OpenVPN không thể vô hiệu hóa mã hóa

11

Cả cấu hình máy chủ và máy khách tôi đã đặt:

cipher none
auth none

Theo lời khuyên này, tôi cũng đang sử dụng cổng UDP 1195.

Khi tôi khởi chạy máy chủ và máy khách, tôi nhận được các cảnh báo sau:

Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--cipher none' was specified. This means NO encryption will be performed and tunnelled data WILL be transmitted in clear text over the network! PLEASE DO RECONSIDER THIS SETTING!
Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--auth none' was specified. This means no authentication will be performed on received packets, meaning you CANNOT trust that the data received by the remote side have NOT been manipulated. PLEASE DO RECONSIDER THIS SETTING!

... đó là tốt, nhưng vẫn openvpn đang sử dụng mã hóa. Tôi biết điều này, bởi vì:

1) Tôi nhận được thông báo sau ở phía máy chủ khi máy khách kết nối:

Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

2) Tôi nhận được tải CPU huuuge ở cả hai bên

3) Tôi thấy trong Wireshark rằng dữ liệu được mã hóa

Những gì khác là cần thiết để vô hiệu hóa mã hóa?

openvpn 
người dùng2449761
nguồn
1
Bạn có thể vui lòng chia sẻ một bối cảnh sử dụng? Khi bạn đang cố gắng vô hiệu hóa bất kỳ xác thực và mã hóa nào, việc sử dụng openvpn có thể gây nghi ngờ ... Có thể có cách tiếp cận tốt hơn để chỉ đóng gói lưu lượng truy cập (ví dụ: ipip, gre, ...)
Kamil J
6
Tôi chỉ đang thử nghiệm, cố gắng tìm hiểu tác động mã hóa đối với tải CPU là gì
user2449761

Câu trả lời:

31

Có vẻ như bạn đã kích hoạt Thông số tiền điện tử (NCP). Bạn nên chỉ định

ncp-disable

Vô hiệu hóa các tham số tiền điện tử có thể thương lượng. Điều này hoàn toàn vô hiệu hóa đàm phán mật mã.

Khi hai phiên bản OpenVPN được bật NCP (mặc định cho các phiên bản gần đây), họ sẽ đàm phán sử dụng mật mã nào từ một bộ mật mã được xác định bởi ncp-ciphers. Mặc định cho điều đó là 'AES-256-GCM: AES-128-GCM' giải thích lý do tại sao bạn thấy AES-256-GCM trên kết nối của mình.

người dùng9517
nguồn
12

Giả sử bạn đang chạy openvpn 2.4 Tôi tin rằng bạn cũng cần phải thiết lập

vô hiệu hóa ncp

https://openvpn.net/community-resource/reference-manual-for-openvpn-2-4/

Một số nền tảng:

Openvpn được sử dụng để yêu cầu bạn cấu hình thủ công thuật toán mã hóa thành cùng một giá trị ở cả hai đầu. Tuy nhiên, điều này đặt ra một vấn đề, nó rất khó để nâng cấp mã hóa trên VPN nhiều người dùng hiện có. Vào năm 2016, một cuộc tấn công gọi là "sweet32" đã được nghĩ ra, cho phép khôi phục lại bản rõ trong một số trường hợp. Đó thực sự không phải là một cuộc tấn công dễ dàng trong thực tế và có một cách để giảm thiểu nó mà không thay đổi mật mã nhưng nó vẫn là một sự phát triển liên quan.

Openvpn 2.4 đã giới thiệu một tính năng mới, được bật theo mặc định để đàm phán các tham số về tiền điện tử. Tôi không chắc liệu đây có phải là một phản ứng với sweet32 hay là kết quả của những lo ngại chung về hệ lụy của việc bị khóa hiệu quả trong một bộ mật mã duy nhất.

Vì vậy, khi đàm phán các tham số tiền điện tử được bật, cài đặt "mật mã" hoạt động hiệu quả như một dự phòng được sử dụng nếu phía bên kia của kết nối không hỗ trợ đàm phán.

Peter Green
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.