The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выпуск strongSwan 5.4.0, открытой реализации IPsec"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск strongSwan 5.4.0, открытой реализации IPsec"  +/
Сообщение от opennews on 24-Мрт-16, 00:00 
Представлен (https://strongswan.org/blog/2016/03/22/strongswan-5.4.0-rele...) выпуск strongSwan 5.4.0 (https://strongswan.org/), реализации IPsec для Linux, FreeBSD, Android, Windows и  OS X. strongSwan является форком FreeS/WAN, одной из первых реализаций IPsec в Linux. В пятой версии strongSwan был переписан практически с нуля с оглядкой на современные стандарты, что выгодно отличает его от других форков FreeS/WAN.

IPsec обычно используется для создания VPN-сетей и представляет собой  набор протоколов для реализации защищенной передачи данных по протоколу IP. IPsec (https://ru.wikipedia.org/wiki/IPsec) состоит из двух частей: протокола обмена ключами IKE и протокола передачи шифрованного трафика ESP. strongSwan реализует протоколы IKEv1 и IKEv2, а реализация ESP находится в ядре ОС, благодаря чему достигается высокая производительность работы VPN. Если ядро не поддерживает ESP (как, например, в случае Android), strongSwan использует внутреннюю реализацию в пространстве пользователя.

Основные изменения (https://wiki.strongswan.org/projects/strongswan/wiki/Changel...):


-  Поддержка перенаправления IKEv2. Если сервер перегружен или находится на обслуживании, он может перенаправить клиентов на другой IKE-сервер.
-  Исправлена передача виртуальных IPv6, что потребовало изменения формата передачи. strongSwan может принимать сообщения в старом формате, но передача параметров в новом формате на старые версии клиентов может вызвать проблемы.
-  Возможность управлять сервисом с помощью протокола vici из программ на Perl. Ранее данная функциональность была реализована для Python и Ruby.
-  При использовании в Linux появилась возможность перенаправлять трафик в VPN только для определенных портов. Из-за ограничений ядра можно указывать исключительно такие диапазоны портов, которые можно представить в виде маски. Данную функцию можно настраивать в том числе и с помощью интерфейса vici.
-  Изменены параметры шифрования, которые strongSwan предлагает по умолчанию. Теперь это симметричное шифрование со 128-битным ключом, группы DH ecp256 или modp3072 и SHA2 для подписи. Для корректной работы новых настроек нужно ядро версии 2.6.33 или новее.
-  Группы DH отображаются в выводе ipsec statusall.
-  Идентификаторы SPI теперь отображаются с использованием сетевого порядка байт
-  Интерфейсы vici и swanctl включены по умолчанию. Различные улучшения в swanctl.
-  Из поставки убрана библиотека libhydra, за взаимодействие с ядром теперь отвечает libcharon.

URL: https://strongswan.org/blog/2016/03/22/strongswan-5.4.0-rele...
Новость: http://www.opennet.ru/opennews/art.shtml?num=44100

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"  +2 +/
Сообщение от Анончег on 24-Мрт-16, 00:00 
>> Изменены параметры шифрования, которые strongSwan предлагает по умолчанию. Теперь это симметричное шифрование со 128-битным ключом

Надо же какие строгие лебеди пошли

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"  +/
Сообщение от h31 (ok) on 24-Мрт-16, 22:21 
Раньше там 256 было.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

21. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"  +/
Сообщение от Аноним (??) on 03-Апр-16, 01:22 
оно и щас есть.
в LibreSwan ;)
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

2. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"  –1 +/
Сообщение от neon1ks (ok) on 24-Мрт-16, 06:41 
Что то уж мало комментариев)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"  +8 +/
Сообщение от Аноним (??) on 24-Мрт-16, 07:10 
просто мало кто разбирается в IPsec)
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"  +1 +/
Сообщение от Пахом on 24-Мрт-16, 12:59 
Главное что бы сам автор в нем разбирался.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"  +2 +/
Сообщение от Нанобот (ok) on 24-Мрт-16, 10:54 
предлагаю начать холивар "strongswan vs openvpn"
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"  +2 +/
Сообщение от Я (??) on 24-Мрт-16, 18:21 
Тогда уж лучше strongSwan vs енот
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"  +2 +/
Сообщение от Аноним (??) on 24-Мрт-16, 22:39 
сравнивать теплое с мягким? ну-ну
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

4. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"  +/
Сообщение от 1 (??) on 24-Мрт-16, 10:45 
А тот IPSec - который во бздях - он совсем не открытый ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"  +/
Сообщение от Аноним (??) on 24-Мрт-16, 18:19 
В ядре прослойка для прохода ipsec транспорта открыта, для обмена ключами и трафиком можно установить тоже StrongSWAN
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"  +/
Сообщение от Аноним (??) on 24-Мрт-16, 14:54 
Подскажите нубу, чем оно лучше/хуже OpenVPN?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"  +9 +/
Сообщение от h31 (ok) on 24-Мрт-16, 22:18 
Если говорить вообще про IPsec, то плюсы:
- Работает изкоробки в Windows/OS X/Android/etc, не надо ничего ставить.
- В Linux работает очень быстро, почти не грузит процессор. На моем одноплатнике с криптоускорителем тянет 100 мбит/c, при этом загрузка процессора - 5%. Новые Xeon-ы тянут вплоть до 10 гбит/с.
- Поддерживается серьёзными железками от Cisco и ко.
- Шустрый и безопасный AES-GCM (ЕМНИП в OpenVPN его пока что не осилили).
Минусы:
- В случае strongSwan возиться с конфигом. Частично компенсируется тем, что есть куча примеров на оф. сайте, плюс есть плагин для NM, который заводится с полпинка.
- Иногда может хуже проходит через NAT, особенно IKEv1. Работает только поверх UDP.
- Есть две версии протокола (IKEv1 и IKEv2), они настраиваются немного по-разному.
- Немного криво организована маршрутизация. Если глубоко не копаться - особо и не заметно.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"  –1 +/
Сообщение от iBat email on 25-Мрт-16, 13:34 
Хорошо растолковали. Спасибо. Даже до меня дошло.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"  +/
Сообщение от Аноним (??) on 26-Мрт-16, 08:01 
Подсказываю, IPSec это расширение протокола IP, т.е. работает  он на сетевом уровне OSI-модели. OpenVPN - это сервер прикладного уровня, который использует TLS/SSL, в который он заворачивает пользовательский трафик. Короче, разница между strongswan и openvpn такая же, как между IP и SMTP/HTTP/FTP.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

18. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"  +/
Сообщение от h31 (ok) on 26-Мрт-16, 19:36 
В последнее время ESP обычно заворачивают в UDP. Чуточку меньше пропускной способности, зато в сто раз меньше проблем с файрволлами.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"  –3 +/
Сообщение от Тузя (ok) on 26-Мрт-16, 12:42 
Комментаторы выше уже описали различия между openvpn и ipsec. Хочу только добавить, что openvpn бывает еще и вреден когда вы внутри vpn хотите гонять уже зашифрованный траффик. Например, если у вас внутри vpn происходят исключительно SSL/TLS-соединения, то это порождает паразитную криптонагрузку. Тратите мощности и канал для того чтобы зашифровать что-то дважды. То есть если вы используете vpn преимущественно для маршрутизации, то и ipsec, и openvpn могут оказаться вредны. В таком случае есть ipip, GRE и прочее pptp.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"  +/
Сообщение от h31 (ok) on 26-Мрт-16, 19:41 
Во-первых, это очень редкая ситуация, когда 100% трафика идет поверх TLS.
Во-вторых, GRE не прячем адрес источника и получателя. Такая инфа может выдать злоумышленнику структуру сети.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"  +/
Сообщение от Аноним (??) on 01-Апр-16, 12:32 
Народ, кто замерял пропускную способность openvpn vs ipsec, подскажите. Есть шифрованные каналы на openvpn, но деградация пропускной способности на 100 Мб/с на 1-ядерном целероне огромна - канал сужается до 27 Мб/с. Если использовать core2duo, то получается выжать где-то 84 Мб/с. Есть мысль сделать всё на ipsec. Вопрос в том а будет ли ощутимый выигрыш?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру