OpenVPN tidak dapat menonaktifkan enkripsi

11

Konfigurasi server dan klien telah saya atur:

cipher none
auth none

Mengikuti saran ini saya juga menggunakan port UDP 1195.

Ketika saya meluncurkan server dan klien saya mendapat peringatan berikut:

Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--cipher none' was specified. This means NO encryption will be performed and tunnelled data WILL be transmitted in clear text over the network! PLEASE DO RECONSIDER THIS SETTING!
Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--auth none' was specified. This means no authentication will be performed on received packets, meaning you CANNOT trust that the data received by the remote side have NOT been manipulated. PLEASE DO RECONSIDER THIS SETTING!

... yang bagus, tetapi masih openvpn menggunakan enkripsi. Saya tahu ini, karena:

1) Saya mendapatkan pesan berikut di sisi server ketika klien terhubung:

Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

2) Saya mendapatkan beban CPU huuuge di kedua sisi

3) Saya melihat di Wireshark bahwa data dienkripsi

Apa lagi yang diperlukan untuk menonaktifkan enkripsi?

openvpn pengguna2449761
sumber
1
Bisakah Anda berbagi konteks penggunaan? Ketika Anda mencoba untuk menonaktifkan auth dan enkripsi apa pun, penggunaan openvpn mungkin dipertanyakan ... Mungkin ada pendekatan yang lebih baik untuk hanya merangkum lalu lintas (mis. Ipip, gre, ...)
Kamil J
6
Saya hanya bereksperimen, mencoba mencari tahu apa dampak enkripsi pada beban CPU
user2449761

Jawaban:

31

Sepertinya Anda mengaktifkan Negotiable Crypto Parameters (NCP) diaktifkan. Anda harus menentukan

ncp-disable

Nonaktifkan "parameter kripto dinegosiasikan". Ini sepenuhnya menonaktifkan negosiasi sandi.

Ketika dua instance OpenVPN mengaktifkan NCP (default untuk versi terbaru), mereka akan menegosiasikan cipher mana yang akan digunakan dari serangkaian cipher yang ditentukan oleh cipher ncp. Default untuk itu adalah 'AES-256-GCM: AES-128-GCM' yang menjelaskan mengapa Anda melihat AES-256-GCM pada koneksi Anda.

user9517
sumber
12

Dengan asumsi Anda menjalankan openvpn 2.4 Saya percaya Anda juga perlu mengatur

ncp-disable

https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/

Beberapa latar belakang:

Openvpn digunakan untuk mengharuskan Anda mengkonfigurasi algoritma enkripsi secara manual dengan nilai yang sama di kedua ujungnya. Namun ini menimbulkan masalah, itu membuatnya sangat sulit untuk meningkatkan enkripsi pada VPN multi-pengguna yang ada. Pada 2016 sebuah serangan yang disebut "sweet32" telah dibuat, yang memungkinkan plaintext untuk dipulihkan dalam beberapa keadaan. Itu bukan serangan yang mudah dilakukan dalam praktek dan ada cara untuk meredakannya tanpa mengubah sandi, tetapi masih merupakan pengembangan yang memprihatinkan.

Openvpn 2.4 memperkenalkan fitur baru, diaktifkan secara default untuk menegosiasikan parameter kripto. Saya tidak yakin apakah ini merupakan reaksi terhadap sweet32 atau hasil dari kekhawatiran umum tentang implikasi terkunci secara efektif ke dalam cipher-suite tunggal.

Jadi ketika negosiasi parameter crypto diaktifkan, pengaturan "cipher" secara efektif bertindak sebagai mundur untuk digunakan jika sisi lain dari koneksi tidak mendukung negosiasi.

Peter Green
sumber