Выпуск OpenIKED 7.3, переносимой реализации протокола IKEv2 для IPsec

20.11.2023 08:30

Проект OpenBSD опубликовал выпуск проекта OpenIKED 7.3, развивающего реализацию протокола IKEv2. Изначально, компоненты IKEv2 представляли собой неделимую часть IPsec-стека OpenBSD, но затем были выделены в отдельный переносимый пакет и теперь могут использоваться в других операционных системах. Работа OpenIKED проверена во FreeBSD, NetBSD, macOS и различных дистрибутивах Linux, включая Arch, Debian, Fedora и Ubuntu. Код написан на языке Си и распространяется под лицензией ISC.

OpenIKED позволяет развёртывать виртуальные частные сети на базе IPsec. Стек IPsec образован двумя основными протоколами: протоколом обмена ключами (IKE) и протоколом передачи шифрованного трафика (ESP). OpenIKED реализует элементы аутентификации, настройки, обмена ключами и поддержания политик безопасности, а протокол для шифрования трафика ESP обычно предоставляются ядром операционных систем. Из методов аутентификации в OpenIKED могут использовать предварительно установленные ключи (pre-shared), EAP MSCHAPv2 с сертификатом X.509 и открытые ключи RSA и ECDSA.

В новой версии:

Добавлена поддержка туннелей sec, созданных в OpenBSD для маршрутизации IPsec-трафика через сетевой интерфейс sec, вместо использования правил SPD (IPsec Security Policy Database) при создании защищённых VPN в режиме точка-точка.
Добавлена поддержка указания нескольких серверов имён с одним сетевым интерфейсом в Linux.
Добавлена возможность использования библиотеки libssytemd для настройки DNS через DBUS в Linux, вместо вызова утилиты resolvectl.
На платформе Linux из зависимостей убрана библиотека libapparmor, вместо которой для изменения политик AppArmor теперь применяется прямое обращение к псевдо ФС /proc, что позволяет открыть файловые дескрипторы до сброса привилегий.
Предоставлена возможность обработки полных цепочек сертификатов x509 в payload CERT.
Для улучшения изоляции процесса обеспечен перезапуск дочерних процессов после вызова fork().
Для OpenBSD 7.4 переработан внутренний API ibuf.
Слой для обеспечения совместимости синхронизирован со свежей кодовой базой OpenBSD.
Для обеспечения обновления просроченных сертификатов внесены исправления в конфигурацию OpenSSL, используемую в ikectl.

исправить +10 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/60146-openiked

Ключевые слова: openiked, ipsec

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (27)

1.3, Аноним (3), 09:57, 20/11/2023 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Им вообще кто-то пользуется в реальном мире? Или это чисто OpenBSD штука?

2.5, похнапоха. (?), 10:36, 20/11/2023 [^] [^^] [^^^] [ответить]	+/–
На локалхосте никто.

3.6, крокодил мимо.. (?), 10:53, 20/11/2023 [^] [^^] [^^^] [ответить]

+1 +/–

> На локалхосте никто.

ты не поверишь..
https://www.mail-archive.com/misc@openbsd.org/msg177756.html

irl, вместе с isakmpd, - оч годная штука.. "it works"©, что характерно..

4.23, glad_valakas (?), 21:50, 21/11/2023 [^] [^^] [^^^] [ответить]	+/–
> https://www.mail-archive.com/misc@openbsd.org/msg177756.html автор мог завести простой обычный IPv6 хоть через туннельного брокера хоть через провайдера, все равно придется хардендить каждый хост. но нормальные герои всегда идут в обход.

3.7, Бывалый смузихлёб (?), 11:33, 20/11/2023 [^] [^^] [^^^] [ответить]	+/–
*даже на локалхосте - никто Судя по обилию комментов

2.10, Аноним (10), 15:06, 20/11/2023 [^] [^^] [^^^] [ответить]	+4 +/–
За границей маленького корпоративного линукс-мирка есть целый огромный мир.

3.11, не родной носитель (?), 16:52, 20/11/2023 [^] [^^] [^^^] [ответить]	+3 +/–
Вселенная OpenBSD!

4.20, Аноним (20), 21:53, 20/11/2023 [^] [^^] [^^^] [ответить]	+2 +/–
Полагаю, аноним имел в виду Windows и MacOS.

2.13, User (??), 17:47, 20/11/2023 [^] [^^] [^^^] [ответить]	+/–
То ли дело - (современный) Linux! Возьмём один esp, приколотим к нему гвоздями единственный алгоритм шифрования и назовём это супер-дупер-кернел-vpn-wireguard! А все остальное - ну, что там этот ваш дiдунский Ike делает и ещё немного сверху - вы там сами, сами, все сами!

