Разработчики: | OpenVPN Inc. |
Дата премьеры системы: | 2022/03/17 |
Дата последнего релиза: | 2023/01/25 |
Технологии: | VPN - Виртуальные частные сети |
Содержание |
Основная статья: VPN и приватность (анонимность)
OpenVPN — свободная реализация технологии виртуальной частной сети (VPN) с открытым исходным кодом для создания зашифрованных каналoв типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT и сетевым экраном, без необходимости изменения их настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL[1].
2023
Российские операторы связи массово блокируют VPN-протоколы OpenVPN и WireGuard
Российские операторы связи, включая МТС, «Билайн», «МегаФон», Tele2, Yota и «Тинькофф Мобайл», массово блокируют VPN-протоколы OpenVPN и WireGuard, которые популярны в корпоративной среде, в частности у крупных компаний. Об этом стало известно 7 августа 2023 года.
Наибольшее число жалоб поступило из Москвы и области, Санкт-Петербурга и Ленинградской области, а также Татарстана, сообщил проект «На связи». По его данным, плохо работали или вообще не работали подключения по протоколам Wireguard, OpenVPN, IPSec, Shadowsocks, IKEv2. Среди сервисов, которые пострадали от сбоя, — Psiphon, VPN generator, Lantern, Windscribe, Tachyon, Betternet, Cloudflare, Urban VPN, Amnezia и другие.
Как отметила команда Terona VPN, проблемы с работой VPN действительно наблюдаются, особенно часто с мобильных устройств. В качестве причины называют «очередную волну блокировок Роскомнадзора», которые после OpenVPN взялись и за WireGuard. В сервисе пообещали вскоре перейти на «более устойчивые к блокировкам протоколы».
Мы точно можем сказать, что Роскомнадзор активизировал свои усилия. Такого никогда не было. Было по нескольким регионам, чуть-чуть, ночью, в выходные обычно. А тут в будний день, долго, достаточно много регионов, и способы блокировки ещё отличались. То есть такое подозрение, что это глобальная такая проверка, насколько все работает, насколько блокировки эффективны. Бизнес очень не любит афишировать такие вещи, но хочу заметить, что действительно задело довольно мало. Это в том плане, что крупняков не задело, мелочь мы или не слышим, или молчит — заявил 8 августа 2023 года ИТ-эксперт, автор Telegram-канала «Эшер II» Филипп Кулин. |
OpenVPN обычно используется не столько для обхода ограничений и получения доступа к заблокированным сайтам, сколько применяется в корпоративном секторе крупными российскими компаниями в качестве инструмента верификации своих сотрудников.[2]
OpenVPN 2.6.0
25 января 2023 года стало известно о том, что после двух с половиной лет с момента публикации ветки 2.5 подготовлен релиз OpenVPN 2.6.0, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows.
Как сообщалось, основные изменения коснулись следующего:
- Обеспечена поддержка неограниченного числа соединений.
- В состав включён модуль ядра ovpn-dco, позволяющий оптимизировать производительность VPN. Оптимизация достигается за счёт выноса всех операций шифрования, обработки пакетов и управления каналом связи на сторону ядра Linux, что позволяет избавиться от накладных расходов, связанных с переключением контекста, даёт возможность оптимизировать работу за счёт прямого обращения к внутренним API ядра и исключает медленную передачу данных между ядром и пространством пользователя (шифрование, расшифровка и маршрутизация выполняется модулем без отправки трафика в обработчик в пространстве пользователя).
- В проведённых тестах по сравнению с конфигурацией на основе интерфейса tun применение модуля на стороне клиента и сервера при использовании шифра AES-256-GCM позволило добиться прироста пропускной способности в 8 раз (с 370 Mbit/s до 2950 Mbit/s). При применении модуля только на стороне клиента пропускная способность возросла в три раза для исходящего трафика и не изменилась для входящего. При применении модуля только на стороне сервера пропускная способность возросла в 4 раза для входящего трафика и на 35% для исходящего.
- Предоставлена возможность использования режима TLS с самоподписанными сертификатами (при применении опции "--peer-fingerprint" можно не указывать параметры "--ca" и "--capath" и обойтись без запуска PKI-сервера на базе Easy-RSA или похожего ПО).
- В UDP-сервере реализован режим согласования соединения на основе Cookie, при котором в качестве идентификатора сеанса используется Cookie на основе HMAC, что позволяет серверу проводить верификацию без сохранения состояния.
- Добавлена поддержка сборки с библиотекой OpenSSL 3.0. Добавлен параметр "--tls-cert-profile insecure" для выбора минимального уровня безопасности OpenSSL.
- Добавлены дополнительные управляющие команды remote-entry-count и remote-entry-get для подсчёта числа внешних подключений и вывода их списка.
- В процессе согласования ключей более приоритетным методом получения материала для генерации ключей теперь является механизм EKM (Exported Keying Material, RFC 5705), вместо специфичного механизма OpenVPN PRF. Для применения EKM требуется библиотека OpenSSL или mbed TLS 2.18+.
