OpenVPN протоколи

OpenVPN е най-гъвкавият VPN протокол, наличен поради своя характер с отворен код. Тази гъвкавост го прави идеален при създаването на a Персонализирана настройка за сигурност.

Съвместимост на протокола

Докато OpenVPN се развива бързо след първоначалното си излизане през март 2002 г., всички разумни усилия бяха положени за запазване на съвместимостта на протоколите в различни версии на OpenVPN.

Няколко промени обаче са направени от версия 1.1.0 Това може да повлияе на съвместимостта.

Тези бележки предполагат, че използвате OpenVPN 1.1.0 или по -късно. Версии преди 1.1.0 трябва да се счита за експериментален.

Във версия 1.3.0, по подразбиране –UDP-MTU е променен от 1500 на 1300. Ако искате 1.3.0 или по -късно версия на OpenVPN, за да говорите с 1.1.x или 1.2.X версия, трябва изрично да използвате –UDP-MTU от двете страни на връзката, а не в зависимост от по подразбиране.

Във версия 1.5.X, форматът на низовете на TLS-режим на режим е променен. Тази промяна ще ви повлияе само ако използвате TLS базирана сигурност. Версия 1.5.x е напълно съвместим с 1.4.х. Версия 1.5.X може да говори с 1.3.x, но трябва да използвате –Disable-OCC знаме на 1.3.X Peer. Версия 1.5.X не може да говори с 1.2.x или по -рано с помощта на TLS.

Във версия 1.5.X, Ако използвате тунел в стил Tap, следното по подразбиране се използва за опростяване на конфигурацията на мостовете на Ethernet: –TUN-MTU 1500-TUN-MTU-EXTRA 32. Ако се свързвате с 1.4.x peer или по -рано, трябва изрично да посочите предходните опции на 1.4.X Peer.

Във версия 1.5.x, червената шапка /etc/init.D/OpenVPN Файлът е променен, за да не активира пренасочването на IP по подразбиране (това се тълкува като прекалено самонадеяно за поведение по подразбиране). IP пренасочването може лесно да бъде активирано във файл на скрипт или -с командата:

Echo 1>/proc/sys/net/ipv4/ip_forward

Във версия 1.5.х, –UDP-MTU е преименуван на –Link-MTU Тъй като OpenVPN сега поддържа както UDP, така и TCP протоколите за транспортния слой на тунела. –UDP-MTU все още ще се поддържа за съвместимост.

Във версия 1.5.х, –Глагол 5 вече е ниво на отстраняване на грешки. За нормално използване, –Глагол 4 трябва да се счита за горна граница.

Във версия 1.6.0 и нагоре, анализаторът на конфигурационния файл поддържа черупкови есери, като предхожда характер с гръб. Ако искате да преминете самия персонаж от гръб, трябва да използвате две последователни заден план.

Във версия 2.0, –TUN-MTU 1500-MSSFIX 1450 вече е по подразбиране. В 1.x По подразбиране е –Link-MTU 1300 за TUN интерфейси и –TUN-MTU 1500 за TAP интерфейси, с –MSSFIX хора с увреждания).

Също във Версън 2.0, когато използвате TLS, –ключ-метод 2 вече е по подразбиране. Употреба –ключ-метод 1 на 2.0 страна за комуникация с 1.х.

Започвайки с версия 2.0-beta12, OpenVPN възприе последователен подход за пренареждане на струни, за да предотврати надеждни или полу-тревисти връстници да изпращат злонамерено изработени струни. Подробностите са разгледани в видовете низове и преназначаването на страницата на човека.

Започвайки с версия 2.0-beta17, номерът на порта по подразбиране на OpenVPN е променен от 5000 на 1194 за официално пристанище от IANA през ноември 2004 г.

OpenVPN протокол (OpenVPN)

С OpenVPN можете да тунелите всяка IP подмрежа или виртуален Ethernet адаптер върху един UDP или TCP порт. Използва всички функции за криптиране, удостоверяване и сертифициране на библиотеката OpenSSL, за да защити вашия частен мрежов трафик, тъй като той преминава в Интернет.

