OpenVPN Sicherheitsempfehlungen

OpenVPN verwendet die OpenSSL Bibliothek für den Aufbau eines TLS-verschlüsselten Tunnels, durch den die Daten geschickt werden. Der TLS-Standard ist historisch gewachsen und enthält auch Ballast, der aktuelle Sicherheitsanforderungen nicht mehr erfüllt.

Mit folgenden Kommandos kann man schauen, welche Cipher OpenVPN unterstützt:

> openvpn --show-ciphers > openvpn --show-digests > openvpn --show-tls > openvpn --show-curves

Die Listen zeigen, dass OpenVPN auch schwache Cipher unterstützt, deren Schwächen ein potenter Angreifer mit TLS-Downgrade Angriffen ausnutzen könnte.

Aktuelle Empfehlungen zur TLS-Verschlüsselung des BSI (TR-3116-4), der IETF (RFC 7525) oder der NSA (Suite-B) sind sich darüber einig, dass nur TLS v1.2 mit AES-GCM und AES-CBC für die symmetrische Verschlüsselung, SHA256 als Digest Algorithmus und elliptische Kurven mit mind. 256 Bit für den ECDHE Schlüsseltausch als sicher eingestuft werden. Ältere TLS-Versionen und schwächere Cipher sollte man nicht mehr verwenden.

Wenn man dem VPN-Provider nicht zutraut, seine Server sicher zu konfigurieren, könnte man man folgende Optionen der OpenVPN Konfigurationsdatei hinzufügen:

Die Suite-B-128 Ciphersuite kann man für Client-Server Verbindungen in der OpenVPN Konfigurationsdatei mit folgenden Parametern erzwingen: tls-version-min 1.2 tls-cipher TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256 ncp-cipher AES-128-GCM:AES-128-CBC auth SHA256 dh none ecdh-curve secp256r1 Die Parameter haben folgenden Einfluss:
- Mit "tls-cipher" legt man die Ciphersuite für den Steuerkanal fest.
- Mit "ncp-cipher" konfiguriert man die Verschlüsselung für den Datenkanal.
- DH-Schlüsseltausch wird nicht genutzt (keine Datei mit DH-Parametern).
- Für den ECDH-Schlüsseltausch wird die NIST-Kurve "secp256r1" verwendet.
  (Das BSI empfiehlt, die Kurve "brainpoolP256r1" zu bevorzugen.)
Die Suite-B-256 Ciphersuiten erfordern 30-40% mehr Rechenleistung. In Kombination mit AES256-GCM sollte man auch elliptische Kurven mit 384 Bit einsetzen, um eine vergleichbare Stärke für den Schlüsseltausch zu erreichen. Suite-B-256 Cipher Einstellungen: tls-version-min 1.2 tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 ncp-cipher AES-256-GCM:AES-256-CBC auth SHA256 dh none ecdh-curve secp384r1

Hinweis: Beim Aushandeln der Verschlüsselung müssen Server und Clients einen gemeinsamen Nenner finden. Wenn man nur an der Client Konfiguration schraubt, ist möglicherweise keine Verbindung mehr möglich.

Traffic Komprimierung NICHT aktivieren

In viele Empfehlungen zu OpenVPN findet man den Hinweis, dass man Komprimierung aktivieren könnte, um die Datenübertragung zu optimieren. Das ist KEINE gute Idee.

Datenverschlüsselung mit TLS verträgt sich nicht mit der Komprimierung, das haben verschiedene Angriffe auf die TLS Verschlüsselung gezeigt (CRIME, BREACH). Mit der VORACLE Attack ist 2018 auch ein Angriff speziell für OpenVPN publiziert worden.

Deshalb ist es aus Sicht der kryptografischen Sicherheit besser, keine Komprimierung zu verwenden. Auch das OpenVPN Team warnt in der Anleitung davor:

Compression and encryption is a tricky combination. If an attacker knows or is able to control (parts of) the plaintext of packets that contain secrets, the attacker might be able to extract the secret if compression is enabled. See e.g. the CRIME and BREACH attacks on TLS which also leverage compression to break encryption.

tls-version-min	1.2
tls-cipher	TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256
ncp-cipher	AES-128-GCM:AES-128-CBC
auth	SHA256
dh	none
ecdh-curve	secp256r1

tls-version-min	1.2
tls-cipher	TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384
ncp-cipher	AES-256-GCM:AES-256-CBC
auth	SHA256
dh	none
ecdh-curve	secp384r1