Vállalkozásunk üzemelteti Magyarország egyik legnépszerűbb VPN szolgáltatását, a csibVPN-t. Azon kevesek közé tartozunk akik Magyarországról szolgáltatnak, Magyar egyéni vállalkozáson keresztül. (Tehát nem külföldi cégeken keresztül trükközgetve) Maga az ötlet Áron fejéből pattant ki még 2014-ben, hogy elkezd OpenVPN-el foglalkozni. Az eleinte saját hobbi célra szánt projekt szépen elkezdett nőni, hiszen az interneten sokan rátaláltak mindenféle […]
OpenVPN Elliptic Curve
Bevezetés
Teszteltem sok VPN szolgáltatót az utóbbi időben és azt kell mondjam, a csibVPN nincs lemaradva. Nagyon soknál még az ezeréves BF-CBC titkosítás van. Ráadásul van aki 1024-es RSA kulcsot használ (nem biztonságos), plusz a certeket CTRL+C CTRL+V módon generálta az üzemeltetőjük valami tutorial alapján…
Célunk
Célom, hogy az OpenVPN-t saját magam buildeljem EC kulcsokkal AES-256-GCM titkosítással, ami a jelenleg elérhető legjobb technolgia és csak az OpenVPN 3.4 feletti verziók tudják. Ez egyúttal hátulütő is, régi routerek nem lesznek így támogatva. Az EC kulcsokat elég kevés szolgálató használja, hiszen beállítani csak saját builddel lehet, valamint technikai tudás sem árt hozzá. Plusz a nagy szolgálatoknál macera, mivel a felhasználóknál lévő kulcsokat is le kell cserélni. Ez nálunk sem lesz másképp.
Megvalósítás
Az OpenVPN-t buildeltem mbdedTLS-el és tesztelés alatt áll (openssl lehet jobb lesz) a sebesség 5%-al több, ami nem túl combos, de a biztonság természetesen hatalmasat ugrott. A bevezetés elég macerás lesz, mivel ezeket bele kell írni a kliens programunkba is, és a konfigokat is frissíteni kell minden szerveren, valamint a weboldalon is. Jelenleg még tesztelés alatt áll, és akkor vezetjük be ha tényleg van is értelme. Ha csak 5%-ot gyorsulunk nem feltétlen éri majd meg a sok macera, de ha sikerül a megfelelő beállításokat hozzá megtalálni és esetleg 10-20%-ban is felgyorsulna a kapcsolat, nem kérdés, be kell vezetni.
Megéri bevezetni?
Mérlegelni kell,hogy a régi routereket ezzel ellehetetlenítjük, nem fognak tudni csatlakozni hozzánk, valamint sok iPhone sem tudja még. Ennek az enyhítésére bevezetünk PPTP és L2TP kapcsolatot is, amit a routerbe már gond nélkül belehet állítani. Tehát összességében úgy látjuk, megéri a bevezetést.
Comments (0)