s
19 708 Pages

OpenVPN
logo
promoteur James Yonan
Date première version 23 mars 2002
dernière version 2.4.4 (25 Septembre, 2017)
le système d'exploitation multiplateformes
langue C
sexe sécurité informatique
licence GNU General Public License
(licence gratuite)
site Web

OpenVPN est un programme VPN écrit par James Yonan et publié avec licence GPL. Il est utilisé pour créer des tunnels crypté point à point entre le ordinateur hôte. Il permet aux hôtes de authentifier les uns aux autres au moyen de clés privées partagées, certificats numériques ou des informations d'identification utilisateur / mot de passe. Utilisez les bibliothèques de chiffrement massivement OpenSSL et utilise le protocole SSLv3 / TLSv1. Il est disponible sur GNU / Linux, xBSD, MacOS, Solaris et Windows 2000 / XP / Vista / 7. Il propose un ensemble riche de fonctionnalités pour le contrôle et la sécurité. Il est pas un VPN avec une interface web, et n'est pas compatible avec IPsec VPN ou d'autres programmes. L'ensemble du programme est un exécutable binaire utilisé pour les connexions à la fois à partir de côté serveur que de côté client, par un fichier de configuration en option, et un ou plusieurs fichiers contenant clés, selon la méthode d'authentification utilisée.

Le chiffrement

OpenVPN utilise des bibliothèques OpenSSL pour chiffrement à la fois le canal de données du canal de commande. Il a joué dans tous les travaux de chiffrement et d'authentification OpenSSL, ce qui permet OpenVPN de choisir parmi tous les algorithmes chiffrement Disponible dans le package OpenSSL. Vous pouvez utiliser l'accélération matérielle pour une meilleure performance en matière de cryptage.

authentification

OpenVPN permet différentes méthodes informatiques authentifier avec l'autre:

La méthode clé secrète partagée est le plus simple et facile à mettre en œuvre, l'un sur la base des certificats est le plus robuste et complet, mais exige la définition d'une Infrastructure à clé publique (PKI). Authentification avec nom d'utilisateur / mot de passe est une nouvelle fonctionnalité introduite dans la version 2.0 et peut être utilisé avec ou sans le certificat client (le serveur doit toujours avoir son propre certificat). paquet goudron Le code source contient un script perl pour vérifier identification de l'utilisateur / mot de passe en utilisant des modules PAM et plug-in C auth-pam.

réseau

OpenVPN se concentre tout le trafic et le contrôle des données sur un seul porte. Vous pouvez utiliser une porte UDP Préféré (par défaut) ou TCP. Il peut fonctionner dans la plupart des serveurs procuration (HTTP inclus) et n'a pas de problèmes avec l'intégration NAT. Le serveur peut « envoyer » certaines options de configuration de réseau aux clients. Parmi ceux-ci, l'adresse IP, les routes, et certaines options de connexion.

OpenVPN propose deux types d'interface réseau à l'aide du pilote universel TUN / TAP; Il peut créer à la fois un tunnel IP point à point au niveau 3 de la pile OSI (configuration routage), ainsi que des interfaces Ethernet « Tap » virtuel au niveau 2 sur lequel ils transmettent tout le trafic Ethernet, diffusion y compris (configuration pontage). OpenVPN peut également être utilisé, en option, une bibliothèque de compression LZO pour compresser le flux de données.

IANA Officiellement, il attribué porte OpenVPN en 1194, et les dernières versions du programme utilise maintenant la valeur par défaut. La version 2.0 permet à un processus de gérer plusieurs tunnels simultanés, surmonter la restriction de « un processus pour le tunnel » de la série 1.x.

sécurité

OpenVPN offre plusieurs fonctionnalités de sécurité interne: il peut déposer des privilèges racine (Non disponible sur Microsoft Windows), vous pouvez utiliser mlockall à empêcher que des données sensibles est recherchée dans la mémoire virtuelle disque, et il peut être forcé à un chroot (Non disponible sur Microsoft Windows) après l'initialisation.

En outre, il est également disponible à la fonction d'authentification de paquets unique HMAC d'ajouter une couche de sécurité supplémentaire à l'étape où une connexion est établie (définie « HMAC Firewall » par l'auteur); dans ce cas, chaque paquet qui ne présente pas la signature HMAC prédéterminée serait tout simplement être mis au rebut sans être traitées, ce qui permet de défendre l'hôte de:

  • attaques de type DoS (Denial of Service)
  • tentatives Port balayage
  • vulnérabilité débordement de tampon dans les librairies SSL / TLS
  • demandes de connexion des machines non autorisées.

Enfin, en configurant les clients d'accepter uniquement les certificats de machine de type serveur qui nécessite une connexion, peut empêcher de telles attaques L'homme au milieu.

Articles connexes

D'autres projets

  • Il contribue à Wikimedia Commons Wikimedia Commons: Il contient des images ou d'autres fichiers OpenVPN

liens externes