OpenVPN não pode desativar a criptografia

11

Tanto na configuração do servidor quanto do cliente que defini:

cipher none
auth none

Seguindo este conselho , também estou usando a porta UDP 1195.

Quando inicio servidor e cliente, recebo os seguintes avisos:

Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--cipher none' was specified. This means NO encryption will be performed and tunnelled data WILL be transmitted in clear text over the network! PLEASE DO RECONSIDER THIS SETTING!
Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--auth none' was specified. This means no authentication will be performed on received packets, meaning you CANNOT trust that the data received by the remote side have NOT been manipulated. PLEASE DO RECONSIDER THIS SETTING!

... o que é bom, mas ainda assim o openvpn está usando criptografia. Eu sei disso porque:

1) Recebo a seguinte mensagem no lado do servidor quando o cliente se conecta:

Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

2) Recebo uma carga huuuge da CPU nos dois lados

3) Vejo no Wireshark que os dados são criptografados

O que mais é necessário para desativar a criptografia?

openvpn user2449761
fonte
1
Você poderia compartilhar um contexto de uso? Como você está tentando desativar qualquer auth e criptografia o uso de OpenVPN pode ser questionável ... Pode haver ainda melhor abordagem para apenas encapsular o tráfego (por exemplo IPIP, gre ...)
Kamil J
6
Eu estou apenas experimentando, tentando descobrir qual é o impacto criptografia em carga da CPU
user2449761

Respostas:

31

Parece que você tem Parâmetros de criptografia negociáveis ​​(NCP) ativados. Você deve especificar

ncp-disable

Desative "parâmetros criptográficos negociáveis". Isso desativa completamente a negociação cifrada.

Quando duas instâncias do OpenVPN têm o NCP ativado (padrão para versões recentes), eles negociam qual cifra usar em um conjunto de cifras definidas por ncp-ciphers. O padrão é 'AES-256-GCM: AES-128-GCM', que explica por que você vê o AES-256-GCM na sua conexão.

user9517
fonte
12

Supondo que você esteja executando o openvpn 2.4, acredito que você também precisa definir

ncp-disable

https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/

Alguns antecedentes:

O Openvpn costumava exigir que você configurasse manualmente o algoritmo de criptografia para o mesmo valor nas duas extremidades. Entretanto, isso representou um problema, tornando muito difícil atualizar a criptografia em uma VPN multiusuário existente. Em 2016, foi criado um ataque chamado "sweet32", permitindo recuperar o texto simples em algumas circunstâncias. Não era exatamente um ataque fácil de se realizar na prática e havia uma maneira de mitigá-lo sem alterar a cifra, mas ainda era um desenvolvimento preocupante.

O Openvpn 2.4 introduziu um novo recurso, ativado por padrão para parâmetros de criptografia de negociação. Não tenho certeza se isso foi uma reação ao sweet32 ou um resultado de preocupações gerais sobre as implicações de ser efetivamente trancado em um único conjunto de cifras.

Portanto, quando a negociação de parâmetros de criptografia está ativada, a configuração "cifra" age efetivamente como um substituto a ser usado se o outro lado da conexão não suportar a negociação.

Peter Green
fonte