- Обеспечена совместимость с OpenSSL в FIPS-режиме, что позволяет использовать OpenVPN на системах, удовлетворяющих требованиям безопасности FIPS 140-2.
- В mlock реализована проверка резервирования достаточного размера памяти. При доступности менее 100 МБ ОЗУ для повышения лимита осуществляется вызов setrlimit().
- Добавлена опция "--peer-fingerprint" для проверки корректности или привязки сертификата по fingerprint-отпечатку на основе хэша SHA256, без применения tls-verify.
- Для скриптов предоставлена возможность отложенной (deferred) аутентификации, реализуемой при помощи опции "--auth-user-pass-verify". В скриптах и плагинах добавлена поддержка информирования клиента об ожидании (pending) аутентификации при применении отложенной аутентификации.
- Добавлен режим совместимости (--compat-mode), позволяющий подключаться к старым серверам, на которых используется OpenVPN 2.3.x или более старые версии.
- В списке, передаваемом через параметр "--data-ciphers", разрешено указание префикса "?" для определения необязательных шифров, которые будут задействованы только при наличии поддержки в SSL-библиотеке.
- Добавлена опция "--session-timeout" при помощи которой можно ограничить максимальное время сеанса.
- В файле конфигурации разрешено указание имени и пароля при помощи тега <auth-user-pass></auth-user-pass>.
- Предоставлена возможность динамической настройки MTU клиента, на основе данных об MTU, переданных сервером. Для изменения максимального размера MTU добавлена опция "--tun-mtu-max" (по умолчанию 1600).
- Добавлен параметр "--max-packet-size" для определения максимального размера управляющих пакетов.
- Удалена поддержка режима запуска OpenVPN через inetd. Удалена опция ncp-disable. Объявлены устаревшими опция verify-hash и режим статических ключей (оставлен только TLS). В разряд устаревших переведены протоколы TLS 1.0 и 1.1 (параметр tls-version-min по умолчанию выставлен в значение 1.2). Удалена встроенная реализация генератора псевдослучайных чисел (--prng), следует использовать реализацию PRNG из криптобиблиотек mbed TLS или OpenSSL. Прекращена поддержка пакетного фильтра PF (Packet Filtering). По умолчанию отключено сжатие (--allow-compression=no).
- В список шифров по умолчанию добавлен CHACHA20-POLY1305[3].
2022: Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости
Подготовлены корректирующие выпуски OpenVPN 2.5.6 и 2.4.12, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Об этом стало известно 17 мата 2022 года. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows.
В данных версиях устранена уязвимость, потенциально позволяющая обойти аутентификацию через манипуляцию с внешними плагинами, поддерживающими режим отложенной аутентификации (deferred_auth). Проблема возникает, когда несколько плагинов отправляют отложенные ответы аутентификации, что позволяет внешнему пользователю получить доступ на основе не полностью корректных учётных данных. Начиная с выпусков OpenVPN 2.5.6 и 2.4.12 попытки использования отложенной аутентификации несколькими плагинами будут приводить к выводу ошибки.
Из других изменений отмечают включение в состав плагина sample-plugin/defer/multi-auth.c, который может быть полезен для организации тестирования одновременного использования разных плагинов аутентификации, чтобы в дальнейшем избежать уязвимостей, подобных той, что была рассмотрена выше. На платформе Linux налажена работа опции "--mtu-disc maybe|yes". Устранена утечка памяти в процедурах добавления маршрутов[4].
Примечания
Подрядчики-лидеры по количеству проектов
Ростелеком (59)
МегаФон (31)
Orange Business Services (Оранж Бизнес Сервисез, Эквант) (13)
Softline (Софтлайн) (12)
Энфорта (Престиж-интернет) (10)
Другие (156)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
ИнфоТеКС (Infotecs) (13, 20)
Код Безопасности (5, 12)
Ideco (Айдеко) (3, 9)
Cisco Systems (10, 5)
С-Терра СиЭсПи (S-Terra CSP) (6, 3)
Другие (62, 17)
Данные не найдены
Солар (ранее Ростелеком-Солар) (1, 1)
С-Терра СиЭсПи (S-Terra CSP) (1, 1)
ТрансТелеКом (ТТК) (1, 1)
Код Безопасности (1, 1)
Другие (0, 0)
Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
ViPNet CSP - 17 (8, 9)
Континент NGFW (ранее АПКШ Континент) - 12 (12, 0)
Ideco UTM - 9 (9, 0)
С-Терра Шлюз (CSP VPN Gate 100B) - 3 (3, 0)
ViPNet VPN (ранее ViPNet Custom) - 3 (0, 3)
Другие 12
Солар: ГОСТ VPN - 1 (1, 0)
С-Терра Шлюз (CSP VPN Gate 100B) - 1 (1, 0)
ТТК: VPN-ГОСТ - 1 (1, 0)
Другие 0