сильныйЛебедь

сильныйЛебедь
Разработчик(и)	Андреас Штеффен, Мартин Вилли и Тобиас Бруннер
Стабильная версия	v5.9.14 / 19 марта 2024 г .; 4 месяца назад
Репозиторий	github .с /strongswan /strongswan ;
Написано в	С
Операционная система	Linux , Android , Maemo , FreeBSD , macOS , Windows
Предшественник	FreeS/WAN
Тип	IPsec
Лицензия	Стандартная общественная лицензия GNU
Веб-сайт	сильный лебедь .org

StrongSwan — это многоплатформенная реализация IPsec . Основное внимание в проекте уделяется аутентификации механизмам X.509 с использованием сертификатов открытых ключей и дополнительному хранению закрытых ключей и сертификатов на смарт-картах через интерфейс PKCS#11 и в TPM 2.0.

Обзор

Проект поддерживается Андреасом Штеффеном, почетным профессором безопасности в коммуникациях Университета прикладных наук в Рапперсвиле , Швейцария.

Являясь потомком проекта FreeS/WAN , StrongSwan продолжает выпускаться под лицензией GPL . ^[2] Он поддерживает списки отзыва сертификатов и протокол статуса онлайн-сертификатов (OCSP). Уникальной особенностью является использование X.509 сертификатов атрибутов для реализации схем контроля доступа на основе членства в группах. StrongSwan взаимодействует с другими реализациями IPsec , включая различные клиенты Microsoft Windows и macOS VPN- . Текущая версия StrongSwan полностью реализует протокол обмена ключами в Интернете (IKEv2), определенный RFC 7296. ^[3]

Функции

StrongSwan поддерживает IKEv1 и полностью реализует IKEv2. ^[3]

Функции IKEv1 и IKEv2

StrongSwan предлагает плагины, расширяющие его функциональность. Пользователь может выбрать одну из трех криптографических библиотек (устаревшая [не для США] FreeS/WAN, OpenSSL и gcrypt).
Используя плагин openssl, StrongSwan поддерживает криптографию с эллиптической кривой (группы ECDH, сертификаты и подписи ECDSA) как для IKEv2, так и для IKEv1, так что возможна совместимость с реализацией Microsoft Suite B в Vista, Win 7, Server 2008 и т. д.
Автоматическое назначение виртуальных IP-адресов VPN-клиентам из одного или нескольких пулов адресов с использованием полезных данных IKEv1 ModeConfig или IKEv2 Configuration. Пулы либо энергозависимы (т.е. основаны на оперативной памяти), либо хранятся в базе данных SQLite или MySQL (с настраиваемым временем аренды).
Утилита командной строки пула ipsec позволяет управлять пулами IP-адресов и атрибутами конфигурации, такими как внутренние серверы DNS и NBNS.

Функции только IKEv2

Демон IKEv2 по своей сути является многопоточным (по умолчанию 16 потоков).
Демон IKEv2 поставляется с опцией высокой доступности, основанной на IP-адресе кластера , где в настоящее время кластер из двух хостов выполняет активное распределение нагрузки, и каждый хост может принимать состояния ESP и IKEv2 без повторного ввода ключей в случае сбоя другого хоста.
Поддерживаются следующие методы аутентификации EAP: AKA и SIM, включая управление несколькими [U]SIM-картами, MD5, MSCHAPv2, GTC, TLS, TTLS. Аутентификация EAP-MSCHAPv2 на основе паролей пользователей и EAP-TLS с сертификатами пользователей совместима с гибким VPN-клиентом Windows 7.
Плагин EAP-RADIUS передает пакеты EAP на один или несколько серверов AAA (например, FreeRADIUS или Active Directory).
Поддержка аутентификации только EAP RFC 5998 в сочетании с методами строгой взаимной аутентификации, такими как, например, EAP-TLS.
Поддержка обмена множественной аутентификацией RFC 4739 IKEv2.
Поддержка перенаправления RFC 5685 IKEv2.
Поддержка протокола мобильности и множественной адресации RFC 4555 (MOBIKE), который позволяет динамически изменять IP-адрес и/или сетевой интерфейс без смены ключей IKEv2. MOBIKE также поддерживается клиентом Agile VPN для Windows 7.
Апплет StrongSwan IKEv2 NetworkManager поддерживает EAP, сертификат X.509 и аутентификацию на основе смарт-карт PKCS#11. Назначенные DNS-серверы автоматически устанавливаются и снова удаляются в файле /etc/resolv.conf.
Поддержка Trusted Network Connect (TNC). Клиент StrongSwan VPN может действовать как клиент TNC, а VPN-шлюз StrongSwan — как точка применения политики (PEP) и, при необходимости, как совмещенный сервер TNC. следующие интерфейсы TCG Поддерживаются : IF-IMC 1.2, IF-IMV 1.2, IF-PEP 1.1, IF-TNCCS 1.1, IF-TNCCS 2.0 (RFC 5793 PB-TNC), IF-M 1.0 (RFC 5792 PA-TNC) и IF-MAP 2.0.
Демон IKEv2 полностью портирован на операционную систему Android, включая интеграцию в апплет Android VPN. Он также был портирован на операционные системы Maemo, FreeBSD и macOS.

Среда моделирования KVM

Основное внимание в проекте StrongSwan уделяется строгой аутентификации с помощью сертификатов X.509, а также дополнительному безопасному хранению закрытых ключей на смарт-картах с использованием стандартизированного интерфейса PKCS#11, контрольных списков сертификатов StrongSwan и протокола онлайн-статуса сертификатов. (ОКСП).

Важной возможностью является использование атрибутов сертификата X.509, что позволяет использовать сложные механизмы контроля доступа на основе членства в группах. ^{[ нужна ссылка ]}

StrongSwan поставляется со средой моделирования на основе KVM . Сеть из восьми виртуальных хостов позволяет пользователю реализовать множество сценариев Site-to-Site и Roadwarrior VPN . ^[4]

См. также

Ссылки

^ «Релиз ·strongswan/strongswan» . Гитхаб . Проверено 25 июля 2024 г.
^ «strongSwan — Загрузка: Положение о лицензии» . 13 марта 2019 г. Проверено 16 марта 2019 г.
^ Jump up to: ^а ^б «strongSwan: решение VPN с открытым исходным кодом на базе IPsec» . 26 февраля 2021 г. Проверено 19 апреля 2021 г.
^ «strongSwan — Тестовые сценарии» . 24 февраля 2013 г. Проверено 7 сентября 2023 г.

Внешние ссылки

[1] «Релиз ·strongswan/strongswan» . Гитхаб . Проверено 25 июля 2024 г.

[2] «strongSwan — Загрузка: Положение о лицензии» . 13 марта 2019 г. Проверено 16 марта 2019 г.

[features-3] Jump up to: ^а ^б «strongSwan: решение VPN с открытым исходным кодом на базе IPsec» . 26 февраля 2021 г. Проверено 19 апреля 2021 г.

[4] «strongSwan — Тестовые сценарии» . 24 февраля 2013 г. Проверено 7 сентября 2023 г.

[1]

[2]

[3]

[4]