我必须在 Debian 9.7 和另一个支持 VPN 的 Linux 或 ASUS 路由器之间建立 VPN。我看到了不同的密码和其他设置选项。OpenVPN 设置是否有好的和坏的选择,以及存在易受攻击的链接的风险?
答案1
这是一个意见性答案。这个答案可能很容易过时。OpenVPN 提供了调整安全选项的指南这里。
OpenVPN 有三种加密选项。您可以分别选择证书上的密码、用于身份验证的哈希值以及用于隧道数据加密的密码。
通常,您希望对两个身份验证组件使用最强大的加密技术。截至撰写本文时,SHA256(Diffie-Hellman RSA)几乎总是在身份验证期间使用,并结合使用 RSA 4096 公钥/私钥对或证书链。OpenVPN 有一个生成身份验证证书的指南这里。
虽然身份验证的性能并不重要(连接 VPN 需要 2 秒,而不是 2.5 秒),但数据加密密码的性能可能是一个妥协点。当使用两台大核计算机时,性能不是问题;始终使用最强大的可用密码。当其中一台机器是嵌入式系统时,性能会受到限制。OpenVPN 中密码的两个主要选择是 aes-128-gbc 或 aes-256-gbc。如果使用 2.4 之前的 OpenVPN 版本,请使用 AES-CBC 而不是 GBC。在路由器等嵌入式系统上,aes-128 可能获得 15Mbps 的带宽,但 aes-256 可能只能获得 4Mbps。您必须自己测试性能,权衡所需的性能和安全性,并决定使用哪一个。切勿使用 DES 或 RC4;这些都是“破”密码。