IPsec für Linux - strongSwan vs Openswan vs Libreswan vs other (?) [Geschlossen]

16

Bei der Suche nach IPSec und Linux wird man zwangsläufig mit unterschiedlichen Lösungen konfrontiert (siehe unten), die sich alle sehr ähnlich scheinen. Die Frage ist: Wo ist der Unterschied?

Ich habe diese Projekte gefunden. Alle von ihnen sind Open Source, alle sind aktiv (haben eine Veröffentlichung innerhalb der letzten 3 Monate) und sie scheinen alle sehr ähnliche Dinge anzubieten.

Außerdem: Gibt es andere Projekte, die ich nicht kennengelernt habe?

( strongswan vs openswan fragt dasselbe, ist aber offensichtlich veraltet.)

masgo
quelle
Wenn Sie nach grundlegenden IPSEC-Funktionen suchen, würde ich prüfen, welche die meiste Community-Unterstützung hat und / oder von Ihrem bevorzugten Betriebssystem in Paketform unterstützt wird. Sie sind alle darauf ausgelegt, ähnliche Aufgaben auf ähnliche Weise zu erledigen, und es sei denn, Sie haben ein bestimmtes Bedürfnis, das bestimmte Funktionen erfordert, oder die Sicherheit ist ein Hauptproblem (dh Sie haben ein ernstes Bedürfnis nach Sicherheit), und Sie werden es tun Ich bin der Meinung, dass Sie mit diesem Ansatz am besten zurechtkommen, wenn Sie sich mit Code-Reviews und Beiträgen befassen.
TB

Antworten:

17

Es scheint mir, dass StrongSwan und LibreSwan heutzutage die beiden wichtigsten tragfähigen Produkte sind. strongswan vs openswan hat einen guten, umfassenden Kommentar mit einigen Vergleichen zwischen StrongSwan und LibreSwan. StrongSwan scheint das Argument in diesem Link zu gewinnen.

Aber um ehrlich zu sein, ich habe Paul Wouters, der das LibreSwan-Projekt bei RedHat vertritt, heute auf der Sicherheitssitzung der LinuxCon in Toronto gesehen. Er brachte starke Argumente für eine opportunistische Verschlüsselung vor und setzte die ursprünglichen Projekte fort, indem er das Internet verschlüsselte. Die Website von Paul ist https://nohats.ca/ .

Aber es gibt Überschneidungen zwischen den beiden, weil 'ip xfrm' die Basis für Kernel-Tools von ike / ipsec bildet. Wenn Sie also zusätzliche Zertifikate benötigen, benötigen Sie Libreswan oder Strongswan. Aber einige Verschlüsselungsaufgaben können ohne Vorhandensein durchgeführt werden.

Von https://lists.strongswan.org/pipermail/dev/2015-April/001321.html :

Libreswan ist eine Abzweigung von Openswan. Die Suche nach "strongSwan vs. OpenSwan" sollte Ihnen eine breite Palette von Eindrücken und Bedeutungen vermitteln.

Sowohl strongSwan als auch Libreswan haben ihren Ursprung im FreeS / WAN-Projekt. Open / Libreswan sind noch viel näher an seinem Ursprung, wo strongSwan heutzutage im Grunde genommen eine vollständige Neuimplementierung ist.

Die aktuelle strongSwan-Architektur wurde ursprünglich vor fast 10 Jahren für IKEv2 entwickelt, seit 5.x wird sie jedoch auch für IKEv1 verwendet. Es ist mit einem erweiterbaren, gut skalierbaren Multithreading-Design ausgestattet und konzentriert sich auf IKEv2 und starke Authentifizierung.

Raymond Burkholder
quelle