O popular daemon de redes privadas virtuais de código aberto acaba de receber uma atualização substancial. O OpenVPN 2.7 já se encontra disponível e traz consigo um leque de melhorias arquitetónicas significativas, destacando-se o suporte para múltiplos sockets e novidades importantes para a gestão de resolução de nomes em várias plataformas.
Suporte multi-socket e novidades na gestão de DNS
Uma das maiores atrações desta versão é a introdução de servidores multi-socket. Na prática, isto significa que os servidores passam a conseguir gerir múltiplos endereços, portas e protocolos através de uma única implementação, oferecendo aos administradores uma flexibilidade muito maior na configuração das redes de forma simplificada.
A componente de resolução de nomes também foi alvo de grande atenção por parte dos programadores. Sistemas como o Linux, BSD e macOS beneficiam agora de um tratamento de DNS otimizado no cliente por predefinição. Além disso, a variante do cliente para os sistemas da Microsoft ganha funcionalidades há muito aguardadas pelos utilizadores, como o split DNS e suporte avançado a DNSSEC.
Arquitetura renovada no Windows e atualizações de segurança
Os utilizadores de Windows vão notar diferenças profundas na estabilidade e segurança da aplicação. A atualização força a flag block-local através de filtros nativos da plataforma WFP, gera adaptadores de rede de forma dinâmica consoante a necessidade e corre o serviço principal com permissões reduzidas de utilizador, limitando drasticamente possíveis falhas de segurança no sistema operativo. O conhecido wintun foi substituído, dando lugar ao controlador win-dco como padrão para a rede, mantendo o antigo tap-windows6 apenas como alternativa de recurso. O win-dco ganha ainda suporte oficial para o modo de servidor.
Do lado do pinguim, destaca-se a integração do novo módulo de kernel OpenVPN DCO, que já se encontra acessível nos kernels atuais através do projeto ovpn-backports, garantindo um desempenho superior e menor sobrecarga no sistema.
Para manter as ligações completamente blindadas, a versão 2.7 aplica agora limites rígidos de utilização AES-GCM no canal de dados, implementa chaves de dados por época e introduz suporte nativo no cliente para a mensagem PUSH_UPDATE. Esta última novidade é particularmente útil, pois permite que os servidores atualizem as definições de rotas ou de DNS em tempo real, sem obrigar os clientes a restabelecerem a ligação do zero. Para fechar o pacote de segurança, o protocolo TLS 1.3 passa a ser suportado em conjunto com a versão mais recente do mbedTLS.
Todos os detalhes técnicos e ficheiros desta nova versão podem ser consultados diretamente no repositório oficial do OpenVPN no GitHub.
Nenhum comentário
Seja o primeiro!