OpenVPN non è in grado di disabilitare la crittografia

11

Sia nella configurazione server che client ho impostato:

cipher none
auth none

Seguendo questo consiglio sto anche usando la porta UDP 1195.

Quando avvio server e client ricevo i seguenti avvisi:

Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--cipher none' was specified. This means NO encryption will be performed and tunnelled data WILL be transmitted in clear text over the network! PLEASE DO RECONSIDER THIS SETTING!
Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--auth none' was specified. This means no authentication will be performed on received packets, meaning you CANNOT trust that the data received by the remote side have NOT been manipulated. PLEASE DO RECONSIDER THIS SETTING!

... il che è positivo, ma openvpn sta ancora utilizzando la crittografia. Lo so perché:

1) Ricevo il seguente messaggio sul lato server quando il client si connette:

Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

2) Ricevo un enorme carico della CPU su entrambi i lati

3) Vedo in Wireshark che i dati sono crittografati

Cos'altro è necessario per disabilitare la crittografia?

openvpn 
user2449761
fonte
1
La prego di condividere un contesto di utilizzo? Mentre stai provando a disabilitare qualsiasi autenticazione e crittografia, l'utilizzo di openvpn potrebbe essere discutibile ... Potrebbe esserci un approccio ancora migliore per incapsulare il traffico (ad es. Ipip, gre, ...)
Kamil J
6
Sto solo sperimentando, cercando di scoprire qual è l'impatto della crittografia sul carico della CPU
user2449761

Risposte:

31

Sembra che tu abbia attivato Parametri crittografici negoziabili (NCP) abilitati. Dovresti specificare

ncp-disable

Disabilitare "parametri crittografici negoziabili". Questo disabilita completamente la negoziazione di cifratura.

Quando due istanze OpenVPN hanno l'NCP abilitato (impostazione predefinita per le versioni recenti), negoziano quale cifra utilizzare da un insieme di cifre definite da ncp-cipher. L'impostazione predefinita è "AES-256-GCM: AES-128-GCM" che spiega perché viene visualizzato AES-256-GCM sulla connessione.

user9517
fonte
12

Supponendo che tu stia eseguendo openvpn 2.4, credo che tu debba anche impostare

NCP-disable

https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/

Alcuni retroscena:

Openvpn richiedeva di configurare manualmente l'algoritmo di crittografia sullo stesso valore su entrambe le estremità. Ciò tuttavia ha creato un problema, rendendo molto difficile l'aggiornamento della crittografia su una VPN multiutente esistente. Nel 2016 è stato ideato un attacco chiamato "sweet32", che consente di recuperare il testo in chiaro in alcune circostanze. Non è stato esattamente un attacco facile da realizzare in pratica e c'era un modo per mitigarlo senza cambiare la cifra, ma era ancora uno sviluppo preoccupante.

Openvpn 2.4 ha introdotto una nuova funzionalità, abilitata per impostazione predefinita per la negoziazione dei parametri crittografici. Non sono sicuro se questa sia stata una reazione a sweet32 o un risultato di preoccupazioni generali circa le implicazioni di essere effettivamente bloccato in una singola suite di cifratura.

Quindi, quando la negoziazione dei parametri crittografici è abilitata, l'impostazione "cifratura" agisce efficacemente come un fallback da utilizzare se l'altro lato della connessione non supporta la negoziazione.

Peter Green
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.