer med en omkostning med hensyn til hastighed og effektivitet.
Hvor sikker er openvpn?
OpenVPN Technologies har fået et ry for sikkerhed, hvilket gør det til en af de mest populære VPN -platforme. Men er dette omdømme stadig berettiget?
Generelt er OpenVPN sikker nok til forretnings- og personlige VPN -brugere. Protokollen anvender 256-bit kryptering og kan forbedres med endnu mere sikre cifre, hvis det ønskes. Denne kryptering er ikke blevet udsat som sårbar over for hackere og bør sikre, at data er beskyttet og private til enhver tid.
Desuden inkluderer OpenVPN Perfect Forward Secrecy, der ødelægger og erstatter krypteringstaster, når sessioner afslutter. Midlerne til afkodning af data udsættes sjældent for angribere, hvilket gør deres opgave ekstremt vanskelig.
Når data rejser via OpenVPN TCP -tilstand, godkendes og verificeres pakker grundigt for integritet. HMAC -godkendelse er også tilgængelig om nødvendigt. Brugere kan være sikre på, at deres filer og meddelelser ankommer sikkert med minimale risici ved aflytning via mand-i-midten angreb.
OpenVPN open source-samfundet er en anden sikkerhedsbonus. Som en open source-forbindelsesprotokol er OpenVPN altid under kontrol fra et globalt samfund af privatlivets eksperter, der offentliggør deres fund offentlige. Hvis der findes svagheder, markeres de hurtigt og behandles. Med andre protokoller skal brugerne stole på virksomheder for at forblive aktuelle og løse sårbarheder.
Er openvpn helt sikker? Ikke altid. Kompleksiteten ved opsætning af openvpn -konfigurationer betyder, at brugerne kan efterlade sikkerhedshuller. For eksempel kan brugere glemme at skifte fra UDP til TCP, når ekstra beskyttelse er nødvendig. Administratorer kunne også vælge bekvemmeligheden ved statiske krypteringstaster, selvom offentlig nøgleinfrastruktur (PKI) er mere sikker.
Det er også vigtigt at huske, at der findes alternativer. Wireguard er dukket op som en udfordrer for OpenVPN i de senere år og tilbyder lignende sikkerhedsfunktioner med potentielle hastighedsfordele. Web-baserede TLS/SSL VPN’er eller IPSEC VPN’er har også fordele i specifikke sammenhænge. Men for generelle VPN -brugere er OpenVPN ofte det bedste valg.
OpenVPN: Hastighed og sikkerhed for robust databeskyttelse
OpenVPN er en open source VPN-protokol, der styrer mange af verdens mest populære VPN-tjenester. Brugere kan selv oprette openvpn, men de fleste implementeringer er via tredjepartskunder.
OpenVPN har mange fordele:
Brugere nyder fleksibilitet via forskellige krypteringsstandarder og overførselstilstande
256-bit kryptering er standardtilstand og er praktisk talt uklarelig
UDP -tilstand passer til spillere og streamere. TCP fungerer godt for virksomheder
OpenVpn henvender sig til næsten enhver enhed og ethvert operativsystem.
Data kan videregive firewalls. Meget få onlinetjenester blokerer openvpn.
Som en open source VPN er OpenVPN gennemsigtig, og det er let at finde støtte.
OpenVPN kan let skalere, hvilket giver dækning for virksomhedsnetværk.OpenVPN har nogle ulemper. Det er komplekst for begyndere, ikke perfekt til mobilbrugere og kan lide af latenstid. Men på kernemetrik som sikkerhed matcher det eventuelle konkurrerende VPN -standarder.
Nordlayer leverer fuld openvpn support For forretningsbrugere. Vi kan hjælpe dig med at oprette OpenVPN -forbindelser til Linux, MacOS og Windows. Opret brugerdefinerede servere til enhver netværkstopografi, installer forudbyggede OpenVPN-løsninger og integrer OpenVPN med SASE- eller NUL-tillidssystemer.
- –Tls-forfatter brugt?: Hvis parameteren –TLS-forfatter bruges, skal følgende præferencer også defineres.