The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Проект OpenBSD опубликовал OpenIKED 7.1, переносимую реализацию протокола IKEv2 для IPsec

24.05.2022 11:41

Опубликован выпуск OpenIKED 7.1, реализации протокола IKEv2, развиваемой проектом OpenBSD. Изначально компоненты IKEv2 представляли собой неделимую часть IPsec-стека OpenBSD, но теперь выделены в отдельный переносимый пакет и могут использоваться в других операционных системах. Например, работа OpenIKED проверена во FreeBSD, NetBSD, macOS и различных дистрибутивах Linux, включая Arch, Debian, Fedora и Ubuntu. Код написан на языке Си и распространяется под лицензией ISC.

OpenIKED позволяет развёртывать виртуальные частные сети на базе IPsec. Стек IPsec образован двумя основными протоколами: протоколом обмена ключами (IKE) и протоколом передачи шифрованного трафика (ESP). OpenIKED реализует элементы аутентификации, настройки, обмена ключами и поддержания политик безопасности, а протокол для шифрования трафика ESP обычно предоставляются ядром операционных систем. Из методов аутентификации в OpenIKED могут использовать предварительно установленные ключи (pre-shared), EAP MSCHAPv2 с сертификатом X.509 и открытые ключи RSA и ECDSA.

В новой версии добавлена команда 'ikectl show certinfo' для показа загруженных сертификатов и удостоверяющих центров, улучшена поддержка фрагментации сообщений IKEv2, расширены возможности настройки потока, добавлена поддержка изоляции фонового процесса при помощи механизма AppArmor в Linux, добавлены новые тесты для выявления регрессивных изменений на разных платформах.

  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: Выпуск strongSwan 5.4.0, открытой реализации IPsec
  3. OpenNews: Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IKE/IPsec с MD5 и SHA-1
  4. OpenNews: ФБР заподозрили в помещении бэкдора в IPSEC-стек OpenBSD (дополнено)
  5. OpenNews: Проект OpenBSD опубликовал NTP-сервер OpenNTPD 6.8p1
  6. OpenNews: Выпуск OpenBSD 7.1
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/57240-openiked
Ключевые слова: openiked, ipsec, openbsd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (39) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:25, 24/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Есть смысл, или лучше душить сильного гуся?
     
     
  • 2.2, Аноним (2), 12:31, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А чем гусь не устраивает?
     
  • 2.3, Аноним (3), 12:36, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Strong Goose? Это что за VPN такой?
     
     
  • 3.4, Аноним (4), 12:43, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://github.com/strongswan/strongswan
     
     
  • 4.21, Аноним (3), 19:35, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Лебедь же. А ещё минусуют.
     
  • 2.5, Самый Лучший Гусь (?), 12:59, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Не души гуся, души змея, который Wireguard.
     
     
  • 3.9, Mikk (??), 14:48, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не у всех vpn терминируется на linux серверах. На железках нет вайргуарда.
     
     
  • 4.12, Самый Лучший Гусь (?), 16:01, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Не у всех vpn терминируется на linux серверах. На железках нет вайргуарда.

    strongSwan это именно что софтовая реализация. А wireguard есть в том числе и в виде драйвера для виндового ядра NT, если это важно. Даже для FreeBSD и OpenBSD.

     
     
  • 5.16, Ann None (?), 17:04, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    опять каша в головах... не путайте сам ipsec и обмен ключами ike.
     
  • 4.18, Аноним (18), 19:26, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Давным давно уже wireguard умеет и на винде, и на *BSD работать в пространстве ядра.
    Я не говорю о костыле вроде wireguard-go, именно нативно в ядре.
    Есть даже надстройки с динамическими ипами и ключами вроде Tailscale.
    IKEv2 это легасище из конца прошлого века, когда для развертывание впн
    нужен был умелый бородатый админ и дорогущие железки.
     
  • 3.19, Аноним (3), 19:26, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Там нет Питона, он на Сишке в ядре.
     
     
  • 4.25, Самый Лучший Гусь (?), 22:05, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Там нет Питона, он на Сишке в ядре.

    Змей на логотипе https://www.wireguard.com/img/wireguard.svg

     
     
  • 5.30, Аноним (-), 08:00, 25/05/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это хороший, правильный змей, не надо его душить. По сравнению с IKE и вообще IPSec это просто "work of art" (c). Кодовая база в цать раз меньше, настраивать многократно проще, работает лучше, не встревая на фаерах и натах постоянно.
     
