The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск strongSwan 5.4.0, открытой реализации IPsec

23.03.2016 14:05

Представлен выпуск strongSwan 5.4.0, реализации IPsec для Linux, FreeBSD, Android, Windows и OS X. strongSwan является форком FreeS/WAN, одной из первых реализаций IPsec в Linux. В пятой версии strongSwan был переписан практически с нуля с оглядкой на современные стандарты, что выгодно отличает его от других форков FreeS/WAN.

IPsec обычно используется для создания VPN-сетей и представляет собой набор протоколов для реализации защищенной передачи данных по протоколу IP. IPsec состоит из двух частей: протокола обмена ключами IKE и протокола передачи шифрованного трафика ESP. strongSwan реализует протоколы IKEv1 и IKEv2, а реализация ESP находится в ядре ОС, благодаря чему достигается высокая производительность работы VPN. Если ядро не поддерживает ESP (как, например, в случае Android), strongSwan использует внутреннюю реализацию в пространстве пользователя.

Основные изменения:

  • Поддержка перенаправления IKEv2. Если сервер перегружен или находится на обслуживании, он может перенаправить клиентов на другой IKE-сервер.
  • Исправлена передача виртуальных IPv6, что потребовало изменения формата передачи. strongSwan может принимать сообщения в старом формате, но передача параметров в новом формате на старые версии клиентов может вызвать проблемы.
  • Возможность управлять сервисом с помощью протокола vici из программ на Perl. Ранее данная функциональность была реализована для Python и Ruby.
  • При использовании в Linux появилась возможность перенаправлять трафик в VPN только для определенных портов. Из-за ограничений ядра можно указывать исключительно такие диапазоны портов, которые можно представить в виде маски. Данную функцию можно настраивать в том числе и с помощью интерфейса vici.
  • Изменены параметры шифрования, которые strongSwan предлагает по умолчанию. Теперь это симметричное шифрование со 128-битным ключом, группы DH ecp256 или modp3072 и SHA2 для подписи. Для корректной работы новых настроек нужно ядро версии 2.6.33 или новее.
  • Группы DH отображаются в выводе ipsec statusall.
  • Идентификаторы SPI теперь отображаются с использованием сетевого порядка байт
  • Интерфейсы vici и swanctl включены по умолчанию. Различные улучшения в swanctl.
  • Из поставки убрана библиотека libhydra, за взаимодействие с ядром теперь отвечает libcharon.


  1. Главная ссылка к новости (https://strongswan.org/blog/20...)
  2. OpenNews: В IPSec пакете strongSwan обнаружена серьёзная уязвимость
  3. OpenNews: Увидел свет OpenVPN 2.3.0
  4. OpenNews: VPN-сервер SoftEther VPN открыт под лицензией GPLv2
  5. OpenNews: Релиз свободного безопасного цензуроустойчивого VPN-демона GoVPN 5.0
  6. OpenNews: Выпуск VPN-демона MPD 5.8
Автор новости: h31
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/44100-strongswan
Ключевые слова: strongswan, ipsec
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (19) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Анончег (?), 00:00, 24/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >> Изменены параметры шифрования, которые strongSwan предлагает по умолчанию. Теперь это симметричное шифрование со 128-битным ключом

    Надо же какие строгие лебеди пошли

     
     
  • 2.12, h31 (ok), 22:21, 24/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Раньше там 256 было.
     
     
  • 3.21, Аноним (-), 01:22, 03/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    оно и щас есть.
    в LibreSwan ;)
     

  • 1.2, neon1ks (ok), 06:41, 24/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Что то уж мало комментариев)
     
     
  • 2.3, Аноним (-), 07:10, 24/03/2016 [^] [^^] [^^^] [ответить]  
  • +8 +/
    просто мало кто разбирается в IPsec)
     
     
  • 3.6, Пахом (?), 12:59, 24/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Главное что бы сам автор в нем разбирался.
     