OpenVPN има два режима на удостоверяване:

  • Статичен ключ – Използвайте предварително споделен статичен ключ
  • TLS – Използвайте SSL/TLS + сертификати за удостоверяване и обмен на ключове

За TLS удостоверяване OpenVPN използва персонализиран протокол за сигурност, който е описан тук на тази страница на Wiki. Този протокол осигурява връзката SSL/TLS с надежден транспортен слой (тъй като е проектиран да работи над). Втората си работа е да му селфлектира сесията SSL/TLS, използвана за удостоверяване и обмен на ключове с действителния криптиран поток от данни за тунели.

Ssl / tls -> слой на надеждност -> \ - -tls -auth hmac \ \> мултиплексор ----> udp / транспорт IP криптиране и HMAC / тунел -> Използване на OpenSSL EVP -> / пакети интерфейс. 

История

Не можах да намеря историческа информация за този протокол.

Протоколни зависимости

  • UDP: Обикновено OpenVPN използва UDP като негов транспортен протокол. Добре известният UDP порт за трафик на OpenVPN е 1194.
  • TCP: Освен това, OpenVPN може да бъде конфигуриран да използва TCP като негов транспортен протокол. Добре известният TCP порт за трафик на OpenVPN е 1194.

Примерен трафик

openvpn_sample_traffic.png

Wireshark

Dissector OpenVPN е напълно функционален и е включен в Wireshark от версия 1.10.0.

Настройки за предпочитания

openvpn_preferences.png

  • OpenVPN TCP порт: Дисекторът автоматично се опитва да дисектира TCP пакети като OpenVPN трафик на този порт.
  • OpenVPN UDP порт: Дисекторът автоматично се опитва да разсече UDP Datagrams като OpenVPN трафик на този порт.
  • Отменете откриването на TLS-Auth: Ако откриването на TLS-Auth не успее, можете да изберете да отмените откриването и да зададете опциите TLS-AUTH ръчно.
    • –TLS-AUTH използва?: Ако се използва параметърът –TLS-AUTH, трябва да се дефинират и следните предпочитания.
      • Размер на HMAC заглавката в байтове: HMAC алгоритъмът по подразбиране е SHA-1, който генерира 160-битов HMAC, следователно 20 байта трябва да е добре.
      • PACKET-ID за защита за повторение включва незадължителна времева марка Time_t?: Ако се използва параметърът –TLS-AUTH, след подписа на HMAC се поставя допълнителен пакет-ID за защита. Това поле може да бъде или 4 байта или 8 байта, включително незадължителна времева марка на Time_t. Стойността по подразбиране е вярна.

      Пример за улавяне на файл

      • Samplecaptures/openvpn_udp_tls-auth.pcapng
      • Samplecaptures/openvpn_tcp_tls-auth.pcapng

      Дисплей филтър

      Пълен списък на полетата за филтър за дисплей OpenVPN можете да намерите в референцията на филтъра на дисплея

      Покажете само трафика, базиран на OpenVPN:

       openvpn 

      Филтър за заснемане

      Не можете директно да филтрирате OpenVPN протоколи, докато улавяте. Ако обаче знаете използвания UDP или TCP порт (виж по -горе), можете да филтрирате на този.

      Заснемете само трафика на OpenVPN през порта по подразбиране (1194):

       UDP порт 1194 
       TCP порт 1194 

      външни връзки

      • http: // openvpn.мрежа/Openvpn – Официален уебсайт.
      • http: // openvpn.нето/индекс.PHP/отворен код/документация/преразглеждане на сигурността.htmlOpenVPN – Преглед на сигурността – Протоколът OpenVPN обясни.
      • http: // www.Openssl.org/Openssl – Официален уебсайт.

      Какво е OpenVPN протокол?

      Всички данни, прехвърлени по интернет, се нуждаят от сигурност на желязото. Виртуални частни мрежи, базирани на OpenVPN, осигуряват криптиране и онлайн анонимност, което прави бедствията на киберсигурността много по -малко вероятно. Но какво е OpenVPN и как работи?

