IPsec para Linux - strongSwan vs Openswan vs Libreswan vs outro (?) [Fechado]

Fechadas. Esta questão está fora de tópico . No momento, não está aceitando respostas.

Deseja melhorar esta pergunta? Atualize a pergunta para que ela esteja no tópico sobre Falha no servidor.

Fechado há 3 anos .

A busca por um IPSec e Linux inevitavelmente será confrontada com diferentes soluções (veja abaixo) que parecem bastante semelhantes. A questão é: onde está a diferença?

Eu encontrei esses projetos. Todos eles são de código aberto, todos ativos (têm um lançamento nos últimos 3 meses) e todos parecem fornecer coisas muito semelhantes.

Além disso: existem outros projetos que não encontrei?

( strongswan vs openswan está perguntando o mesmo, mas está obviamente desatualizado.)

vpn ipsec openswan strongswan masgo
fonte

Se você estiver procurando pela funcionalidade básica do IPSEC, verificaria qual deles tem mais suporte da comunidade e / ou é suportado pelo seu sistema operacional preferido no formato de pacote. Eles são todos criados para fazer coisas semelhantes, de maneiras semelhantes, e a menos que você tenha uma necessidade específica que exija recursos que um deles possua ou a segurança seja um problema primário (ou seja, você tenha uma necessidade séria de garantia de segurança) e você irá Se envolver na revisão e na contribuição do código, acho que essa abordagem é sua melhor aposta.

Respostas:

Parece-me que o StrongSwan e o LibreSwan são os dois principais produtos viáveis atualmente. strongswan vs openswan tem um bom comentário abrangente com algumas comparações entre StrongSwan e LibreSwan. O StrongSwan parece vencer o argumento nesse link.

Mas, para ser justo, vi Paul Wouters, que representa o projeto LibreSwan no RedHat, falando hoje na sessão de Segurança do LinuxCon em Toronto. Ele apresentou fortes argumentos para a criptografia oportunista e continuou com o projeto original pela linha de 'criptografia da Internet'. O site de Paul é https://nohats.ca/ .

Mas há sobreposição entre os dois porque o 'ip xfrm' forma a base das ferramentas de kernel do ike / ipsec. Portanto, se você precisar de certificado extra, libreswan ou strongswan são necessários. Mas algumas coisas de criptografia podem ser executadas sem nenhum dos presentes.

De https://lists.strongswan.org/pipermail/dev/2015-April/001321.html :

Libreswan é uma bifurcação do Openswan, procurando por "strongSwan vs. OpenSwan" deve fornecer uma ampla gama de impressões e significados.

O strongSwan e o Libreswan têm suas origens no projeto FreeS / WAN. O Open / Libreswan ainda está muito mais próximo de sua origem, onde o strongSwan atualmente é basicamente uma reimplementação completa.

A arquitetura strongSwan atual foi projetada inicialmente para o IKEv2 há quase 10 anos, mas desde que o 5.x também é usado para o IKEv1. Ele vem com um design multithreading extensível e bem dimensionável, e tem seu foco no IKEv2 e na autenticação forte.

Raymond Burkholder
fonte