it-swarm.com.de

OpenVPN kann die Verschlüsselung nicht deaktivieren

Sowohl in der Server- als auch in der Client-Konfiguration habe ich Folgendes festgelegt:

cipher none
auth none

Folgende dieser Rat Ich verwende auch UDP-Port 1195.

Wenn ich Server und Client starte, erhalte ich folgende Warnungen:

Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--cipher none' was specified. This means NO encryption will be performed and tunnelled data WILL be transmitted in clear text over the network! PLEASE DO RECONSIDER THIS SETTING!
Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--auth none' was specified. This means no authentication will be performed on received packets, meaning you CANNOT trust that the data received by the remote side have NOT been manipulated. PLEASE DO RECONSIDER THIS SETTING!

... was gut ist, aber openvpn verwendet immer noch Verschlüsselung. Ich weiß das, weil:

1) Ich erhalte folgende Meldung auf der Serverseite, wenn der Client eine Verbindung herstellt:

Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

2) Ich bekomme auf beiden Seiten eine enorme CPU-Auslastung

3) Ich sehe in Wireshark, dass Daten verschlüsselt sind

Was ist noch erforderlich, um die Verschlüsselung zu deaktivieren?

11
user2449761

Es sieht so aus, als hätten Sie NCP (Negotiable Crypto Parameters) aktiviert. Sie sollten angeben

ncp-disable

Deaktivieren Sie "verhandelbare Kryptoparameter". Dadurch wird die Verschlüsselungsverhandlung vollständig deaktiviert.

Wenn für zwei OpenVPN-Instanzen NCP aktiviert ist (Standardeinstellung für neuere Versionen), wird ausgehandelt, welche Verschlüsselung aus einer Reihe von durch ncp-ciphers definierten Chiffren verwendet werden soll. Die Standardeinstellung hierfür ist "AES-256-GCM: AES-128-GCM". Dies erklärt, warum AES-256-GCM in Ihrer Verbindung angezeigt wird.

31
user9517

Angenommen, Sie verwenden openvpn 2.4. Ich glaube, Sie müssen auch einstellen

ncp-disable

https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/

Einige Hintergrundinformationen:

Bei Openvpn mussten Sie den Verschlüsselungsalgorithmus an beiden Enden manuell auf denselben Wert konfigurieren. Dies stellte jedoch ein Problem dar und machte es sehr schwierig, die Verschlüsselung auf einem vorhandenen Mehrbenutzer-VPN zu aktualisieren. Im Jahr 2016 wurde ein Angriff namens "sweet32" entwickelt, mit dem unter bestimmten Umständen Klartext wiederhergestellt werden kann. In der Praxis war es nicht gerade einfach, einen Angriff durchzuführen, und es gab eine Möglichkeit, ihn zu mildern, ohne die Chiffre zu ändern, aber es war immer noch eine besorgniserregende Entwicklung.

Openvpn 2.4 hat eine neue Funktion eingeführt, die standardmäßig für die Aushandlung von Kryptoparametern aktiviert ist. Ich bin mir nicht sicher, ob dies eine Reaktion auf sweet32 oder ein Ergebnis allgemeiner Bedenken hinsichtlich der Auswirkungen einer effektiven Bindung an eine einzelne Chiffresuite war.

Wenn also die Aushandlung von Kryptoparametern aktiviert ist, fungiert die Einstellung "Verschlüsselung" effektiv als Ersatz, der verwendet werden kann, wenn die andere Seite der Verbindung die Aushandlung nicht unterstützt.

12
Peter Green