OpenVPN

OpenVPN usa le librerie OpenSSL per la cifratura sia del canale dati che del canale di controllo. Fa eseguire a OpenSSL tutto il lavoro di cifratura e autenticazione, permettendo a OpenVPN di scegliere fra tutti gli algoritmi di cifratura disponibili nel pacchetto OpenSSL. Il supporto per mbed TLS è disponibile a partire dalla versione 2.3. Può usare l'accelerazione hardware per avere migliori prestazioni nella cifratura.

OpenVPN permette ai computer diversi metodi di autenticarsi l'uno con l'altro:

• chiave segreta condivisa
• certificati digitali
• credenziali utente/password.

Il metodo con chiave segreta condivisa è il più semplice e immediato da implementare, quello basato sui certificati è il più robusto e completo ma richiede la definizione di una Public Key Infrastructure (PKI). L'autenticazione con utente/password è una caratteristica nuova introdotta con la versione 2.0 e si può usare con o senza il certificato del client (il server deve comunque avere il proprio certificato). Il pacchetto tar del codice sorgente include uno script perl per verificare le credenziali utente/password per mezzo dei moduli PAM e dei plugin in C auth-pam.

OpenVPN concentra tutto il traffico dati e di controllo su una singola porta. Può usare una porta UDP (preferita e predefinita) oppure TCP. Può funzionare attraverso la maggior parte dei server proxy (HTTP incluso) e non ha problemi ad integrarsi col NAT. Il server può "inviare" alcune opzioni di configurazione di rete ai client. Fra queste, l'indirizzo IP, gli instradamenti, e alcune opzioni di connessione.

OpenVPN offre due tipi di interfaccia di rete avvalendosi del driver Universal TUN/TAP; può creare sia tunnel IP punto-punto al livello 3 dello stack OSI (configurazione routing), come anche interfacce Ethernet virtuali "tap" a livello 2 sulle quali veicolare l'intero traffico Ethernet, broadcast inclusi (configurazione bridging). OpenVPN può anche usare, come opzione, la libreria di compressione LZO per comprimere il flusso di dati.

IANA ha assegnato ufficialmente la porta 1194 a OpenVPN, e le versioni più recenti del programma ora la usano come predefinita. La versione 2.0 permette ad un processo di gestire più tunnel contemporanei, superando la restrizione di "un tunnel per processo" della serie 1.x.

L’utilizzo di comuni reti di protocolli da parte di OpenVPN lo rende un’alternativa valida all’IPsec nelle situazioni in cui un ISP potrebbe bloccare specifici protocolli VPN con lo scopo di forzare gli utenti ad iscriversi ad un “business grade” più costoso. Quando OpenVPN utilizza il protocollo TCP porta allo stabilimento di un tunnel, il risultato sarà accettabile solo fino a quando è presente sufficiente larghezza di banda nel link della rete non tunnelizzata al fine di garantire che i timers del TCP tunnelizzato non scadano. Se questo non avviene, la performance fallisce. Questo è noto come il “TCP meltdown problem”.

OpenVPN può essere esteso con plugins di terze parti o scripts, che possono essere chiamati a punti di ingresso definiti. Lo scopo di questo è spesso quello di estendere OpenVPN con logging più avanzati, migliorare l’autenticazione di username e password, rendere più veloce l’aggiornamento dei firewall e così via. I plugins sono moduli caricabili velocemente, solitamente scritti in linguaggio C, mentre gli scripts interface possono eseguire qualsiasi script. Nel codice sorgente di OpenVPN ci sono alcuni esempi di questi plugins, incluso un plugin di autenticazione (PAM). Molti plugin esistono anche per autenticare contro database LDAP o SQL tra i quali SQLite e MYSQL.

OpenVPN è disponibile in varie piattaforme tra cui: Solaris, Linux, OpenBSD, freeBSD, NetBSD, QNX, macOS, Windows XP e altri. OpenVPN è anche disponibile per alcuni sistemi operativi per smartphone quali: Maemo, Windows Mobile 6.5, IOS 3GS, Jailbroken IOS 3.1.2, Android 4.0 e dispositivi Android che hanno ricevuto il firmware non originale di Cyanogenmod o hanno il corretto modulo del kernel installato. Non è compatibile con alcuni telefoni quali Palm OS. Non è una VPN basata sul web mostrata come una pagina web come Citrix o Terminal Services web access. Il programma è installato indipendentemente e configurato editando file di testo manualmente piuttosto che attraverso una procedura guidata. OpenVPN non è compatibile con utenti VPN che usano IPsec over L2TP o protocolli PPTP. L’intero package consiste in un binario per entrambe le connessioni client e server, una configurazione opzionale del file e una o più chiavi dei files che dipendono dal metodo di autenticazione utilizzato.

