La seguridad es una de las cosas más importantes a considerar cuando estás en línea. Cuanto más seguras estén sus comunicaciones en línea con encriptación, mejor. El cifrado de datos ha ralentizado las velocidades informáticas en el pasado, lo que ha mejorado con las CPU modernas. Pero podemos hacer más. OpenVPN acaba de presentar un nuevo desarrollo que aumentará la velocidad para sus usuarios al quedarse sin espacio en el kernel:OpenVPN Data Channel Offload (DCO).
¿Qué es el espacio del kernel?
El kernel es lo que se carga cuando enciendes tu computadora (sin importar el sistema operativo). Es la capa base para todas las demás capas. El hardware constituye la base, el espacio del núcleo encima de eso, seguido por el espacio del usuario. En la parte superior están los programas que utiliza. Cuanto más arriba en una capa, más lejos está del hardware y más lento se ejecuta su programa. Entonces, cuando piensa en cifrar datos, puede ser un desafío. El intercambio de datos entre estas dos capas cuesta potencia de procesamiento, lo que introduce un cuello de botella para la velocidad de OpenVPN.
Para una VPN de espacio de usuario, como OpenVPN, la sobrecarga de cifrado y los cambios de contexto limitan las velocidades. Con las CPU modernas, la sobrecarga de cifrado ha mejorado a través de extensiones como Intel AES-NI, que a su vez mejora las velocidades para los usuarios de OpenVPN. Pero la sobrecarga con los cambios de contexto aún necesita ser abordada. A medida que aumenta la velocidad de Internet personal y comercial y las aplicaciones usan más ancho de banda, los usuarios esperan velocidades más rápidas con las comunicaciones en línea. Por lo tanto, el impacto de esta sobrecarga se ha vuelto más notable.
Dando la vuelta a la sabiduría convencional:OpenVPN DCO
Ahora tenemos descarga de canal de datos de OpenVPN u ovpn-dco. OpenVPN DCO implementa el módulo del kernel de Linux que maneja el canal de datos de OpenVPN. OpenVPN ya no envía tráfico de datos entre el usuario y el espacio del kernel para el enrutamiento y el cifrado/descifrado. Las operaciones en las cargas útiles tienen lugar en el kernel de Linux, lo que optimiza el rendimiento. Esto reduce la latencia y el costo de la transferencia de la carga útil entre el usuario y el espacio del kernel.
Además de eso, el cifrado ahora es de subprocesos múltiples. El subproceso múltiple es el proceso de dividir tareas o trabajos en unidades más pequeñas y asignarlas a diferentes CPU. ¿Qué significa eso para el usuario final? La transferencia de datos ocurre mucho más rápido.
James Yonan, CTO de OpenVPN, habla sobre la importancia de la descarga:“La descarga es realmente el santo grial tanto de la seguridad como del rendimiento porque nos permite adoptar protocolos estándar de la industria como SSL/TLS, pero al descargar el procesamiento de paquetes al espacio del kernel o hardware, podemos llevar el rendimiento al límite de la velocidad del cable”.
OpenVPN DCO incorpora todo el canal de datos de OpenVPN en el módulo del kernel mientras mantiene el canal de control fuera del kernel y continúa utilizando los protocolos SSL/TLS estándar, incluida la compatibilidad con las funciones de TLS 1.3.
Probando la Velocidad
Para darle una idea de la mejora de la velocidad, aquí están los resultados de las pruebas con la versión de desarrollo OpenVPN 2.6 dco en tres configuraciones diferentes:
Los números de rendimiento a continuación son los resultados de la prueba iperf3 realizada en un sistema AMD ThreadRipper 3970x que ejecuta Hyper-V como hipervisor con invitados de Linux y Windows. El algoritmo de cifrado utilizado es AES-256-GCM.
Disponibilidad de OpenVPN DCO
OpenVPN Cloud, nuestra VPN de próxima generación, ya lanzó DCO en producción, donde estamos viendo ganancias de rendimiento de orden de magnitud en el lado del servidor y esperamos ver ganancias similares en el cliente cuando ovpn-dco se generalice en el lado del cliente.
Este desarrollo es increíblemente emocionante, porque la eliminación de este notorio cuello de botella no es un objetivo futuro elevado a largo plazo:ya está sucediendo.
- El cliente Linux OpenVPN3 está disponible como versión beta.
- ovpn-dco-win está disponible actualmente como una vista previa técnica y estará disponible oficialmente como parte de la versión 2.6 en el cuarto trimestre de 2021.
- El servidor Linux OpenVPN junto con el módulo DCO logra velocidades realmente impresionantes. La vista previa técnica ya está disponible y los desarrolladores están trabajando en el lanzamiento general en este momento.
OpenVPN Inc. cree en el código abierto y lo respalda por completo. Los desarrolladores que trabajan en OpenVPN3 y OpenVPN Cloud tomarán estas impresionantes capacidades nuevas y se las devolverán a la comunidad. Lanzaremos OpenVPN 2.6.0 en el cuarto trimestre de este año, con soporte DCO incluido. Siempre que utilice una compilación de desarrollo de OpenVPN 2.6, podrá disfrutar de una gran mejora en la velocidad de transferencia de datos cuando instale el módulo DCO de código abierto en plataformas Windows o Linux. También incorporaremos el módulo DCO para Windows en OpenVPN Connect v3 en una versión futura; de esta manera, todos los usuarios de Windows pueden beneficiarse de esta mayor velocidad. OpenVPN Access Server también se beneficiará del módulo DCO para Linux, cuando presentemos esta función en una versión futura de OpenVPN Access Server.