OpenVPN: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
Funzionalità collegamenti suggeriti: 3 collegamenti inseriti. |
|||
| (7 versioni intermedie di 7 utenti non mostrate) | |||
Riga 1:
{{F|
{{Software
|Nome = OpenVPN
|Screenshot =
|Didascalia =
Line 27 ⟶ 26:
* [[Certificato digitale|certificati digitali]]
* credenziali utente/password.
Il metodo con chiave segreta condivisa è il più semplice ed immediato da implementare, quello basato sui certificati è il più robusto e versatile ma richiede la definizione di una ''Public Key Infrastructure'' ([[X.509|PKI]]). L'autenticazione con utente/password è una caratteristica nuova introdotta con la versione 2.0 e si può usare con o senza il certificato del client (il server deve comunque avere il proprio certificato). Il pacchetto [[tar (software)|tar]] del [[codice sorgente]] include uno script [[perl]] per verificare le credenziali utente/password per mezzo dei moduli [[Pluggable authentication modules|PAM]] e dei ''plugin'' in C ''auth-pam''.
== Rete ==
Line 34 ⟶ 33:
OpenVPN offre due tipi di interfaccia di rete avvalendosi del driver ''Universal [[TUN/TAP]]''; può creare sia tunnel IP punto-punto al livello 3 dello [[stack OSI]] (configurazione ''routing''), come anche interfacce [[Ethernet]] virtuali "tap" a livello 2 sulle quali veicolare l'intero traffico Ethernet, [[broadcast]] inclusi (configurazione ''bridging''). OpenVPN può anche usare, come opzione, la libreria di compressione [[Lempel–Ziv–Oberhumer|LZO]] per comprimere il flusso di dati.
[[IANA]] ha assegnato ufficialmente la [[Porta (reti)|porta]] 1194 a OpenVPN, e le versioni più recenti del programma ora la usano come predefinita. La versione 2.0 permette ad un processo di gestire più tunnel contemporanei, superando la restrizione di "un tunnel per processo" della serie 1.x.
Sebbene OpenVPN possa funzionare utilizzando il protocollo TCP, il suo uso richiede una connessione tra client e server con buona stabilità, banda passante e latenza, al fine di garantire che le connessioni TCP tunnellizzate non vadano in timeout. In caso contrario le prestazioni degradano molto, questo è noto come il “TCP meltdown problem”.<ref>{{cita web|url=http://sites.inka.de/bigred/devel/tcp-tcp.html|titolo=Why TCP Over TCP Is A Bad Idea|accesso=24 gennaio 2018}}</ref> == Estensibilità e piattaforme di utilizzo ==
=== Estensibilità ===
OpenVPN può essere esteso con plugins di terze parti o scripts, che possono essere chiamati a punti di ingresso definiti. Lo scopo di questo è spesso quello di estendere OpenVPN con logging più avanzati, migliorare l’autenticazione di username e password, rendere più veloce l’aggiornamento dei firewall e così via. I plugins sono moduli caricabili velocemente, solitamente scritti in linguaggio C, mentre gli scripts interface possono eseguire qualsiasi script. Nel codice sorgente di OpenVPN ci sono alcuni esempi di questi plugins, incluso un plugin di autenticazione (PAM). Molti plugin esistono anche per autenticare contro database LDAP o SQL tra i quali SQLite e [[MySQL|MYSQL]].
== Sicurezza ==
OpenVPN offre diverse caratteristiche di sicurezza interne: può rilasciare i privilegi di [[Root (utente)|root]] (non disponibile su Microsoft Windows), può usare ''mlockall'' per evitare che [[dati sensibili]] siano paginati nella [[memoria virtuale]] su disco, e può essere costretto ad una ''[[chroot jail]]'' (non disponibile su Microsoft Windows) dopo l'inizializzazione.
Inoltre è disponibile anche la funzione di autenticazione di singolo pacchetto [[HMAC]] per aggiungere un ulteriore livello di sicurezza alla fase in cui viene instaurata la connessione (definito "HMAC Firewall" dall'autore); in questo caso ogni pacchetto che non presentasse la firma HMAC prestabilita verrebbe semplicemente scartato senza essere elaborato, il che permette di difendere l'host da:
Line 54 ⟶ 55:
== Implementazioni del firmware e del software ==
=== Implementazioni del firmware ===
OpenVPN è stato integrato in firmware packages del router come [[Vyatta]], [[pfSense]], [[DD-WRT]], [[OpenWrt]] e Tomato, permettendo così agli utenti di passare OpenVPN nella modalità client o server a partire dai loro routers di rete. Un router che fa funzionare OpenVPN nella modalità client ad esempio, permette ad ogni dispositivo su una rete di accedere a VPN senza necessitare l’esigenza di installare OpenVPN. È stato implementato in alcuni router del produttore come il D-Link DSR 250 ed alcuni MikroTik Routers. L’implementazione di MikroTik non supporta il protocollo UDP o la compressione LZO, la quale limita la velocità di trasferimento raggiungibile. MikroTik ha detto nel 2010 che non avrebbe continuato a sviluppare OpenVPN, bensì [[SSTP]].
=== Implementazioni del software ===
OpenVPN è stato integrato a SoftEther VPN, un protocollo multiplo VPN server open-source, per consentire agli utenti di connettersi al server VPN a partire da clients OpenVPN già esistenti.
Di seguito una lista di software che utilizza OpenVPN. {| class="wikitable"
Line 119 ⟶ 122:
== Collegamenti esterni ==
* {{Collegamenti esterni}}
* {{cita web|
* {{cita web|url=http://openvpn-mi-gui.inside-security.de/|titolo=Un'interfaccia grafica per Windows|lingua=en}}
* {{cita web|url=http://home.arcor.de/u.altinkaynak/openvpn.html|titolo=Un modulo aggiuntivo OpenVPN per IPCop|lingua=en|accesso=15 agosto 2005|dataarchivio=30 ottobre 2005|urlarchivio=https://web.archive.org/web/20051030021306/http://home.arcor.de/u.altinkaynak/openvpn.html|urlmorto=sì}}
*[https://pctempo.com/openvpn-vs-ikev2-vs-pptp-vs-l2tp-ipsec-vs-sstp/ OpenVPN vs IKEv2 vs PPTP vs L2TP/IPSec vs SSTP] su pctempo.com
{{Portale|Sicurezza informatica|
[[Categoria:
| |||