IPsec untuk Linux - strongSwan vs Openswan vs Libreswan vs other (?) [Ditutup]

16

Mencari IPSec dan Linux yang tak terelakkan akan dihadapkan dengan solusi yang berbeda (lihat di bawah) yang semuanya tampak sangat mirip. Pertanyaannya adalah: di mana bedanya?

Saya menemukan proyek-proyek ini. Semua dari mereka adalah open source, semua aktif (memiliki rilis dalam 3 bulan terakhir) dan mereka semua tampaknya memberikan hal yang sangat mirip.

Juga: apakah ada proyek lain yang tidak saya temui?

( Strongswan vs openswan meminta hal yang sama, tetapi jelas sudah ketinggalan zaman.)

masgo
sumber
Jika Anda mencari fungsionalitas IPSEC dasar, saya akan melihat mana yang memiliki dukungan komunitas paling banyak, dan / atau didukung oleh OS pilihan Anda dalam bentuk paket. Mereka semua dibangun untuk melakukan hal yang serupa, dengan cara yang serupa, dan kecuali Anda memiliki kebutuhan spesifik yang memerlukan fitur yang dimiliki salah satunya, atau keamanan adalah masalah utama (yaitu Anda memiliki kebutuhan serius untuk jaminan keamanan) dan Anda akan terlibat dalam ulasan kode dan kontribusi, saya pikir pendekatan ini adalah pilihan terbaik Anda
TB

Jawaban:

18

Tampak bagi saya bahwa StrongSwan dan LibreSwan adalah dua produk utama yang layak sekarang-a-hari. strongswan vs openswan memiliki satu komentar komprehensif yang bagus dengan beberapa perbandingan antara StrongSwan dan LibreSwan. StrongSwan tampaknya memenangkan argumen di tautan itu.

Tetapi untuk bersikap adil, saya melihat Paul Wouters, yang mewakili proyek LibreSwan di RedHat, berbicara hari ini di sesi Keamanan LinuxCon di Toronto. Dia mengajukan argumen kuat untuk enkripsi oportunistik dan melanjutkan proyek asli dengan garis 'mengenkripsi internet'. Situs Paul adalah https://nohats.ca/ .

Tetapi ada tumpang tindih antara keduanya karena 'ip xfrm' membentuk dasar untuk alat kernel ike / ipsec. Jadi jika Anda membutuhkan barang sertifikat tambahan, maka libreswan atau strongswan diperlukan. Tetapi beberapa hal enkripsi dapat dilakukan dengan tidak ada.

Dari https://lists.strongswan.org/pipermail/dev/2015-April/001321.html :

Libreswan adalah cabang dari openswan, mencari "strongSwan vs OpenSwan" akan memberi Anda berbagai kesan dan makna.

StrongSwan dan Libreswan berasal dari proyek FreeS / WAN. Open / Libreswan masih jauh lebih dekat dengan asalnya, di mana strongSwan hari ini pada dasarnya adalah implementasi ulang yang lengkap.

Arsitektur StrongSwan saat ini dirancang awalnya untuk IKEv2 hampir 10 tahun yang lalu, tetapi karena 5.x juga digunakan untuk IKEv1. Muncul dengan desain multi-threading yang diperluas, dengan skala yang baik, dan memiliki fokus pada IKEv2 dan otentikasi yang kuat.

Raymond Burkholder
sumber