      OpenVPN е един от най -популярните VPN протоколи наоколо. Поддържа се и от продуктите за сигурност на Nordlayer, предлагайки силно криптиране и гъвкавост за нашите клиенти. Тази статия за учебен център ще предостави на всичко, което потребителите трябва да знаят, преди да добавят протокола към своята настройка за сигурност.

      Как работи протоколът OpenVPN?

      Първото нещо, което трябва да разберете за OpenVPN е, че това е VPN протокол. Протоколът е набор от правила, които Създава VPN тунели. Той определя как да криптира и етикетира пакетите с данни, преминаващи през VPN връзки.

      Има много различни опции за протокол за VPN потребители, включително L2TP, TLS/SSL и IPSEC. Всеки от тях има своите силни точки, но OpenVPN се счита за един от лидерите в бранша.

      OpenVPN произхожда през 2001 г и беше първият VPN протокол с отворен код. Оттогава се появи глобална общност от разработчици. OpenVPN на общността с отворен код проверява грешки и усъвършенства протокола, добавяйки нови функции и актуализиране на елементи за сигурност. Постоянният контрол означава, че протоколът е рядко оставяни от нови кибер заплахи.

      OpenVPN е Част от семейството на протокол за тунелиране на сигурни гнезда (SSL) от VPN. Това означава, че той работи в транспортния слой (ниво 4) на модела OSI. Освен това дава на OpenVPN достъп до огромната SSL библиотека, предоставяйки много опции за персонализиране при създаване на VPN.

      От техническа страна OpenVPN осигурява данни чрез криптиране и анонимизира данните чрез преназначаване на IP адрес, като всички VPNs. Наборът от инструменти, използвани за постигане на това, е различен от другите VPN стилове:

      1. Криптиране

      Протоколът OpenVPN използва SSL/TLS обмен на ключове за прилагане на криптиране при създаване на VPN тунели. Този процес използва 256-битово криптиране като стандарт – Ниво на защита, което дори NSA не може да се спука.

      Ако 256-битовото криптиране е недостатъчно, OpenVPN може да отиде още повече. Протоколът поддържа усъвършенствани техники за криптиране като Blowfish, AES и CAST-128-правене на предавания на данни почти неуязвими към външни атаки.

      Освен това, OpenVPN използва Перфектна секретност напред (PFS). PFS създава уникален ключ за криптиране за всяка сесия или трансфер на данни. Подмяната на клавишите за криптиране прави много трудно външните нападатели да откраднат ключове и да работят около шифрите за криптиране.

      2. Удостоверяване

      Наред с криптирането, OpenVPN също използва Разширено удостоверяване процедури. Удостоверяването гарантира, че всеки пакет от данни се доставя на правилния адрес и в правилната последователност.

      Когато потребителите изпращат данни чрез OpenVPN, се прилага инструмент, наречен TLS-Auth Код за удостоверяване на Hash съобщение (HMAC) Удостоверяване. HMAC на практика гарантира точни трансфери на данни с минимална загуба на данни.

      OpenVPN използва два режима на предаване: UDP и TCP. Ще разгледаме и двете по -късно. Но засега е важно да се отбележи, че само TCP режим предоставя услуги за удостоверяване. TCP проверява прехвърлянията за наблюдение на изгубените пакети, докато UDP може да доведе до загуба на данни.

      OpenVPN пакетите могат да преминават през всеки порт. Използването на SSL протоколи означава, че трафикът, изпратен в мрежата, е почти невъзможно да се разграничи от редовните данни. С правилната конфигурация на порт 443, аутсайдерите дори няма да могат да открият използването на VPN.

      Тази конфигурация на порта също прави OpenVPN много добър при избягване на защитни стени – проблем, който може да порази IPSEC VPNS.

      Предимства на OpenVPN

      OpenVPN се превърна в протокол за много търговски виртуални частни мрежи и има много добри причини за това. Предимствата на протокола включват:

      Силно криптиране с много опции. 256-битовото криптиране е стандартният режим с протокола OpenVPN и трябва да защитава данните от всички кибер нападатели. Настройката по подразбиране ще запази чувствителните данни, като например подробности за плащане или вход на компанията. И ако потребителите искат по -стабилно криптиране, могат да се добавят различни шифри, когато се изисква.