  • 3.27, кек (?), 22:16, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Расскажи как тот же банальный ospf через него протянуть да так, чтобы роутилось нормально (а не заталкивались принудительно все подсети из conf файла).
     
     
  • 4.38, Аноним (38), 18:14, 26/05/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Очевидно, что не нужно использовать ospf там, где ему не место. Babel используй.
     
     
  • 5.39, Аноним (39), 07:36, 27/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Возвращайся с этим советом, когда оно будет поддерживаться железом, а не половиной софтварных роутеров.
     
  • 2.8, Аноним (8), 13:58, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    лебедя
     
  • 2.10, Full Master (?), 15:47, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Swan это же лебедь, а не гусь.
     
     
  • 3.14, Аноним (14), 17:00, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    ещё скажи, что CorelDraw это не "горелые дрова"
     
  • 3.15, Аноним (15), 17:03, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    какие бермуды такие треугольники.
     
  • 3.22, Аноним (18), 20:02, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    На грилле разница не особая
     
  • 2.17, a_kusb (ok), 17:36, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати именно этот протокол помогает мне душить гуся и пользоваться хентай сайтами. В Vpn клиенте появляется что-то про ike.
     
     
  • 3.26, Аноним (18), 22:05, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    s/гуся/червя/g исправил
     
     
  • 4.32, a_kusb (ok), 08:02, 25/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > s/гуся/червя/g исправил

    Хочешь, я покажу тебе своего червя?

     
     
  • 5.34, microsoft (?), 13:05, 25/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ох... ну показывай уже.
     
     
  • 6.35, a_kusb (ok), 14:01, 25/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Ох... ну показывай уже.

    http://i.sakh.com/b/7/e/7e4f74db65d9effd87efc60389ba068f.jpg

     
  • 2.37, Анон1212 (?), 06:25, 26/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Дебиан проще и лучше и давно это может как и центось, имхо. Хотя идея хорошая
     

  • 1.6, Аноним (6), 12:59, 24/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как я намучался настраивать ike2 на винде. От сборки к сборке лотерея, заработает или нет.

    >Например, работа OpenIKED проверена во FreeBSD, NetBSD, macOS и различных дистрибутивах Linux, включая Arch, Debian, Fedora и Ubuntu.

    Чет про illumos, Openindiana молчат. Думаю тоже можно?

     
     
  • 2.7, Аноним (7), 13:56, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да как обычно, проверяют только в openbsd, во всех остальных как придётся. Поэтому, видимо, даже в линуксе только с переменным успехом.
     

  • 1.11, Thasi (?), 15:49, 24/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чем оно лучше? Кто облазывался расскажи как оно?
     
     
  • 2.13, Аноним (6), 16:14, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На win да и на mac ike2 лучше чем тот же openvpn, быстрее.
     
  • 2.20, Аноним (3), 19:31, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Чем что?
     

  • 1.23, Аноним (-), 21:55, 24/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А вайргад там у них есть?
     
     
  • 2.24, Аноним (18), 22:03, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В OpenBSD есть. А вот OpenIKED совсем из другой оперы.
    Они же не исправляют то что уже прямыми руками сделано из коробки.
    OpenSSL был дырявый, форкнули в LibreSSL, тоже самое с IKE.
     
     
  • 3.28, Аноним (7), 00:27, 25/05/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Прямыми руками? С libressl они получили ещё более дырявое и, когда окончательно окончательно очевидно, что обделались, ото всюду кикнули это дрянь. Тут так же, выходит?
     
     
  • 4.29, Аноним (18), 00:51, 25/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Истории уязвимостей сравним с 2014 по 2022 openssl vs libressl?
    Кто именно "выкинул"? Единственный момент может быть производительность,
    а т.к. многие наработки из libre перешли в open, убрали кучу ненужных дефолтов,
    то проект то сих пор живёт но уже не имеет такого смысла как в после-heatbleed мире.

    Это был просто один из примеров. OpenNTPD, OpenBGPD, Xenocara - так же.

     
     
  • 5.36, Anonymouz (?), 23:38, 25/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >OpenNTPD

    Шлак третей категории, не может нормально время установить при старте системы. выкинут фсад и заменён на chrony

    > OpenBGPD

    а это то зачем надо при наличии bird2 ? NIH синдром во все поля.

     
  • 3.31, Аноним (-), 08:02, 25/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да нашли что форкать...
     

  • 1.33, microsoft (?), 13:04, 25/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В чем отличие от strongswan?
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру