OpenVPN kann die Verschlüsselung nicht deaktivieren

11

Sowohl in der Server- als auch in der Client-Konfiguration habe ich Folgendes festgelegt:

cipher none
auth none

Nach diesem Rat verwende ich auch den UDP-Port 1195.

Wenn ich Server und Client starte, erhalte ich folgende Warnungen:

Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--cipher none' was specified. This means NO encryption will be performed and tunnelled data WILL be transmitted in clear text over the network! PLEASE DO RECONSIDER THIS SETTING!
Tue Dec  4 12:58:25 2018 ******* WARNING *******: '--auth none' was specified. This means no authentication will be performed on received packets, meaning you CANNOT trust that the data received by the remote side have NOT been manipulated. PLEASE DO RECONSIDER THIS SETTING!

... was gut ist, aber dennoch verwendet openvpn Verschlüsselung. Ich weiß das, weil:

1) Ich erhalte die folgende Meldung auf der Serverseite, wenn der Client eine Verbindung herstellt:

Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Tue Dec  4 12:59:59 2018 client_abc/10.20.73.2:36752 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

2) Ich bekomme auf beiden Seiten eine enorme CPU-Auslastung

3) Ich sehe in Wireshark, dass Daten verschlüsselt sind

Was ist noch erforderlich, um die Verschlüsselung zu deaktivieren?

user2449761
quelle
1
Könnten Sie bitte einen Nutzungskontext mitteilen? Wenn Sie versuchen, eine Authentifizierung und Verschlüsselung zu deaktivieren, kann die Verwendung von openvpn fraglich sein ... Es gibt möglicherweise einen noch besseren Ansatz, um nur den Datenverkehr zu kapseln (z. B. ipip, gre, ...)
Kamil J
6
Ich experimentiere nur und versuche herauszufinden, wie sich die Verschlüsselung auf die CPU-Auslastung
auswirkt

Antworten:

31

Es sieht so aus, als hätten Sie NCP (Negotiable Crypto Parameters) aktiviert. Sie sollten angeben

ncp-disable

Deaktivieren Sie "verhandelbare Kryptoparameter". Dadurch wird die Verschlüsselungsverhandlung vollständig deaktiviert.

Wenn für zwei OpenVPN-Instanzen NCP aktiviert ist (Standardeinstellung für neuere Versionen), wird ausgehandelt, welche Verschlüsselung aus einer Reihe von durch ncp-ciphers definierten Chiffren verwendet werden soll. Die Standardeinstellung hierfür ist "AES-256-GCM: AES-128-GCM". Dies erklärt, warum AES-256-GCM in Ihrer Verbindung angezeigt wird.

user9517
quelle
12

Angenommen, Sie verwenden openvpn 2.4. Ich glaube, Sie müssen auch einstellen

ncp-disable

https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/

Einige Hintergrundinformationen:

Bei Openvpn mussten Sie den Verschlüsselungsalgorithmus an beiden Enden manuell auf denselben Wert konfigurieren. Dies stellte jedoch ein Problem dar und machte es sehr schwierig, die Verschlüsselung auf einem vorhandenen Mehrbenutzer-VPN zu aktualisieren. Im Jahr 2016 wurde ein Angriff namens "sweet32" entwickelt, mit dem unter bestimmten Umständen Klartext wiederhergestellt werden kann. In der Praxis war es nicht gerade einfach, einen Angriff durchzuführen, und es gab eine Möglichkeit, ihn zu mildern, ohne die Chiffre zu ändern, aber es war immer noch eine besorgniserregende Entwicklung.

Openvpn 2.4 hat eine neue Funktion eingeführt, die standardmäßig für die Aushandlung von Kryptoparametern aktiviert ist. Ich bin mir nicht sicher, ob dies eine Reaktion auf sweet32 oder ein Ergebnis allgemeiner Bedenken hinsichtlich der Auswirkungen einer effektiven Bindung an eine einzelne Chiffresuite war.

Wenn also die Aushandlung von Kryptoparametern aktiviert ist, fungiert die Einstellung "Verschlüsselung" effektiv als Ersatz, wenn die andere Seite der Verbindung die Aushandlung nicht unterstützt.

Peter Green
quelle