      Лесен за мащабиране. OpenVPN системите могат да обслужват една работна станция, свързваща се с фирмена мрежа или да мащабира до системи за сигурност на цялата страна. VPN е проектиран да покрива толкова устройства, колкото потребителите изискват. Потребителите изтеглят предварително конфигурирани клиенти, инсталират ги на своите устройства и са готови да тръгнат.

      Отлична съвместимост на устройството. Едно от най -големите предимства на OpenVPN е, че потребителите могат да инсталират OpenVPN клиенти на Windows, Linux и MacOS. Протоколът предлага функционалност на Android и iOS и може да бъде конфигуриран за конкретен хардуер, ако е необходимо.

      Изпълнение на защитната стена. Не всички VPN могат лесно да преминат портали или защитни стени. Това не е проблем с OpenVPN, който е известен със способността си да обработва защитни стени и друг хардуер за филтриране.

      Гъвкавост на протокола. Възможността за превключване между UDP и TCP е друга сила на OpenVPN протоколите. Геймърите и стриймърите могат да се насладят на скоростта на предаването на UDP. TCP се предлага за трансфери с висока сигурност, когато скоростта е по-малко критична.

      Плъгин приятелски. OpenVPN работи с добавки и приставки на трети страни. Това подобрява основния VPN, добавяйки разнообразен набор от услуги. Тези услуги включват гъвкави опции за удостоверяване – удобна функция за фирмените мрежи. Плъгините също включват много инструменти за създаване на сървъри OpenVPN.

      Разпределение с отворен код. Повечето VPN протоколи са собственост на корпорация. Например, Microsoft и Cisco притежават L2TP. Но OpenVPN остава отворен код, гарантирайки, че кодовата база е прозрачна. Потребителите няма да трябва да се доверяват на това, че корпорациите осигуряват данни и избягват грешките в сигурността. Световна кодираща общност Fine-Tunes OpenVPN, за да реагира на най-новите тенденции в киберсигурността.

      Недостатъци на OpenVPN

      Предимствата, изброени по -горе отделни OpenVPN от повечето други VPN протоколи. Но никоя технология за киберсигурност не е безупречна. OpenVPN не е изключение и има няколко потенциални слабости, за които потребителите трябва да знаят:

      Не винаги най -бързият вариант. Сигурността идва с разходи в света на VPN. Това се отнася за OpenVPN, особено при използване на защитен режим на прехвърляне на UDP. Със силна удостоверяване и криптиране, OpenVPN е приблизително толкова бързо, колкото L2TP, докато други протоколи за тунелиране могат да бъдат по -бързи.

      Може да бъде сложен за конфигуриране. Потребителите могат да се борят за създаване на OpenVPN система от нулата. Основателите на VPN препоръчват 20-етажен процес на конфигуриране и всяка стъпка е сложна и отнема много време. На практика повечето хора закупуват готово изграден клиент OpenVPN с функциите, от които се нуждаят. Това е удобно, но компаниите с поръчани нужди за сигурност могат да намерят други протоколи по-удобни за потребителя.

      Не най -добрият VPN за мобилни устройства. OpenVPN се превърна в оптимизирано решение за операционни системи на настолни и лаптопи, но не е толкова гладка за мобилните потребители. Изпълнението на Android и iOS не са толкова усъвършенствани или удобни за потребителя, въпреки че се подобряват през цялото време.

      Кога се използва OpenVPN?

      Сега знаем повече за това как работят OpenVPN технологиите и баланса на плюсовете и минусите. Но това, което използва в реалния свят, има за софтуер OpenVPN?

      От 2001 г. OpenVPN се превърна в незаменима част от решенията за сигурност, а днешните клиенти имат много приложения. Случаите за използване могат да включват:

      1. Персонализирани VPN настройки

      OpenVPN е най-гъвкавият VPN протокол, наличен поради своя характер с отворен код. Тази гъвкавост го прави идеален при създаването на a Персонализирана настройка за сигурност.

      Администраторите могат да превключват разширено криптиране или превключване между TCP и UDP. Докато потребителите спазват условията на лицензионното споразумение на OpenVPN, те могат да използват кода, както желаят-нещо, което няма да намерите с алтернативи с един размер, които са с един размер.

      2. Стабилно криптиране за отдалечен достъп

      С 256-битова част от криптиране на AES, OpenVPN е достатъчно защитен, за да защити чувствителните клиентски данни и поверителните документи на проекта.

      Компаниите могат да създадат защитен тунел между локални центрове за данни и домашни работни станции. И служителите могат да влязат в OpenVPN портали, докато пътуват по света. Още по -добре, домашните работници могат да преминат от TCP към UDP връзки, за да предават или играят игри извън работното време.

      3. Създаване на конфигурации на нулева доверие

      Zero Trust Network Access (ZTNA) е набор от идеи за сигурност, които следват принципа „Никога не се доверявайте, винаги проверявайте“. OpenVPN Technologies са добра основа за много системи ZTNA.

      С инсталиран VPN компаниите могат да защитят данните, преминаващи през периметъра на мрежата. Те могат да филтрират достъпа до интернет и да предотвратяват достъпа до опасни уебсайтове. И с OpenVPN внедряване в облак, компаниите могат да криптират данни, които текат към и от приложенията на SaaS.

      Междувременно приставките за контрол на достъпа с многофакторна удостоверяване добавят допълнителен елемент на контрол, като държите неразрешени участници далеч от критичните активи.

      Критичният аспект на OpenVPN е неговата гъвкавост. Потребителите могат да го прилагат в домашни мрежи, той може да заключи обществените WiFi връзки и да свързва сигурно местоположенията на клона. Където и да е необходимо анонимност и криптиране, OpenVPN може да има роля.

      Какви са OpenVPN UDP и TCP?

      OpenVPN се разпада на два протокола и потребителите могат да използват както TCP, така и UDP режими за предаване на данни. Тези два режима имат различни нива на сигурност и изпълняват много различни роли. Така че е важно да знаете как се вписват в мрежовите конфигурации.

      OpenVPN UDP режим

      Режимът на протокол на потребителски datagram (UDP) транспортира данни през UDP порт 1194 и е режим OpenVPN по подразбиране OpenVPN. UDP се дефинира като протокол за връзка без гражданство, тъй като сървърите не запазват данните на състоянието на сесията по време на прехвърляне на данни.

      Когато потребителите изпращат данни в UDP режим, има Няма механизми за проверка и коригиране на грешки. Клиентите и VPN сървърите се свързват директно. Форматът на пакета UDP има прикачен контролен размер, който позволява удостоверяване, но сървърът не изпраща заявки за удостоверяване обратно на клиента. Също така няма съоръжение за повторно изпращане на данни, ако възникне грешка.

      UDP минимизира броя на стъпките, необходими за изпращане на данни. Това го прави идеален за ситуации с ниска латентност като игри, където вярността на данните е по-малко важна от суровата скорост. Елиминирането на смяната на пакетите освобождава много честотна лента, изглажда графики и потоци.

      Въпреки това, тъй като UDP липсва процес на ръкостискане, Връзките могат да бъдат несигурни и ненадеждни. Възможно е да загубите данни по време на предаване, което прави UDP по-малко подходящ за бизнес ситуации, където точните трансфери са всички важни.

      OpenVPN TCP режим

      Протокол за контрол на предаването (TCP) е другият режим OpenVPN. В този случай TCP е категоризиран като държавен протокол. Това означава, че сървърът запазва данни за състоянието на сесията. Сървърът също се връща към клиента с цел проверка.

      Всеки пакет е удостоверен и проверете за целостта на данните, когато данните пътуват чрез TCP тунел. Клиентът изпраща данни ще изчака потвърждение, че пакетите са пристигнали преди изпращане на следващия кадър. Ако прехвърлянето на време навън, TCP ще повтори процеса, докато предаването не успее.

      TCP също Записва последователността на всеки пакет при трансфер. Ако пакетите пристигнат извън ред, протоколът ще сглоби структурата на оригиналната последователност. Това добавя друг елемент, за да се гарантира целостта на данните.

      С OpenVPN, TCP обикновено отваря TCP порт 443. Това позволява на надеждно протокол да премине защитни стени.

