پروتکل امنیتی Open VPN
OpenVPN یک سیستم شبکه خصوصی مجازی (
VPN) است که روش هایی را برای ایجاد اتصالات امن از نقطه به نقطه یا سایت به سایت در پیکربندی های مسیریاب یا پل دار و امکانات دسترسی از راه دور پیاده سازی می کند. این برنامه هر دو برنامه مشتری و سرور را پیاده سازی می کند.
OpenVPN به همتایان خود اجازه می دهد تا با استفاده از کلیدهای مخفی از قبل مشترک ، احراز هویت یکدیگر را انجام دهند گواهینامه ها یا نام کاربری / رمز عبور. هنگامی که در پیکربندی چند سرور-سرور استفاده می شود ، به سرور اجازه می دهد تا با استفاده از امضا و مجوز صدور گواهینامه احراز هویت برای هر مشتری. از کتابخانه رمزگذاری OpenSSL و همچنین از پروتکل TLS به طور گسترده استفاده می کند و شامل بسیاری از ویژگی های امنیتی و کنترلی است.
از یک پروتکل امنیتی سفارشی استفاده می کند که از
SSL / TLS برای تبادل کلید استفاده می کند. این برنامه قادر به جستجوی مترجمان آدرس شبکه (NAT) و فایروال ها است.
OpenVPN به چندین سیستم منتقل و تعبیه شده است. به عنوان مثال ، DD-WRT عملکرد سرور OpenVPN را دارد. SoftEther VPN ، یک سرور VPN چند پروتکل
همچنین پیاده سازی پروتکل OpenVPN را دارد.
رمزگذاری
OpenVPN با استفاده از کتابخانه OpenSSL رمزگذاری داده ها و کانال های کنترل را فراهم می کند. به OpenSSL اجازه می دهد تا همه کارهای رمزگذاری و احراز هویت را انجام دهد ، به OpenVPN اجازه می دهد تا از همه رمزهای موجود در بسته OpenSSL استفاده کند.
همچنین می تواند از ویژگی احراز هویت بسته HMAC برای افزودن یک لایه امنیتی بیشتر به اتصال (توسط سازنده “فایروال HMAC” نامیده شود) استفاده کند. همچنین می تواند از شتاب سخت افزاری استفاده کند تا عملکرد رمزگذاری بهتری داشته باشد. پشتیبانی از mbed TLS از نسخه ۲٫۳ در دسترس است.
احراز هویت
OpenVPN چندین روش برای احراز هویت همتا با یکدیگر دارد. OpenVPN کلیدهای از پیش مشترک ، تأیید مبتنی بر گواهی و نام کاربری / رمز عبور را ارائه می دهد. کلید مخفی به اشتراک گذاشته شده ساده ترین و کلید مبتنی بر گواهی مهمترین و غنی از ویژگی است. چه با گواهی و چه بدون گواهی. با این حال ، برای استفاده از احراز هویت نام کاربری / رمز عبور ، OpenVPN به ماژول های شخص ثالث بستگی دارد.
شبکه
OpenVPN می تواند از طریق حمل و نقل کاربر پروتکل دیتاگرام کاربر (UDP) یا پروتکل کنترل انتقال (TCP) ، تونل های SSL ایجاد شده توسط multiplexing را روی یک پورت TCP / UDP ایجاد کند.
از سری ۲٫۳ به بعد ، OpenVPN به طور کامل از IPv6 به عنوان پروتکل شبکه مجازی درون یک تونل پشتیبانی می کند و برنامه های OpenVPN همچنین می توانند از طریق IPv6 ارتباط برقرار کنند. این قابلیت را دارد که از طریق اکثر سرورهای پروکسی (از جمله HTTP) کار کند و در کار با ترجمه آدرس شبکه (NAT) و خارج شدن از طریق فایروال ها مهارت دارد.
پیکربندی سرور توانایی “فشار” دادن گزینه های خاص پیکربندی شبکه به سمت مشتری را دارد. اینها شامل آدرس های IP ، دستورات مسیریابی و چند گزینه اتصال است. OpenVPN دو نوع رابط برای شبکه از طریق درایور جهانی TUN / TAP ارائه می دهد. این می تواند یک تونل IP مبتنی بر لایه (TUN) یا یک لایه ایجاد کند – ۲ مبتنی بر TAP اترنت که می تواند هر نوع ترافیک اترنت را حمل کند. OpenVPN می تواند به صورت اختیاری از کتابخانه فشرده سازی LZO برای فشرده سازی جریان داده استفاده کند. بندر ۱۱۹۴ شماره پورت رسمی IANA اختصاص داده شده برای OpenVPN است. نسخه های جدید برنامه اکنون به طور پیش فرض در آن پورت قرار دارند. نسخه ۲ این امکان را برای یک فرآیند برای مدیریت چندین تونل همزمان فراهم می کند ، برخلاف محدودیت اصلی “یک تونل در هر فرآیند” در سری ۱٫x.
امنیت
OpenVPN ویژگی های مختلف امنیتی داخلی را ارائه می دهد. این رمزگذاری تا ۲۵۶ بیتی از طریق کتابخانه OpenSSL دارد ، اگرچه برخی از ارائه دهندگان خدمات ممکن است نرخ پایین تری ارائه دهند ، به طور موثر سریعترین VPN موجود را برای مصرف کنندگان فراهم می کنند. به جای اینکه به عملیات IP stack (بنابراین هسته) نیاز داشته باشد ، در فضای کاربر اجرا می شود.
OpenVPN توانایی رها کردن امتیازات ریشه ، استفاده از mlockall برای جلوگیری از مبادله اطلاعات حساس به دیسک ، ورود به یک زندان chroot پس از مقداردهی اولیه و استفاده از زمینه SELinux پس از مقدار دهی اولیه را دارد. OpenVPN به جای پشتیبانی از IKE ، IPsec ، L2TP یا PPTP ، یک پروتکل امنیتی سفارشی مبتنی بر SSL و TLS اجرا می کند . OpenVPN پشتیبانی از کارتهای هوشمند را از طریق رمزهای رمزگذاری مبتنی بر PKCS # 11 ارائه می دهد.