The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

23.03.2016 14:05  Выпуск strongSwan 5.4.0, открытой реализации IPsec

Представлен выпуск strongSwan 5.4.0, реализации IPsec для Linux, FreeBSD, Android, Windows и OS X. strongSwan является форком FreeS/WAN, одной из первых реализаций IPsec в Linux. В пятой версии strongSwan был переписан практически с нуля с оглядкой на современные стандарты, что выгодно отличает его от других форков FreeS/WAN.

IPsec обычно используется для создания VPN-сетей и представляет собой набор протоколов для реализации защищенной передачи данных по протоколу IP. IPsec состоит из двух частей: протокола обмена ключами IKE и протокола передачи шифрованного трафика ESP. strongSwan реализует протоколы IKEv1 и IKEv2, а реализация ESP находится в ядре ОС, благодаря чему достигается высокая производительность работы VPN. Если ядро не поддерживает ESP (как, например, в случае Android), strongSwan использует внутреннюю реализацию в пространстве пользователя.

Основные изменения:

  • Поддержка перенаправления IKEv2. Если сервер перегружен или находится на обслуживании, он может перенаправить клиентов на другой IKE-сервер.
  • Исправлена передача виртуальных IPv6, что потребовало изменения формата передачи. strongSwan может принимать сообщения в старом формате, но передача параметров в новом формате на старые версии клиентов может вызвать проблемы.
  • Возможность управлять сервисом с помощью протокола vici из программ на Perl. Ранее данная функциональность была реализована для Python и Ruby.
  • При использовании в Linux появилась возможность перенаправлять трафик в VPN только для определенных портов. Из-за ограничений ядра можно указывать исключительно такие диапазоны портов, которые можно представить в виде маски. Данную функцию можно настраивать в том числе и с помощью интерфейса vici.
  • Изменены параметры шифрования, которые strongSwan предлагает по умолчанию. Теперь это симметричное шифрование со 128-битным ключом, группы DH ecp256 или modp3072 и SHA2 для подписи. Для корректной работы новых настроек нужно ядро версии 2.6.33 или новее.
  • Группы DH отображаются в выводе ipsec statusall.
  • Идентификаторы SPI теперь отображаются с использованием сетевого порядка байт
  • Интерфейсы vici и swanctl включены по умолчанию. Различные улучшения в swanctl.
  • Из поставки убрана библиотека libhydra, за взаимодействие с ядром теперь отвечает libcharon.


  1. Главная ссылка к новости (https://strongswan.org/blog/20...)
  2. OpenNews: В IPSec пакете strongSwan обнаружена серьёзная уязвимость
  3. OpenNews: Увидел свет OpenVPN 2.3.0
  4. OpenNews: VPN-сервер SoftEther VPN открыт под лицензией GPLv2
  5. OpenNews: Релиз свободного безопасного цензуроустойчивого VPN-демона GoVPN 5.0
  6. OpenNews: Выпуск VPN-демона MPD 5.8
Автор новости: h31
Тип: Программы
Ключевые слова: strongswan, ipsec
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Анончег, 00:00, 24/03/2016 [ответить] [смотреть все]
  • +2 +/
    >> Изменены параметры шифрования, которые strongSwan предлагает по умолчанию. Теперь это симметричное шифрование со 128-битным ключом

    Надо же какие строгие лебеди пошли

     
     
  • 2.12, h31, 22:21, 24/03/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Раньше там 256 было.
     
     
  • 3.21, Аноним, 01:22, 03/04/2016 [^] [ответить] [смотреть все]
  • +/
    оно и щас есть.
    в LibreSwan ;)
     
  • 1.2, neon1ks, 06:41, 24/03/2016 [ответить] [смотреть все]
  • –1 +/
    Что то уж мало комментариев)
     
     
  • 2.3, Аноним, 07:10, 24/03/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +8 +/
    просто мало кто разбирается в IPsec)
     
     
  • 3.6, Пахом, 12:59, 24/03/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Главное что бы сам автор в нем разбирался.
     
  • 2.5, Нанобот, 10:54, 24/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    предлагаю начать холивар "strongswan vs openvpn"
     
     
  • 3.10, Я, 18:21, 24/03/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Тогда уж лучше strongSwan vs енот
     
  • 3.13, Аноним, 22:39, 24/03/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    сравнивать теплое с мягким? ну-ну
     
  • 1.4, 1, 10:45, 24/03/2016 [ответить] [смотреть все]  
  • +/
    А тот IPSec - который во бздях - он совсем не открытый ?
     
     
  • 2.9, Аноним, 18:19, 24/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В ядре прослойка для прохода ipsec транспорта открыта, для обмена ключами и траф... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, Аноним, 14:54, 24/03/2016 [ответить] [смотреть все]  
  • +/
    Подскажите нубу, чем оно лучше/хуже OpenVPN?
     
     
  • 2.11, h31, 22:18, 24/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +9 +/
    Если говорить вообще про IPsec, то плюсы:
    - Работает изкоробки в Windows/OS X/Android/etc, не надо ничего ставить.
    - В Linux работает очень быстро, почти не грузит процессор. На моем одноплатнике с криптоускорителем тянет 100 мбит/c, при этом загрузка процессора - 5%. Новые Xeon-ы тянут вплоть до 10 гбит/с.
    - Поддерживается серьёзными железками от Cisco и ко.
    - Шустрый и безопасный AES-GCM (ЕМНИП в OpenVPN его пока что не осилили).
    Минусы:
    - В случае strongSwan возиться с конфигом. Частично компенсируется тем, что есть куча примеров на оф. сайте, плюс есть плагин для NM, который заводится с полпинка.
    - Иногда может хуже проходит через NAT, особенно IKEv1. Работает только поверх UDP.
    - Есть две версии протокола (IKEv1 и IKEv2), они настраиваются немного по-разному.
    - Немного криво организована маршрутизация. Если глубоко не копаться - особо и не заметно.
     
     
  • 3.14, iBat, 13:34, 25/03/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Хорошо растолковали. Спасибо. Даже до меня дошло.
     
  • 2.15, Аноним, 08:01, 26/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Подсказываю, IPSec это расширение протокола IP, т е работает он на сетевом уро... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, h31, 19:36, 26/03/2016 [^] [ответить] [смотреть все]  
  • +/
    В последнее время ESP обычно заворачивают в UDP. Чуточку меньше пропускной способности, зато в сто раз меньше проблем с файрволлами.
     
  • 1.17, Тузя, 12:42, 26/03/2016 [ответить] [смотреть все]  
  • –3 +/
    Комментаторы выше уже описали различия между openvpn и ipsec Хочу только добави... весь текст скрыт [показать]
     
     
  • 2.19, h31, 19:41, 26/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Во-первых, это очень редкая ситуация, когда 100% трафика идет поверх TLS.
    Во-вторых, GRE не прячем адрес источника и получателя. Такая инфа может выдать злоумышленнику структуру сети.
     
  • 1.20, Аноним, 12:32, 01/04/2016 [ответить] [смотреть все]  
  • +/
    Народ, кто замерял пропускную способность openvpn vs ipsec, подскажите Есть шиф... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList