WikiDer > StrongSwan

сильный
Разработчики)	Андреас Штеффен, Мартин Вилли и Тобиас Бруннер
Стабильный выпуск	v5.9.0 / 29 июля 2020 г.; 4 месяца назад
Репозиторий	github.com/ strongswan/ strongswan;
Написано в	C
Операционная система	Linux, Android, Maemo, FreeBSD, macOS, Windows
Тип	IPsec
Лицензия	Стандартная общественная лицензия GNU
Интернет сайт	www.strongswan.org

StrongSwan

сильный мультиплатформенный IPsec реализация. В центре внимания проекта сильные аутентификация механизмы, использующие X.509 сертификаты открытых ключей и дополнительное безопасное хранение приватные ключи и сертификаты на смарт-карты через стандартизированный PKCS # 11 интерфейс и на TPM 2.0.

Обзор

Проект поддерживается Андреасом Штеффеном, профессором безопасности в коммуникациях в Университет Прикладных Наук в Рапперсвиль, Швейцария.^[2]

Как потомок FreeS / WAN проект, strongSwan продолжает выпускаться под GPL лицензия.^[3] Он поддерживает списки отзыва сертификатов и Протокол статуса онлайн-сертификата (OCSP). Уникальной особенностью является использование X.509 сертификаты атрибутов реализовать контроль доступа схемы, основанные на членстве в группах. StrongSwan взаимодействует с другими IPsec реализации, включая различные Майкрософт Виндоус и macOS VPN клиентов. Модульная ветвь strongSwan 5.0 полностью реализует Обмен ключами в Интернете (IKEv2) протокол, определенный RFC 5996.^[4]

Функции

strongSwan поддерживает IKEv1 и полностью реализует IKEv2.^[4]

Возможности IKEv1 и IKEv2

strongSwan предлагает плагины, расширяющие его функциональность. Пользователь может выбрать одну из трех криптобиблиотек (устаревшие [неамериканские] FreeS / WAN, OpenSSL и gcrypt).
Используя плагин openssl, strongSwan поддерживает криптографию Elliptic Curve (группы ECDH, сертификаты и подписи ECDSA) как для IKEv2, так и для IKEv1, так что возможна совместимость с реализацией Microsoft Suite B в Vista, Win 7, Server 2008 и т. Д.
Автоматическое назначение виртуальных IP-адресов клиентам VPN из одного или нескольких пулов адресов с использованием полезной нагрузки IKEv1 ModeConfig или IKEv2 Configuration. Пулы либо изменчивы (т. Е. Основаны на ОЗУ), либо хранятся в базе данных SQLite или MySQL (с настраиваемым временем аренды).
В пул ipsec Утилита командной строки позволяет управлять пулами IP-адресов и атрибутами конфигурации, такими как внутренние DNS и NBNS-серверы.

