OpenVPN şifrelemeyi devre dışı bırakamıyor

11

Hem sunucu hem de istemci yapılandırmasında ayarladım:

cipher none
auth none

Bu tavsiyeyi takiben 1195 numaralı UDP bağlantı noktasını kullanıyorum.

Sunucuyu ve istemciyi başlattığımda aşağıdaki uyarıları alıyorum:

Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--cipher none' was specified. This means NO encryption will be performed and tunnelled data WILL be transmitted in clear text over the network! PLEASE DO RECONSIDER THIS SETTING!
Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--auth none' was specified. This means no authentication will be performed on received packets, meaning you CANNOT trust that the data received by the remote side have NOT been manipulated. PLEASE DO RECONSIDER THIS SETTING!

... ki bu iyi, ama hala openvpn şifreleme kullanıyor. Bunu biliyorum, çünkü:

1) İstemci bağlandığında sunucu tarafında aşağıdaki mesajı alıyorum:

Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

2) Her iki tarafta huuuge CPU yükü alıyorum

3) Wireshark'ta verilerin şifreli olduğunu görüyorum

Şifrelemeyi devre dışı bırakmak için başka ne gerekiyor?

openvpn 
user2449761
kaynak
1
Bir kullanım bağlamını paylaşabilir misiniz? Herhangi bir kimlik doğrulama ve şifrelemeyi devre dışı bırakmaya çalışırken, openvpn kullanımı şüpheli olabilir ... Trafiği kapsüllemek için daha iyi bir yaklaşım olabilir (örneğin ipip, gre, ...)
Kamil J
6
Sadece deniyorum, CPU yükü üzerinde şifreleme etkisinin ne olduğunu bulmaya çalışıyorum
user2449761

Yanıtlar:

31

Anlaşılabilir Kripto Parametreleri (NCP) etkin. Belirtmelisin

ncp-disable

“Pazarlık edilebilir kripto parametrelerini” devre dışı bırakın. Bu, şifre müzakeresini tamamen devre dışı bırakır.

İki OpenVPN örneği NCP etkin olduğunda (son sürümler için varsayılan) ncp-ciphers tarafından tanımlanan bir şifre setinden hangi şifreyi kullanacağını görüşürler. Bunun için varsayılan, bağlantınızda neden AES-256-GCM'yi gördüğünüzü açıklayan 'AES-256-GCM: AES-128-GCM' dir.

user9517
kaynak
12

Openvpn 2.4 çalıştırdığınızı varsayarsak, ayrıca

NCP-devre dışı

https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/

Bazı bilgiler:

Openvpn, şifreleme algoritmasını her iki uçta da aynı değere manuel olarak yapılandırmanızı gerektiriyordu. Ancak bu bir sorun yarattı, mevcut çok kullanıcılı bir VPN'deki şifrelemeyi yükseltmeyi çok zorlaştırdı. 2016 yılında, bazı durumlarda düz metnin kurtarılmasına izin veren "sweet32" adlı bir saldırı gerçekleştirildi. Pratikte çıkarmak tam olarak kolay bir saldırı değildi ve şifreyi değiştirmeden hafifletmenin bir yolu vardı, ancak yine de ilgili bir gelişmeydi.

Openvpn 2.4, kripto parametrelerini müzakere etmek için varsayılan olarak etkinleştirilen yeni bir özellik sundu. Bunun sweet32'ye bir tepki mi yoksa tek bir şifre takımına etkili bir şekilde kilitlenmesinin sonuçlarıyla ilgili genel endişelerin bir sonucu olup olmadığından emin değilim.

Bu nedenle, kripto parametrelerinin anlaşması etkinleştirildiğinde, "şifre" ayarı, bağlantının diğer tarafı anlaşmayı desteklemiyorsa, etkili bir geri dönüş işlevi görür.

Peter Green
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.