Я должен сделать VPN между Debian 9.7 и другим маршрутизатором Linux или ASUS с поддержкой VPN. Я видел разные варианты шифров и других настроек. Есть ли хороший и плохой выбор для настроек OpenVPN и есть риск иметь уязвимую ссылку?
1 ответ
2
Это ответ на вопрос. Этот ответ может легко устареть. OpenVPN предоставляет руководство по настройке безопасных опций здесь.
OpenVPN имеет три варианта криптографии. Вы выбираете шифры на сертификатах, хэш, используемый для аутентификации, и шифр, используемый для шифрования данных туннеля отдельно.
Как правило, вы хотите использовать самую надежную криптографию для обоих компонентов аутентификации. На момент написания, SHA256 (Diffie-Hellman RSA) почти всегда используется во время аутентификации в сочетании с парой открытых / секретных ключей RSA 4096 или цепочкой сертификатов. OpenVPN имеет руководство по созданию ваших сертификатов аутентификации здесь.
Хотя производительность при проверке подлинности не имеет значения (2 секунды для подключения VPN по сравнению с 2,5 секундами), производительность шифра данных может быть предметом компромисса. При использовании двух компьютеров с большим ядром производительность не является проблемой; всегда используйте самый надежный из доступных шифров. Когда одна из машин является встроенной системой, производительность ограничена. Два основных варианта шифрования в OpenVPN: aes-128-gbc или aes-256-gbc. Если используется версия OpenVPN старше 2.4, используйте AES-CBC вместо GBC. На встроенных системах, таких как маршрутизаторы, aes-128 может получить пропускную способность 15 Мбит / с, а aes-256 - только 4 Мбит / с. Вы должны самостоятельно протестировать производительность, взвесить необходимую производительность и безопасность и решить, какой из них использовать. Никогда не используйте DES или RC4; это «сломанные» шифры.