OpenVPN

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání
OpenVPN
Vývojář James Yonan
Aktuální verze 2.3.4 (2. května 2014)
Operační systém Linux, Solaris, OpenBSD, FreeBSD, NetBSD, Mac OS X a Windows 2000/XP/Vista/7
Typ softwaru VPN klient/server
Licence GNU GPL
Web http://openvpn.net/

OpenVPN je volně dostupný software včetně zdrojového kódu, který dokáže vytvořit šifrovaný VPN tunel mezi hostitelskými stanicemi. S využitím architektury klient-server je schopný zajistit přímé spojení mezi počítači za NATem a to bez potřeby NAT jakkoli konfigurovat. Tento program byl vyvinut Jamesem Yonanem a publikován pod licencí GNU General Public License (GPL).

Charakteristika[editovat | editovat zdroj]

OpenVPN umožňuje ověřit navazované spojení pomocí sdíleného klíče (anglicky pre-shared key), digitálního certifikátu nebo uživatelského jména a hesla. V nastavení multiklient-server je vydán serverem pro klienty autentizační certifikát, který používá elektronický podpis a certifikační autoritu. K tomu využívá knihovny OpenSSL stejně jako pro podporu protokolů SSLv3 a TLSv1. Není založen na webových protokolech a chybí kompatibilita s IPsec nebo s jinými implementacemi VPN. OpenVPN je někdy využíván hráči počítačových her jako způsob zabezpečení při hraní her po Internetu.

OpenVPN je k dispozici pro různé operační systémy jako je Solaris, Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X, a Windows 2000, Windows XP, Windows Vista, Windows 7 a disponuje mnoha bezpečnostními a ovládacími funkcemi. Skládá se z binární aplikace pro klienta a server, konfiguračního souboru a jednoho nebo více souborů s klíči v závislosti na použité metodě ověřování.

Šifrování[editovat | editovat zdroj]

OpenVPN využívá knihovny OpenSSL pro zašifrování dat a řídících kanálů i pro šifrování a autentizaci s možností využít všechny šifrovací algoritmy obsažené v OpenSSL. Další možností zabezpečení přenášených dat je použití HMAC (označováno jako HMAC Firewall).

Ověření[editovat | editovat zdroj]

OpenVPN má k dispozici několik způsobů ověřování klientů a to pomocí sdíleného klíče, certifikátu a nebo uživatelského jména a hesla. Využití sdíleného klíče a certifikátu je velice účinný způsob disponující mnoha funkcemi. Ověřování pomocí uživatelského jména je poměrně nová metoda zabezpečení, kterou lze použít i bez nutnosti podpisu certifikátu klientem.

Sítě[editovat | editovat zdroj]

OpenVPN používá oficiálně přidělený port 1194, který je v novějších verzích použit jako implicitní. Komunikuje standardně pomocí protokolu UDP, avšak použít lze též protokol TCP. Podporuje možnost komunikace skrz většinu proxy serverů (tj. pomocí protokolu HTTP), vést VPN tunel skrz NAT a firewally. OpenVPN server umožňuje předat požadovanou konfiguraci sítě svým klientům (IP adresa, maska sítě, směrování a podobně). Nabízí dva typy rozhraní pro sítě (Universal TUN a TAP driver), které umožňují vytvořit IP tunel (TUN) na 3. vrstvě modelu ISO/OSI nebo na 2. vrstvě (layer-2 Ethernet TAP), který dokáže přenášet jakýkoli typ dat.

OpenVPN používá běžné síťové protokoly (TCP a UDP) a vytváří tak alternativu k protokolu IPsec. IPsec totiž používá své vlastní protokoly, čehož zneužívají někteří ISP, kteří je blokují a snaží se tak uživatelům vnutit dražší „business grade“ služby.

Bezpečnost[editovat | editovat zdroj]

OpenVPN disponuje několika doplňujícími možnostmi zabezpečení. Program pracuje v uživatelském prostoru (jako běžná aplikace) a nevyžaduje tak funkce implementované v jádru operačního systému v implementaci IP stacku. Umožňuje vzdát se administrátorských oprávnění (uživatele root), použít mlockall[1] k zabránění odkládání citlivých dat na pevný disk a pracovat v chroot prostředí.

Reference[editovat | editovat zdroj]

  1. http://www.opengroup.org/onlinepubs/009695399/functions/mlockall.html

Související články[editovat | editovat zdroj]

Externí odkazy[editovat | editovat zdroj]