OpenVPN offre diverse caratteristiche di sicurezza interne: può rilasciare i privilegi di root (non disponibile su Microsoft Windows), può usare mlockall per evitare che dati sensibili siano paginati nella memoria virtuale su disco, e può essere costretto ad una chroot jail (non disponibile su Microsoft Windows) dopo l'inizializzazione.

Inoltre è disponibile anche la funzione di autenticazione di singolo pacchetto HMAC per aggiungere un ulteriore livello di sicurezza alla fase in cui viene instaurata la connessione (definito "HMAC Firewall" dall'autore); in questo caso ogni pacchetto che non presentasse la firma HMAC prestabilita verrebbe semplicemente scartato senza essere elaborato, il che permette di difendere l'host da:

• attacchi di tipo DoS (Denial of Service)
• tentativi di Port scanning
• vulnerabilità di buffer overflow nelle librerie SSL/TLS
• richieste di connessione da macchine non autorizzate.

Infine, configurando i client per accettare solo certificati di tipo server dalla macchina che richiede una connessione, può evitare attacchi del genere Man in the middle.

OpenVPN è stato integrato in firmware packages del router come Vyatta, pfsense, DD WRT, OpenWrt e Tomato, permettendo così agli utenti di passare OpenVPN nella modalità client o server a partire dai loro routers di rete. Un router che fa funzionare OpenVPN nella modalità client ad esempio, permette ad ogni dispositivo su una rete di accedere a VPN senza necessitare l’esigenza di installare OpenVPN. È stato implementato in alcuni router del produttore come il D-Link DSR 250 ed alcuni MikroTik Routers. L’implementazione di MikroTik non supporta il protocollo UDP o la compressione LZO, la quale limita la velocità di trasferimento raggiungibile. MikroTik ha detto nel 2010 che non avrebbero continuato a sviluppare OpenVPN bensì SSTP.

OpenVPN è stato integrato a SoftEther VPN, un protocollo multiplo VPN server open-source, per consentire agli utenti di connettersi al server VPN a partire da clients OpenVPN già esistenti.

OpenVPN è disponibile in due versioni:

1. L’edizione OpenVPN community che è una versione gratuita open-source.Il server di accesso di OPenVPN (OpenVPN-AS) è basata sulla Community Edition, ma prevede un costo aggiuntivo e caratteristiche come l’integrazione LDAP, il server SMB, Web UI management e fornisce un set di installazione e strumenti di configurazione che sono riportati per semplificare il rapido impiego di una soluzione di accesso VPN remota.
2. L’edizione Access Server dipende fortemente da iptables per il bilanciamento del carico, ad esempio. Per questo motivo non è mai stata disponibile per Windows. Questa versione è anche in grado di creare rapidamente client (“OpenVPN Connect”) installers, che includono un profilo client per connettersi ad un particolare Server di accesso. Tuttavia, l’utente non ha bisogno di possedere un Access Server client per connettersi al Server di accesso.

OpenVPN ha molte opzioni di supporto. Il metodo primario per il supporto della comunità è attraverso le mailing lists di OPenVPN. Altre fonti di supporto, non direttamente connesse con OpenVPN includono:

Arrivati a questo punto che conclusioni possiamo trarre? Quale tipo di VPN è migliore? Non esiste una risposta corretta. Sicuramente OpenVPN racchiude tutte le caratteristiche cercate in un VPN e inoltre ha molti vantaggi tra cui sicurezza e velocità che sono due aspetti importantissimi. Lo svantaggio di OpenVPN rispetto ad altri è la difficoltà di utilizzo e di installazione sul proprio sistema operativo. Come si può notare è un piccolissimo svantaggio rispetto a tutti i lati positivi che OpenVPN fornisce.

• DD-WRT

•   Wikimedia Commons contiene immagini o altri file su OpenVPN

• (EN) Sito ufficiale, su openvpn.net.  
• (EN) Tunnelblick, un'interfaccia grafica per Mac OS X, su tunnelblick.net.
• (EN) Un'interfaccia grafica per Windows, su openvpn-mi-gui.inside-security.de.
• (EN) Un modulo aggiuntivo OpenVPN per IPCop, su home.arcor.de.