Synology-Forum.nl

Packages => Officiële Packages => VPN Server => Topic gestart door: Hutje op 05 april 2017, 20:19:20

Titel: Iets veranderd in OpenVPN instellingen van DSM ?
Bericht door: Hutje op 05 april 2017, 20:19:20: Ik merk tot mijn grote verbazing dat ik meerdere keuzes heb bij de instellingen van het OpenVPN menu :

Dat was voorheen niet, volgens mij, want ik heb even geen idee wat we daar moeten invullen....
Al gezocht hier tussen de berichten, maar zie er niet zo snel melding van gemaakt worden.

Wie kan helpen ?

[attach=1]

[attach=2]
Titel: Re: Iets veranderd in OpenVPN instellingen van DSM ?
Bericht door: Robstar op 05 april 2017, 20:24:08: Bij mij werkt het met;

Codering: BF-CBC
Verificatie: SHA-1
Titel: Re: Iets veranderd in OpenVPN instellingen van DSM ?
Bericht door: Hutje op 05 april 2017, 21:26:22: SHA-1 is toch niet meer veilig?
Titel: Re: Iets veranderd in OpenVPN instellingen van DSM ?
Bericht door: Pippin op 05 april 2017, 22:16:49: SHA1 is voor authenticatie van packets die over het control en data channel gaan.
Het is niet persé onveilig in dit geval (OpenVPN).

De sterke aanbeveling is minimaal AES-128-CBC i.v.m. de SWEET32 attack en voor authenticatie SHA256 .
Dat had Synology eigenlijk al moeten regelen, SWEET32, door bepaalde keuzes niet beschikbaar te stellen, en ook moeten regelen voor oudere DSM/OpenVPN versies waar men die keuze niet heeft in de WebUI.

Overigens is RSA-SHAxxx exact hetzelfde als SHAxxx, neem ze dat niet kwalijk want dat weten er niet veel maar het staat wel leuk zo`n lang lijstje met keuzes :S

Citaat van: Robstar op 05 april 2017, 20:24:08
Codering: BF-CBC
Verificatie: SHA-1
BF-CBC is een 64 bit block cipher, daar zou ik vanaf stappen i.v.m. de SWEET32 attack.
Titel: Re: Iets veranderd in OpenVPN instellingen van DSM ?
Bericht door: Hutje op 05 april 2017, 23:00:33: Thanks !
Met deze keuzes worden de mogelijkheden al gauw meer dan 1000 !
Titel: Re: Iets veranderd in OpenVPN instellingen van DSM ?
Bericht door: Robstar op 05 april 2017, 23:02:19: Citaat van: Robstar op 05 april 2017, 20:24:08
Codering: BF-CBC
Verificatie: SHA-1
BF-CBC is een 64 bit block cipher, daar zou ik vanaf stappen i.v.m. de SWEET32 attack
[/quote]

Welke setting adviseer jij om te gebruiken
Titel: Re: Iets veranderd in OpenVPN instellingen van DSM ?
Bericht door: Hutje op 05 april 2017, 23:11:48: Reeds hier boven gemeld
Titel: Re: Iets veranderd in OpenVPN instellingen van DSM ?
Bericht door: Pippin op 05 april 2017, 23:30:17: Citaat
De sterke aanbeveling is minimaal AES-128-CBC i.v.m. de SWEET32 attack en voor authenticatie SHA256 .
SHA1 is ook nog wel ok.

De overweging is over het algemeen overdracht snelheid vs. encryptie/authenticatie.
Encryptie is een aanslag op je CPU en minder bekend is authenticatie dat ook.
Zoek dus "jou evenwicht" met tenminste AES-128-CBC en SHA1.

Wat mij betreft is minimaal AES-xxx-CBC en minimaal SHA256 aanbevolen zoals dat op dit moment algemeen door developers van OpenVPN ook aanbevolen wordt.
In elk geval moeten 64 bit block ciphers gemeden worden.

Vanaf OpenVPN versie 2.4 is zelfs AES-256-GCM de standaard geworden. Dat is een nog sterkere versleuteling die authenticatie reeds "ingebouwd" heeft (AES-256-CTR met SHA256) en de authenticatie instelling alleen nog voor het control channel geldt.
Titel: Re: Iets veranderd in OpenVPN instellingen van DSM ?
Bericht door: Pippin op 05 april 2017, 23:33:28: Citaat van: Hutje op 05 april 2017, 23:00:33
Thanks !
Met deze keuzes worden de mogelijkheden al gauw meer dan 1000 !
De keuzes wel maar het effect van de keuzes niet ;)
Titel: Iets veranderd in OpenVPN instellingen van DSM ?
Bericht door: Hutje op 06 april 2017, 13:17:38: Helaas is er niet bij voorbaat bekend wat het effect is van een bepaalde keuze.