      Отрицателен, TCP консумира повече честотна лента отколкото протоколът на UDP. Това води до забележимо по -бавни скорости Когато сърфирате в мрежата и стрийминг видео. Удостоверяването гарантира трансфери с висока точност, което прави протокола подходящ за бизнес задачи. Но удостоверяването идва с разходи по отношение на скоростта и ефективността.

      Колко сигурно е OpenVPN?

      OpenVPN Technologies спечели репутация на сигурността, което го прави една от най -популярните VPN платформи. Но все още ли е оправдана тази репутация?

      Най -общо казано, OpenVPN е достатъчно сигурен за бизнес и лични VPN потребители. Протоколът използва 256-битово криптиране и може да бъде подобрен с още по-сигурни шифри, ако желаете. Това криптиране не е изложено като уязвимо за хакери и трябва да гарантира, че данните са защитени и частни по всяко време.

      Освен това, OpenVPN включва перфектна секретност напред, която унищожава и замества ключовете за криптиране, когато сесиите приключат. Средствата за декодиране на данни рядко са изложени на нападатели, което прави тяхната задача изключително трудна.

      Когато данните пътуват чрез TCP режим OpenVPN, пакетите се удостоверяват старателно и се проверяват за целостта. HMAC удостоверяване също е на разположение, ако е необходимо. Потребителите могат да бъдат уверени, че техните файлове и съобщения ще пристигнат безопасно, с минимални рискове от прихващане чрез атаки на човека в средата.

      Общността OpenVPN с отворен код е друг бонус за сигурност. Като протокол за връзка с отворен код, OpenVPN винаги е под контрол от глобална общност от експерти по поверителност, които правят своите открития публични. Ако съществуват слабости, те бързо се маркират и се справят. С други протоколи потребителите трябва да се доверяват на компаниите да останат в течение и да оправят уязвимостите.

      Е OpenVPN напълно сигурен? Не винаги. Сложността на настройването на конфигурации OpenVPN означава, че потребителите могат да оставят пропуски в сигурността. Например, потребителите могат да забравят да преминат от UDP към TCP, когато е необходима допълнителна защита. Администраторите също могат да изберат удобството на статичните ключове за криптиране, въпреки че инфраструктурата на публичния ключ (PKI) е по -сигурна.

      Важно е също да запомните, че съществуват алтернативи. Wireguard се превърна в предизвикател на OpenVPN през последните години и предлага подобни функции за сигурност с потенциални предимства на скоростта. Web-базирани TLS/SSL VPN или IPSEC VPN също имат ползи в специфични контексти. Но за общите потребители на VPN, OpenVPN често е най -добрият избор.

      OpenVPN: Скорост и сигурност за стабилна защита на данните

      OpenVPN е VPN протокол с отворен код, който захранва много от най-популярните VPN услуги в света. Потребителите могат сами да настроят OpenVPN, но повечето реализации са чрез клиенти на трети страни.

      OpenVPN има много предимства:

      Потребителите се радват на гъвкавост чрез различни стандарти за криптиране и режими на трансфер
      256-битовото криптиране е режимът по подразбиране и на практика не се разраства
      UDP режим подхожда на геймърите и стриймърите. TCP работи добре за бизнеса
      OpenVPN се грижи за почти всяко устройство и всяка ОС.
      Данните могат да преминават през защитни стени. Много малко онлайн услуги блокират OpenVPN.
      Като VPN с отворен код, OpenVPN е прозрачен и намирането на поддръжка е лесно.
      OpenVPN може да мащабира лесно, осигурявайки покритие за фирмените мрежи.

      OpenVPN има някои недостатъци. Той е сложен за начинаещи, а не идеален за мобилни потребители и може да страда от латентност. Но на основните показатели като сигурността съответства на всички конкуриращи се VPN стандарти.

      Nordlayer осигурява пълна поддръжка на OpenVPN за бизнес потребители. Можем да ви помогнем да създадете OpenVPN връзки за Linux, MacOS и Windows. Създайте персонализирани сървъри за всяка мрежова топография, инсталирайте предварително изградени решения OpenVPN и интегрирайте OpenVPN със SASE или нулеви доверителни системи.