3.15, Аноним (15), 20:04, 20/11/2023 [^] [^^] [^^^] [ответить]	+/–
esp : Что за протокол?

4.16, User (??), 20:08, 20/11/2023 [^] [^^] [^^^] [ответить]	+/–
Encapsulated Security Payload жи. Рядом еще AH есть (был), но про него не будем ).

3.26, Аноним (26), 13:50, 22/11/2023 [^] [^^] [^^^] [ответить]	+/–
Зачем в ядро пихать и протокол обмена ключами? В юзерспейсе ему(им) самое место, поскольку пропускная способность для них некритична.

4.27, User (??), 14:18, 22/11/2023 [^] [^^] [^^^] [ответить]	+/–
> Зачем в ядро пихать и протокол обмена ключами? В юзерспейсе ему(им) самое > место, поскольку пропускная способность для них некритична. Я вот тоже недоумеваю - но сделали.

5.28, Аноним (28), 00:23, 23/11/2023 [^] [^^] [^^^] [ответить]	+/–
Wireguard в ядре только поток шифрованных полезных данных, без протокола обмена ключами.

6.29, User (??), 12:24, 23/11/2023 [^] [^^] [^^^] [ответить]	+/–
> Wireguard в ядре только поток шифрованных полезных данных, без протокола обмена ключами. "Танк секретный, ученые могут и не знать!"(Ц): "▪ We make use of Trevor Perrin’s Noise Protocol Framework – noiseprotocol.org ▪ Developed with much feedback from the WireGuard development. ▪ Custom written very specific implementation of NoiseIK for the kernel"

2.22, OpenEcho (?), 00:34, 21/11/2023 [^] [^^] [^^^] [ответить]	+/–
> Им вообще кто-то пользуется в реальном мире? IPsec - ом то ? Да он #1 там где его раз утвердили как секьюрно и пипец, медицина та по большому счету ничего друго признавать не хочет, но при при всем при этом ключики все еще 1024, но зато как написанно - "секьюрно" !

1.8, YetAnotherOnanym (ok), 12:36, 20/11/2023 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
> возможность использования библиотеки (...) вместо вызова утилиты Верной дорогой идёте, товарищи. Так и надо было делать с самого начала. А вот то, что там вообще был "вызов утилиты" - очень нехороший признак.

2.12, Аноним (12), 17:46, 20/11/2023 [^] [^^] [^^^] [ответить]	+/–
Интересно, а вот некий esr в своей книжке «The Art of Unix Programming» пишет, что shellout — это абсолютно приемлимый способ взаимодействия с ОС, в духе философии юникс. Но с другой стороны, кто это esr вообще такой, чтобы его книжки читать. Любой опеннетный эксперд лучше разбирается как правильно программы писать.

3.19, Аноним (19), 21:43, 20/11/2023 [^] [^^] [^^^] [ответить]	–1 +/–
У этого esr даже TLS на сайте нет. А его утилита reposurgeon, которую я очень котирую, стала вываливаться с ошибками после переписывания её на goвно.

1.9, Аноним (9), 13:03, 20/11/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Помню что намучался с настройкой IKEv2 в самоизоляции на Винде и на маке. Не представляю если глючит также.

2.17, Ra (??), 20:08, 20/11/2023 [^] [^^] [^^^] [ответить]	+/–
А с чем мучался?

1.18, Аноним (18), 21:40, 20/11/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>IPsec VPN здорового человека.

2.24, Аноним (24), 09:45, 22/11/2023 [^] [^^] [^^^] [ответить]	+/–
Overengineering

1.21, Аноним (21), 22:55, 20/11/2023 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Вот и первая замена IP. Насколько я понимаю протокол работает выше сетевого уровня, нона самом деле это не проблема при масштабировании использования. Чем больше будут использовать новый протокол, тем выше вероятность его глобальной замены, тем не менее не гарантия. Моё персональное мнение.

2.25, Аноним (24), 09:47, 22/11/2023 [^] [^^] [^^^] [ответить]	+/–
Если выше сетевого уровня, то это не замена IP.

3.30, Аноним (30), 00:10, 25/11/2023 [^] [^^] [^^^] [ответить]	+/–
Нет, как-раз таки замена (миграция если угодно ближе к английскому). Для замены сетевого протокола как-раз необходимо делать протокол выше, что и демонстрирует тот же IPsec. Он фактически реализует IP, но используется протокол выше него.

4.31, Аноним (30), 00:17, 25/11/2023 [^] [^^] [^^^] [ответить]	+/–
...ну и нижний протокол, на котором работает верхний со временем можно убирать, если в сети массово поддерживается новый, так как особых проблем оно не составит.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: