IPsec dla systemu Linux - strongSwan vs Openswan vs Libreswan vs inny (?) [Zamknięty]

16

Poszukiwanie IPSec i Linuksa nieuchronnie zostanie skonfrontowane z różnymi rozwiązaniami (patrz poniżej), które wydają się dość podobne. Pytanie brzmi: gdzie jest różnica?

Znalazłem te projekty. Wszystkie są typu open source, wszystkie są aktywne (mają wydanie w ciągu ostatnich 3 miesięcy) i wszystkie wydają się zapewniać bardzo podobne rzeczy.

Ponadto: czy są inne projekty, których nie spotkałem?

( strongswan kontra openswan pyta o to samo, ale jest oczywiście przestarzały).

vpn ipsec openswan strongswan masgo
źródło
Jeśli szukasz podstawowej funkcjonalności IPSEC, sprawdziłbym, która z nich ma największą obsługę społeczności i / lub jest obsługiwana przez preferowany system operacyjny w formie pakietu. Wszystkie są zbudowane do robienia podobnych rzeczy, w podobny sposób, i chyba że masz konkretną potrzebę, która wymaga funkcji, które ma jedna z nich, lub bezpieczeństwo jest podstawową kwestią (tj. Potrzebujesz poważnej gwarancji bezpieczeństwa) i zamierzasz angażować się w przegląd kodu i wkład, myślę, że takie podejście jest najlepszym wyborem.
TB

Odpowiedzi:

17

Wydaje mi się, że StrongSwan i LibreSwan to obecnie dwa główne realne produkty. strongswan vs openswan ma jeden dobry kompleksowy komentarz z pewnymi porównaniami między StrongSwan i LibreSwan. Wydaje się, że StrongSwan wygrywa argument w tym łączu.

Ale żeby być uczciwym, widziałem Paula Woutersa, który reprezentuje projekt LibreSwan w RedHat, mówiąc dziś podczas sesji bezpieczeństwa LinuxCon w Toronto. Przedstawił mocne argumenty za szyfrowaniem oportunistycznym i kontynuował oryginalny projekt poprzez „szyfrowanie Internetu”. Strona Paula to https://nohats.ca/ .

Jednak nakładają się na siebie, ponieważ „ip xfrm” stanowi podstawę dla narzędzi jądra systemu ike / ipsec. Więc jeśli potrzebujesz dodatkowych certyfikatów, potrzebujesz libreswan lub strongswan. Ale niektóre elementy szyfrowania można wykonać bez żadnego z nich.

Od https://lists.strongswan.org/pipermail/dev/2015-April/001321.html :

Libreswan jest rozwidleniem openswan, szukanie „strongSwan vs. OpenSwan” powinno dać ci szeroki zakres wrażeń i znaczeń.

Zarówno strongSwan, jak i Libreswan wywodzą się z projektu FreeS / WAN. Open / Libreswan wciąż są znacznie bliżej swojego pochodzenia, gdzie strongSwan jest w zasadzie całkowitym ponownym wdrożeniem.

Obecna architektura strongSwan została pierwotnie zaprojektowana dla IKEv2 prawie 10 lat temu, ale od 5.x jest również używana dla IKEv1. Ma rozszerzalną, dobrze skalowalną konstrukcję wielowątkową i koncentruje się na IKEv2 i silnym uwierzytelnianiu.

Raymond Burkholder
źródło