IPsec per Linux - strongSwan vs Openswan vs Libreswan vs altro (?) [Chiuso]


16

La ricerca di IPSec e Linux inevitabilmente si troverà di fronte a soluzioni diverse (vedi sotto) che sembrano tutte abbastanza simili. La domanda è: dov'è la differenza?

Ho trovato questi progetti. Tutti sono open source, tutti sono attivi (hanno un rilascio negli ultimi 3 mesi) e sembrano tutti fornire cose molto simili.

Inoltre: ci sono altri progetti che non ho incontrato?

( strongswan vs openswan chiede lo stesso, ma è ovviamente obsoleto.)


Se stai cercando le funzionalità IPSEC di base, esaminerei quale ha il maggior supporto della community e / o è supportato dal tuo sistema operativo preferito in forma di pacchetto. Sono tutti progettati per fare cose simili, in modi simili e, a meno che tu non abbia un'esigenza specifica che richiede funzionalità di una di queste, o la sicurezza è un problema primario (ovvero hai un serio bisogno di garanzie di sicurezza) e stai per impegnarsi nella revisione del codice e nel contributo, penso che questo approccio sia la soluzione migliore.
TB,

Risposte:


17

Mi sembra che oggi StrongSwan e LibreSwan siano i due principali prodotti praticabili. strongswan vs openswan ha un buon commento completo con alcuni confronti tra StrongSwan e LibreSwan. StrongSwan sembra vincere l'argomento in quel collegamento.

Ma per essere onesti, ho visto Paul Wouters, che rappresenta il progetto LibreSwan a RedHat, mentre parlava oggi alla sessione sulla sicurezza di LinuxCon a Toronto. Ha avanzato forti argomentazioni per la crittografia opportunistica e proseguendo con il progetto originale attraverso la "crittografia di Internet". Il sito di Paul è https://nohats.ca/ .

Ma c'è una sovrapposizione tra i due perché 'ip xfrm' costituisce la base per gli strumenti del kernel di ike / ipsec. Quindi, se hai bisogno di ulteriori certificati, sono necessari libreswan o strongswan. Ma alcune cose di crittografia non possono essere eseguite con nessuno dei due presenti.

Da https://lists.strongswan.org/pipermail/dev/2015-April/001321.html :

Libreswan è un fork di Openswan, la ricerca di "strongSwan vs. OpenSwan" dovrebbe darti una vasta gamma di impressioni e significati.

Sia strongSwan che Libreswan hanno le loro origini nel progetto FreeS / WAN. Open / Libreswan sono ancora molto più vicini alla sua origine, dove strongSwan in questi giorni è sostanzialmente una reimplementazione completa.

L'attuale architettura strongSwan è stata progettata inizialmente per IKEv2 quasi 10 anni fa, ma dal momento che 5.x è utilizzata anche per IKEv1. Viene fornito con un design multi-threading estensibile e ben scalabile, focalizzato su IKEv2 e un'autenticazione forte.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.