IPsec pour Linux - strongSwan vs Openswan vs Libreswan vs other (?) [Fermé]


16

La recherche d' IPSec et de Linux sera inévitablement confrontée à différentes solutions (voir ci-dessous) qui semblent toutes assez similaires. La question est: où est la différence?

J'ai trouvé ces projets. Tous sont open source, tous sont actifs (ont une sortie au cours des 3 derniers mois) et ils semblent tous fournir des choses très similaires.

Aussi: y a-t-il d'autres projets que je n'ai pas rencontrés?

( strongswan vs openswan demande la même chose, mais est évidemment obsolète.)


Si vous recherchez des fonctionnalités IPSEC de base, je chercherais celle qui a le plus de support communautaire et / ou est prise en charge par votre système d'exploitation préféré sous forme de package. Ils sont tous conçus pour faire des choses similaires, de manière similaire, et à moins que vous ayez un besoin spécifique qui nécessite des fonctionnalités que l'une d'elles a, ou que la sécurité soit un problème principal (c'est-à-dire que vous avez un besoin sérieux de caution) et que vous allez engager dans la révision du code et la contribution, je pense que cette approche est votre meilleur pari.
TB

Réponses:


17

Il me semble que StrongSwan et LibreSwan sont les deux principaux produits viables de nos jours. strongswan vs openswan a un bon commentaire complet avec quelques comparaisons entre StrongSwan et LibreSwan. StrongSwan semble gagner l'argument dans ce lien.

Mais pour être honnête, j'ai vu Paul Wouters, qui représente le projet LibreSwan chez RedHat, parler aujourd'hui lors de la session de sécurité de LinuxCon à Toronto. Il a avancé des arguments solides pour le cryptage opportuniste et a poursuivi le projet original par la ligne de «cryptage Internet». Le site de Paul est https://nohats.ca/ .

Mais il y a chevauchement entre les deux parce que «ip xfrm» constitue la base des outils du noyau de ike / ipsec. Donc, si vous avez besoin de certificats supplémentaires, alors libreswan ou strongswan sont nécessaires. Mais certains trucs de chiffrement peuvent être effectués sans aucun des deux.

Sur https://lists.strongswan.org/pipermail/dev/2015-April/001321.html :

Libreswan est une fourchette d'Openwan, la recherche de "strongSwan vs OpenSwan" devrait vous donner un large éventail d'impressions et de significations.

StrongSwan et Libreswan trouvent leurs origines dans le projet FreeS / WAN. Open / Libreswan est encore beaucoup plus proche de son origine, où strongSwan est de nos jours une réimplémentation complète.

L'architecture strongSwan actuelle a été conçue initialement pour IKEv2 il y a près de 10 ans, mais depuis 5.x est également utilisée pour IKEv1. Il est livré avec une conception multi-threading extensible et bien évolutive, et se concentre sur IKEv2 et une authentification forte.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.