web-dev-qa-db-ja.com

OpenVPNは暗号化を無効にできません

私が設定したサーバーとクライアントの両方の設定:

cipher none
auth none

以下 このアドバイス UDPポート1195も使用しています。

サーバーとクライアントを起動すると、次の警告が表示されます。

Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--cipher none' was specified. This means NO encryption will be performed and tunnelled data WILL be transmitted in clear text over the network! PLEASE DO RECONSIDER THIS SETTING!
Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--auth none' was specified. This means no authentication will be performed on received packets, meaning you CANNOT trust that the data received by the remote side have NOT been manipulated. PLEASE DO RECONSIDER THIS SETTING!

...それは良いですが、それでもopenvpnは暗号化を使用しています。私はこれを知っています、なぜなら:

1)クライアントが接続すると、サーバー側で次のメッセージが表示されます。

Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

2)CPUの負荷が両側で大きくなります

3)Wiresharkでデータが暗号化されているのがわかります

暗号化を無効にするには他に何が必要ですか?

11
user2449761

交渉可能な暗号パラメータ(NCP)が有効になっているようです。指定する必要があります

ncp-disable

「交渉可能な暗号パラメータ」を無効にします。これにより、暗号ネゴシエーションが完全に無効になります。

2つのOpenVPNインスタンスでNCPが有効になっている場合(最近のバージョンのデフォルト)、ncp-ciphersによって定義された暗号のセットから使用する暗号をネゴシエートします。そのデフォルトは「AES-256-GCM:AES-128-GCM」で、接続にAES-256-GCMが表示される理由を説明しています。

31
user9517

あなたがopenvpn 2.4を実行していると仮定すると、私はあなたも設定する必要があると信じています

ncp-disable

https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/

背景:

以前は、Openvpnでは、暗号化アルゴリズムを両端で同じ値に手動で構成する必要がありました。ただし、これにより問題が発生し、既存のマルチユーザーVPNの暗号化をアップグレードすることが非常に困難になりました。 2016年に、「sweet32」と呼ばれる攻撃が考案され、状況によっては平文を復元できるようになりました。これは実際には簡単に攻撃を仕掛けるのは簡単ではなく、暗号を変更せずにそれを軽減する方法がありましたが、それでも懸念される開発でした。

Openvpn 2.4には、暗号化パラメータのネゴシエーションのためにデフォルトで有効になっている新機能が導入されました。これがsweet32に対する反応なのか、単一の暗号スイートに効果的にロックされることの影響に関する一般的な懸念の結果なのかはわかりません。

したがって、暗号パラメータのネゴシエーションが有効になっている場合、「暗号」設定は、接続の反対側がネゴシエーションをサポートしていない場合に使用されるフォールバックとして効果的に機能します。

12
Peter Green