IPsec para Linux - strongSwan vs Openswan vs Libreswan vs otro (?) [Cerrado]

Cerrado. Esta pregunta está fuera de tema . Actualmente no está aceptando respuestas.

¿Quieres mejorar esta pregunta? Actualice la pregunta para que sea sobre el tema de Falla del servidor.

Cerrado hace 3 años .

La búsqueda de IPSec y Linux inevitablemente se enfrentará a diferentes soluciones (ver más abajo) que parecen bastante similares. La pregunta es: ¿ dónde está la diferencia?

Encontré estos proyectos. Todos ellos son de código abierto, todos están activos (tienen un lanzamiento en los últimos 3 meses) y todos parecen proporcionar cosas muy similares.

Además: ¿hay otros proyectos que no encontré?

( Strongswan vs openswan pregunta lo mismo, pero obviamente está desactualizado).

vpn ipsec openswan strongswan masgo
fuente

Si está buscando la funcionalidad básica de IPSEC, me gustaría ver cuál tiene el mayor apoyo de la comunidad y / o es compatible con su sistema operativo preferido en forma de paquete. Todos están diseñados para hacer cosas similares, de manera similar, y a menos que tenga una necesidad específica que requiera características que tenga una de estas, o la seguridad sea un problema principal (es decir, tenga una gran necesidad de garantía de seguridad) y va a participar en la revisión y contribución del código, creo que este enfoque es su mejor opción.

Respuestas:

Me parece que StrongSwan y LibreSwan son los dos principales productos viables hoy en día. strongswan vs openswan tiene un buen comentario completo con algunas comparaciones entre StrongSwan y LibreSwan. StrongSwan parece ganar el argumento en ese enlace.

Pero para ser justos, vi a Paul Wouters, quien representa el proyecto LibreSwan en RedHat, hablando hoy en la sesión de Seguridad de LinuxCon en Toronto. Él presentó argumentos sólidos para el cifrado oportunista y continuó con el proyecto original por la línea de "cifrar Internet". El sitio de Paul es https://nohats.ca/ .

Pero hay una superposición entre los dos porque 'ip xfrm' forma la base de las herramientas del núcleo de ike / ipsec. Entonces, si necesita material de certificado adicional, entonces se necesitan libreswan o strongswan. Pero algunas cosas de cifrado pueden realizarse sin ninguno de los presentes.

De https://lists.strongswan.org/pipermail/dev/2015-April/001321.html :

Libreswan es una bifurcación de Openswan, la búsqueda de "strongSwan vs. OpenSwan" debería darle una amplia gama de impresiones y significados.

Tanto strongSwan como Libreswan tienen su origen en el proyecto FreeS / WAN. Open / Libreswan todavía están mucho más cerca de su origen, donde strongSwan en estos días es básicamente una reimplementación completa.

La arquitectura actual de strongSwan se diseñó inicialmente para IKEv2 hace casi 10 años, pero desde 5.x también se usa para IKEv1. Viene con un diseño de subprocesamiento múltiple extensible y bien escalable, y se centra en IKEv2 y una autenticación fuerte.

Raymond Burkholder
fuente