Только функции IKEv2

Демон IKEv2 по своей сути является многопоточным (по умолчанию 16 потоков).
Демон IKEv2 поставляется с опцией высокой доступности, основанной на IP-адресе кластера, где в настоящее время кластер из двух хостов выполняет активное распределение нагрузки, и каждый хост может принимать состояния ESP и IKEv2 без смены ключей в случае отказа другого хоста.
Поддерживаются следующие методы аутентификации EAP: AKA и SIM, включая управление несколькими [U] SIM-картами, MD5, MSCHAPv2, GTC, TLS, TTLS. Аутентификация EAP-MSCHAPv2 на основе паролей пользователей и EAP-TLS с пользовательскими сертификатами совместима с Windows 7 Agile VPN Client.
Плагин EAP-RADIUS ретранслирует пакеты EAP на один или несколько серверов AAA (например, FreeRADIUS или Active Directory).
Поддержка RFC 5998 EAP-Only Authentication в сочетании со строгими методами взаимной аутентификации, такими как, например, EAP-TLS.
Поддержка RFC 4739 Обмен множественной аутентификации IKEv2.
Поддержка RFC 5685 Перенаправление IKEv2.
Поддержка RFC 4555 Протокол мобильности и множественной адресации (MOBIKE), который позволяет динамически изменять IP-адрес и / или сетевой интерфейс без смены ключей IKEv2. MOBIKE также поддерживается клиентом Windows 7 Agile VPN.
Аплет strongSwan IKEv2 NetworkManager поддерживает EAP, сертификат X.509 и аутентификацию на основе смарт-карты PKCS # 11. Назначенные DNS-серверы автоматически устанавливаются и снова удаляются в /etc/resolv.conf.
Поддержка Надежное сетевое подключение (TNC). VPN-клиент strongSwan может выступать в роли клиента TNC, а VPN-шлюз strongSwan - в качестве точки применения политики (PEP) и, опционально, в качестве совместно расположенного сервера TNC. Следующее TCG поддерживаются интерфейсы: IF-IMC 1.2, IF-IMV 1.2, IF-PEP 1.1, IF-TNCCS 1.1, IF-TNCCS 2.0 (RFC 5793 PB-TNC), IF-M 1.0 (RFC 5792 PA-TNC) и IF-MAP 2.0.
Демон IKEv2 был полностью перенесен на операционную систему Android, включая интеграцию в апплет Android VPN. Он также был перенесен на операционные системы Maemo, FreeBSD и macOS.

Среда моделирования KVM

В центре внимания проекта strongSwan лежит надежная аутентификация с помощью сертификатов X.509, а также дополнительное безопасное хранение закрытых ключей на смарт-картах с использованием стандартизованного интерфейса PKCS # 11, контрольных списков сертификатов strongSwan и интерактивного протокола состояния сертификатов. (OCSP).

Важной возможностью является использование атрибутов сертификата X.509, что позволяет использовать сложные механизмы управления доступом на основе членства в группах.

strongSwan поставляется с средой моделирования, основанной на KVM. Сеть из восьми виртуальных хостов позволяет пользователю задействовать множество межсайтовых и дорожный Воин VPN сценарии.^[5]

Смотрите также

внешняя ссылка

[1] "Выпуск strongswan / strongswan GitHub". 2020-09-07.

[2] "INS: Штеффен Андреас". Университет Прикладных Наук. Получено 2019-03-16.

[3] "strongSwan - Загрузить: Лицензионное соглашение". 2019-03-13. Получено 2019-03-16.

[features-4] а ^б "strongSwan: решение VPN на основе IPsec с открытым исходным кодом". 2018-12-27. Получено 2019-03-16.

[5] "strongSwan - Сценарии тестирования". 2013-02-24. Получено 2019-03-16.

[1]

[2]

[3]

[4]

[5]

v т е Виртуальная частная сеть
Протокол связи	SSTP IPsec L2TP L2TPv3 PPTP Раздельное туннелирование DTLS SSL / TLS (Оппортунистический: tcpcrypt)
Бесплатно программное обеспечение	FreeLAN FreeS / WAN Libreswan n2n OpenConnect OpenIKED Openswan OpenVPN Социальный VPN SoftEther VPN сильный tcpcrypt олово VTun WireGuard Shadowsocks
Протоколы, определяемые производителем	Протокол пересылки уровня 2 Прямой доступ
Проприетарное программное обеспечение	Avast SecureLine VPN Check Point VPN-1 Клиент Cisco Systems VPN ExpressVPN HideMyAss! Hola LogMeIn Hamachi Шлюз унифицированного доступа Microsoft Forefront NordVPN Частный доступ в Интернет ProtonVPN PureVPN SaferVPN Tunnelbear
Векторы риска	Программное обеспечение для управления контентом Глубокая проверка контента Глубокая проверка пакетов Блокировка IP-адреса Перечисление сети Межсетевой экран с отслеживанием состояния Атака сброса TCP Блокировка VPN

Navigation