  • 2.5, Нанобот (ok), 10:54, 24/03/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    предлагаю начать холивар "strongswan vs openvpn"
     
     
  • 3.10, Я (??), 18:21, 24/03/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тогда уж лучше strongSwan vs енот
     
  • 3.13, Аноним (-), 22:39, 24/03/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    сравнивать теплое с мягким? ну-ну
     

  • 1.4, 1 (??), 10:45, 24/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А тот IPSec - который во бздях - он совсем не открытый ?
     
     
  • 2.9, Аноним (-), 18:19, 24/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В ядре прослойка для прохода ipsec транспорта открыта, для обмена ключами и трафиком можно установить тоже StrongSWAN
     

  • 1.8, Аноним (-), 14:54, 24/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подскажите нубу, чем оно лучше/хуже OpenVPN?
     
     
  • 2.11, h31 (ok), 22:18, 24/03/2016 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Если говорить вообще про IPsec, то плюсы:
    - Работает изкоробки в Windows/OS X/Android/etc, не надо ничего ставить.
    - В Linux работает очень быстро, почти не грузит процессор. На моем одноплатнике с криптоускорителем тянет 100 мбит/c, при этом загрузка процессора - 5%. Новые Xeon-ы тянут вплоть до 10 гбит/с.
    - Поддерживается серьёзными железками от Cisco и ко.
    - Шустрый и безопасный AES-GCM (ЕМНИП в OpenVPN его пока что не осилили).
    Минусы:
    - В случае strongSwan возиться с конфигом. Частично компенсируется тем, что есть куча примеров на оф. сайте, плюс есть плагин для NM, который заводится с полпинка.
    - Иногда может хуже проходит через NAT, особенно IKEv1. Работает только поверх UDP.
    - Есть две версии протокола (IKEv1 и IKEv2), они настраиваются немного по-разному.
    - Немного криво организована маршрутизация. Если глубоко не копаться - особо и не заметно.
     
     
  • 3.14, iBat (?), 13:34, 25/03/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Хорошо растолковали. Спасибо. Даже до меня дошло.
     
  • 2.15, Аноним (-), 08:01, 26/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Подсказываю, IPSec это расширение протокола IP, т.е. работает  он на сетевом уровне OSI-модели. OpenVPN - это сервер прикладного уровня, который использует TLS/SSL, в который он заворачивает пользовательский трафик. Короче, разница между strongswan и openvpn такая же, как между IP и SMTP/HTTP/FTP.
     
     
  • 3.18, h31 (ok), 19:36, 26/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В последнее время ESP обычно заворачивают в UDP. Чуточку меньше пропускной способности, зато в сто раз меньше проблем с файрволлами.
     

  • 1.17, Тузя (ok), 12:42, 26/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Комментаторы выше уже описали различия между openvpn и ipsec. Хочу только добавить, что openvpn бывает еще и вреден когда вы внутри vpn хотите гонять уже зашифрованный траффик. Например, если у вас внутри vpn происходят исключительно SSL/TLS-соединения, то это порождает паразитную криптонагрузку. Тратите мощности и канал для того чтобы зашифровать что-то дважды. То есть если вы используете vpn преимущественно для маршрутизации, то и ipsec, и openvpn могут оказаться вредны. В таком случае есть ipip, GRE и прочее pptp.
     
     
  • 2.19, h31 (ok), 19:41, 26/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых, это очень редкая ситуация, когда 100% трафика идет поверх TLS.
    Во-вторых, GRE не прячем адрес источника и получателя. Такая инфа может выдать злоумышленнику структуру сети.
     

  • 1.20, Аноним (-), 12:32, 01/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Народ, кто замерял пропускную способность openvpn vs ipsec, подскажите. Есть шифрованные каналы на openvpn, но деградация пропускной способности на 100 Мб/с на 1-ядерном целероне огромна - канал сужается до 27 Мб/с. Если использовать core2duo, то получается выжать где-то 84 Мб/с. Есть мысль сделать всё на ipsec. Вопрос в том а будет ли ощутимый выигрыш?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру