форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск strongSwan 5.4.0, открытой реализации IPsec"	+/–
Сообщение от opennews on 24-Мрт-16, 00:00
Представлен (https://strongswan.org/blog/2016/03/22/strongswan-5.4.0-rele...) выпуск strongSwan 5.4.0 (https://strongswan.org/), реализации IPsec для Linux, FreeBSD, Android, Windows и  OS X. strongSwan является форком FreeS/WAN, одной из первых реализаций IPsec в Linux. В пятой версии strongSwan был переписан практически с нуля с оглядкой на современные стандарты, что выгодно отличает его от других форков FreeS/WAN. IPsec обычно используется для создания VPN-сетей и представляет собой  набор протоколов для реализации защищенной передачи данных по протоколу IP. IPsec (https://ru.wikipedia.org/wiki/IPsec) состоит из двух частей: протокола обмена ключами IKE и протокола передачи шифрованного трафика ESP. strongSwan реализует протоколы IKEv1 и IKEv2, а реализация ESP находится в ядре ОС, благодаря чему достигается высокая производительность работы VPN. Если ядро не поддерживает ESP (как, например, в случае Android), strongSwan использует внутреннюю реализацию в пространстве пользователя. Основные изменения (https://wiki.strongswan.org/projects/strongswan/wiki/Changel...): -  Поддержка перенаправления IKEv2. Если сервер перегружен или находится на обслуживании, он может перенаправить клиентов на другой IKE-сервер. -  Исправлена передача виртуальных IPv6, что потребовало изменения формата передачи. strongSwan может принимать сообщения в старом формате, но передача параметров в новом формате на старые версии клиентов может вызвать проблемы. -  Возможность управлять сервисом с помощью протокола vici из программ на Perl. Ранее данная функциональность была реализована для Python и Ruby. -  При использовании в Linux появилась возможность перенаправлять трафик в VPN только для определенных портов. Из-за ограничений ядра можно указывать исключительно такие диапазоны портов, которые можно представить в виде маски. Данную функцию можно настраивать в том числе и с помощью интерфейса vici. -  Изменены параметры шифрования, которые strongSwan предлагает по умолчанию. Теперь это симметричное шифрование со 128-битным ключом, группы DH ecp256 или modp3072 и SHA2 для подписи. Для корректной работы новых настроек нужно ядро версии 2.6.33 или новее. -  Группы DH отображаются в выводе ipsec statusall. -  Идентификаторы SPI теперь отображаются с использованием сетевого порядка байт -  Интерфейсы vici и swanctl включены по умолчанию. Различные улучшения в swanctl. -  Из поставки убрана библиотека libhydra, за взаимодействие с ядром теперь отвечает libcharon. URL: https://strongswan.org/blog/2016/03/22/strongswan-5.4.0-rele... Новость: https://www.opennet.ru/opennews/art.shtml?num=44100
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"	+2 +/–
Сообщение от Анончег on 24-Мрт-16, 00:00
>> Изменены параметры шифрования, которые strongSwan предлагает по умолчанию. Теперь это симметричное шифрование со 128-битным ключом Надо же какие строгие лебеди пошли
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	12. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"	+/–
	Сообщение от h31 (ok) on 24-Мрт-16, 22:21
	Раньше там 256 было.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	21. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"	+/–
	Сообщение от Аноним (??) on 03-Апр-16, 01:22
	оно и щас есть. в LibreSwan ;)
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

2. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"	–1 +/–
Сообщение от neon1ks (ok) on 24-Мрт-16, 06:41
Что то уж мало комментариев)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"	+8 +/–
	Сообщение от Аноним (??) on 24-Мрт-16, 07:10
	просто мало кто разбирается в IPsec)
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"	+1 +/–
	Сообщение от Пахом on 24-Мрт-16, 12:59
	Главное что бы сам автор в нем разбирался.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"	+2 +/–
	Сообщение от Нанобот (ok) on 24-Мрт-16, 10:54
	предлагаю начать холивар "strongswan vs openvpn"
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	10. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"	+2 +/–
	Сообщение от Я (??) on 24-Мрт-16, 18:21
	Тогда уж лучше strongSwan vs енот
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	13. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"	+2 +/–
	Сообщение от Аноним (??) on 24-Мрт-16, 22:39
	сравнивать теплое с мягким? ну-ну
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

4. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"	+/–
Сообщение от 1 (??) on 24-Мрт-16, 10:45
А тот IPSec - который во бздях - он совсем не открытый ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	9. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"	+/–
	Сообщение от Аноним (??) on 24-Мрт-16, 18:19
	В ядре прослойка для прохода ipsec транспорта открыта, для обмена ключами и трафиком можно установить тоже StrongSWAN
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"	+/–
Сообщение от Аноним (??) on 24-Мрт-16, 14:54
Подскажите нубу, чем оно лучше/хуже OpenVPN?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"	+9 +/–
	Сообщение от h31 (ok) on 24-Мрт-16, 22:18
	Если говорить вообще про IPsec, то плюсы: - Работает изкоробки в Windows/OS X/Android/etc, не надо ничего ставить. - В Linux работает очень быстро, почти не грузит процессор. На моем одноплатнике с криптоускорителем тянет 100 мбит/c, при этом загрузка процессора - 5%. Новые Xeon-ы тянут вплоть до 10 гбит/с. - Поддерживается серьёзными железками от Cisco и ко. - Шустрый и безопасный AES-GCM (ЕМНИП в OpenVPN его пока что не осилили). Минусы: - В случае strongSwan возиться с конфигом. Частично компенсируется тем, что есть куча примеров на оф. сайте, плюс есть плагин для NM, который заводится с полпинка. - Иногда может хуже проходит через NAT, особенно IKEv1. Работает только поверх UDP. - Есть две версии протокола (IKEv1 и IKEv2), они настраиваются немного по-разному. - Немного криво организована маршрутизация. Если глубоко не копаться - особо и не заметно.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	14. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"	–1 +/–
	Сообщение от iBat on 25-Мрт-16, 13:34
	Хорошо растолковали. Спасибо. Даже до меня дошло.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	15. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"	+/–
	Сообщение от Аноним (??) on 26-Мрт-16, 08:01
	Подсказываю, IPSec это расширение протокола IP, т.е. работает  он на сетевом уровне OSI-модели. OpenVPN - это сервер прикладного уровня, который использует TLS/SSL, в который он заворачивает пользовательский трафик. Короче, разница между strongswan и openvpn такая же, как между IP и SMTP/HTTP/FTP.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	18. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"	+/–
	Сообщение от h31 (ok) on 26-Мрт-16, 19:36
	В последнее время ESP обычно заворачивают в UDP. Чуточку меньше пропускной способности, зато в сто раз меньше проблем с файрволлами.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"	–3 +/–
Сообщение от Тузя (ok) on 26-Мрт-16, 12:42
Комментаторы выше уже описали различия между openvpn и ipsec. Хочу только добавить, что openvpn бывает еще и вреден когда вы внутри vpn хотите гонять уже зашифрованный траффик. Например, если у вас внутри vpn происходят исключительно SSL/TLS-соединения, то это порождает паразитную криптонагрузку. Тратите мощности и канал для того чтобы зашифровать что-то дважды. То есть если вы используете vpn преимущественно для маршрутизации, то и ipsec, и openvpn могут оказаться вредны. В таком случае есть ipip, GRE и прочее pptp.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	19. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"	+/–
	Сообщение от h31 (ok) on 26-Мрт-16, 19:41
	Во-первых, это очень редкая ситуация, когда 100% трафика идет поверх TLS. Во-вторых, GRE не прячем адрес источника и получателя. Такая инфа может выдать злоумышленнику структуру сети.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Выпуск strongSwan 5.4.0, открытой реализации IPsec"	+/–
Сообщение от Аноним (??) on 01-Апр-16, 12:32
Народ, кто замерял пропускную способность openvpn vs ipsec, подскажите. Есть шифрованные каналы на openvpn, но деградация пропускной способности на 100 Мб/с на 1-ядерном целероне огромна - канал сужается до 27 Мб/с. Если использовать core2duo, то получается выжать где-то 84 Мб/с. Есть мысль сделать всё на ipsec. Вопрос в том а будет ли ощутимый выигрыш?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема