Алгоритм HMAC для OpenVPN
Статический ключ (хэш-код) аутентификации сообщений (Hash-based Message Authentication Code, HMAC) обеспечивает проверку подлинности информации, передаваемой между сторонами. Этот ключ создается на сервере OpenVPN.
Директива tls-auth добавляет дополнительную подпись HMAC ко всем пакетам рукопожатия SSL/TLS (SSL/TLS handshake packets) для проверки целостности. Любой UDP-пакет, не имеющий правильной HMAC-подписи, может быть отброшен без дальнейшей обработки. HMAC-подпись, устанавливаемая директивой tls-auth, обеспечивает повышенный уровень безопасности дополнительно к безопасности, предоставляемой протоколом SSL/TLS. Это может защитить от:
- DoS-атак или флуда на UDP-порт OpenVPN.
- Сканирования портов, предназначенного для определения прослушиваемых сервером UDP-портов.
- Уязвимостей, связанных с переполнением буфера в реализации SSL/TLS.
- Попыток инициации SSL/TLS-рукопожатия от несанкционированной машины (хотя, в конечном итоге, такие рукопожатия не пройдут аутентификацию, tls-auth может отсечь их на гораздо более ранней стадии).
- Для создания ключа HMAC (ta.key) используйте команду openvpn с опциями –genkey и –secret.
openvpn --genkey --secret ta.key mv ta.key /etc/openvpn/keys/
- Для использования ключа HMAC нужно
# Для еще большей безопасности чем предоставляет # SSL/TLS, создайте "HMAC-файрвол", # чтобы заблокировать DoS-атаки и UDP-флуд. # # Генерация: # openvpn --genkey --secret ta.key # # Сервер и каждый клиент должен иметь # копию этого ключа. # Второй параметр должен быть '0' # на сервере и '1 'на клиентах. ;tls-auth ta.key 0 # Этот файл является секретным
для сервера прописать параметр
tls-auth /etc/openvpn/keys/ta.key 0
а в пользовательском конфигурационном файле
tls-auth /etc/openvpn/keys/ta.key 1
Читайте также: Лучшие VPN и Прокси Сервисы

Friendhosting - Разумные цены на хостинг
VDS/VPS сервер от 3.49€ в месяц. Много ресурсов. Высокая надежность. Гибкое управление. Удобная оплата. Настройка под вас!
friendhosting.net
Антидетект браузер Dolphin{anty} бесплатно до 10 профилей
Dolphin разработан для работы с такими сложными ресурсов, как Google, Facebook и Coinlist.
Английский для IT‑специалистов по Skype
Персональные занятия по разумным ценам. 80% разговорной практики. Персональный график!
skyeng.ru