OpenVPN

Z Multimediaexpo.cz

Verze z 9. 2. 2009, 00:11; Sysop (diskuse | příspěvky)
(rozdíl) ← Starší verze | zobrazit aktuální verzi (rozdíl) | Novější verze → (rozdíl)


OpenVPN je volně dostupný software včetně zdrojového kódu, který dokáže vytvořit šifrovaný VPN tunel mezi hostitelskými stanicemi. S využitím architektury klient-server je schopný zajistit přímé spojení mezi počítači za NATem a to bez potřeby NAT jakkoli konfigurovat. Tento program byl vyvinut Jamesem Yonanem a publikován pod licencí GNU General Public License (GPL).

Obsah

Charakteristika

OpenVPN umožňuje ověřit navazované spojení pomocí sdíleného klíče (anglicky pre-shared key), digitálního certifikátu nebo uživatelského jména a hesla. V nastavení multiklient-server je vydán serverem pro klienty autentizační certifikát, který používá elektronický podpis a certifikační autoritu. K tomu využívá knihovny OpenSSL stejně jako pro podporu protokolů SSLv3 a TLSv1. Není založen na webových protokolech a chybí kompatibilita s IPsec nebo s jinými implementaci VPN. OpenVPN je někdy využíván hráči počítačových her jako způsob zabezpečení při hraní her po Internetu.

OpenVPN je k dispozici pro různé operační systémy jako je Solaris, Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X, a Windows 2000, Windows XP, Windows Vista a disponuje mnoha bezpečnostními a ovládacími funkcemi. Skládá se z binární aplikace pro klienta a server, konfiguračního souboru a jednoho nebo více souborů s klíči v závislosti na použité metodě ověřování.

Šifrování

OpenVPN využívá knihovny OpenSSL pro zašifrování dat a řídících kanálů i pro šifrování a autentizaci s možností využít všechny šifrovací algoritmy obsažené v OpenSSL. Další možností zabezpečení přenášených dat je použití HMAC (označováno jako HMAC Firewall).

Ověření

OpenVPN má k dispozici několik způsobů ověřování klientů a to pomocí sdíleného klíče, certifikátu a nebo uživatelského jména a hesla. Využití sdíleného klíče a certifikátu je velice účinný způsob disponující mnoha funkcemi. Ověřování pomocí uživatelského jména je poměrně nová metoda zabezpečení, kterou lze použít i bez nutnosti podpisu certifikátu klientem.

Sítě

OpenVPN používá oficiálně přidělený port 1194, který je v novějších verzích použit jako implicitní. Komunikuje standardně pomocí protokolu UDP, avšak použít lze též protokol TCP. Podporuje možnost komunikace skrz většinu proxy serverů (tj. pomocí protokolu HTTP), vést VPN tunel skrz NAT a firewally. OpenVPN server umožňuje předat požadovanou konfiguraci sítě svým klientům (IP adresa, maska sítě, směrování a podobně). Nabízí dva typy rozhraní pro sítě (Universal TUN a TAP driver), které umožňují vytvořit IP tunel (TUN) na 3. vrstvě modelu ISO/OSI nebo na 2. vrstvě (layer-2 Ethernet TAP), který dokáže přenášet jakýkoli typ dat.

OpenVPN je používá běžné síťové protokoly (TCP a UDP) a vytváří tak alternativu k protokolu IPsec. IPsec totiž používá své vlastní protokoly, čehož zneužívají někteří ISP, kteří je blokují a snaží se tak uživatelům vnutit dražší „business grade“ služby.

Bezpečnost

OpenVPN disponuje několika doplňujícími možnostmi zabezpečení. Program pracuje v uživatelském prostoru (jako běžná aplikace) a nevyžaduje tak funkce implementované v jádru operačního systému v implementaci IP stacku. Umožňuje vzdát se administrátorských oprávnění (uživatele root), použít mlockall[1] k zabránění odkládání citlivých dat na pevný disk a pracovat v chroot prostředí.

Reference

  1. http://www.opengroup.org/onlinepubs/009695399/functions/mlockall.html

Související články

Externí odkazy