OpenVPN 2.3.4 ya disponible con soporte para TLSv1.2

Escrito por Sergio De Luz
Redes
5

OpenVPN es el conocido software capaz de crear redes privadas virtuales con cifrado punto a punto para proteger nuestras comunicaciones. OpenVPN es multiplataforma y está disponible para sistemas operativos Windows y cualquier tipo de distribución Linux. Las últimas versiones son compatibles con TLSv1.2 por lo que tendremos un extra de seguridad en nuestras comunicaciones.

Hasta la versión de OpenVPN 2.3.2 tan sólo era compatible con TLSv1.0 con cifrados basados en RSA, incluso estas versiones antiguas eran compatibles con DHE (Diffie Hellmann Ephimeral) con Perfect Forward Secrecy para asegurar nuestras comunicaciones anteriores si la clave privada caía en malas manos.

La suite de cifrados compatibles con 2.3.2 era la siguiente:

  • TLS-DHE-RSA-WITH-AES-256-CBC-SHA
  • TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA
  • TLS-DHE-RSA-WITH-3DES-EDE-CBC-SHA
  • TLS-DHE-RSA-WITH-AES-128-CBC-SHA
  • TLS-DHE-RSA-WITH-SEED-CBC-SHA
  • TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA
  • TLS-DHE-RSA-WITH-DES-CBC-SHA

Ahora se ha integrado la suite de cifrados de TLSv1.2 proporcionándonos mayor seguridad, exactamente los cifrados compatibles con esta nueva versión son los siguientes:

  • TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
  • TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
  • TLS-DHE-RSA-WITH-AES-128-GCM-SHA256
  • TLS-DHE-RSA-WITH-AES-128-CBC-SHA256

Para configurar el servidor y el cliente basta con poner:

tls-cipher [algoritmo]

Siendo algoritmo una de las cadenas anteriores (entera).

Si no tenemos servidores o clientes compatibles con TLSv1.2 es recomendable aumentar el algoritmo HASH que por defecto es SHA1 160bits y SHA256 o SHA512 con la siguiente directiva:

auth [SHA256, SHA512]

Debemos indicar que ninguna versión de OpenVPN soporta aún las curvas elípticas, por lo que tendremos que seguir utilizando los algoritmos típicos. Otra de las mejoras importantes en estas últimas versiones es la solución al grave problema HeartBleed.

Podéis acceder a estas nuevas descargas desde la página web oficial, actualmente la nueva versión no se encuentra en los repositorios de Debian ni tampoco en FreeBSD por poner un ejemplo, habrá que compilarlo de forma manual para poder utilizarlo.


Continúa leyendo
  • juanantofb

    Hola, gracias por la info, una cosilla, los que generamos la CA y los certificados y las llaves con versiones anteriores, corremos algún peligro?
    O seria mejor recomendado crearlos de nuevo?
    Gracias.

    • No hace falta crearlos de nuevo, basta con poner la directiva que he puesto arriba, la que empieza por TLS- etc etc 😉

  • juanantofb

    Hola, gracias, disculpa por tanta pregunta, lo que comentas que cambie, que es en el xxx.ovpn, o en el router?
    Gracias.

    • El archivo de configuración…no sé si lo tienes en el router con Tomato…o en un servidor aparte.

      Si lo tienes con Tomato no podrás usar TLSv1.2 de momento porque usa la versión antigua 2.3.2.

  • juanantofb

    Hola, gracias, me lo estaba temiendo.
    Saludos.