搜寻IPSec和Linux不可避免地,我们会遇到不同的解决方案(见下文),这些解决方案看起来都非常相似。问题是:区别在哪里?
我找到了这些项目。它们都是开源的,都很活跃(最近 3 个月内发布过版本),而且它们似乎都提供非常相似的东西。
另外:还有其他我没有遇到的项目吗?
(strongswan 与 openswan询问的是同样的问题,但显然已经过时了。
问题:针对某些要求/背景是否有明显的选择,或者它们都可以互换?
不确定性示例:是否需要支持某些客户(android、apple、Microsoft 等)需要(或从中受益匪浅)特定的实现?
不确定性示例:一些实施是否经过审查和测试安全,和或兼容性,和或表现,比其他人更多?
不确定性示例:一些实现是否更稳定,无错误相对于其它的 ?
不确定性示例:它们是否都支持 1pv4-only / ipv6-only / either / both ?
不确定性的例子:它们都支持多个客户端和 dhcp 吗?
不确定性的例子:它们是否都支持相同的身份验证方法?
答案1
在我看来,StrongSwan 和 LibreSwan 是当今两种主要可行产品。 strongswan 与 openswan有一条很好的综合评论,对 StrongSwan 和 LibreSwan 进行了一些比较。StrongSwan 似乎在该链接中赢得了争论。
但公平地说,我看到了代表 RedHat LibreSwan 项目的 Paul Wouters 今天在多伦多 LinuxCon 的安全会议上发表讲话。他提出了强有力的论据,支持机会加密,并继续执行原始项目的“加密互联网”路线。Paul 的网站是https://nohats.ca/。
但两者之间有重叠,因为“ip xfrm”构成了 ike/ipsec 内核工具的基础。因此,如果您需要额外的证书,则需要 libreswan 或 strongswan。但有些加密操作可以在没有它们的情况下执行。
从https://lists.strongswan.org/pipermail/dev/2015-April/001321.html:
Libreswan 是 Openswan 的一个分支,搜索“strongSwan vs. OpenSwan”应该会给你带来广泛的印象和含义。
strongSwan 和 Libreswan 都起源于 FreeS/WAN 项目。Open/Libreswan 仍然更接近其起源,而 strongSwan 如今基本上是一个完整的重新实现。
当前的 strongSwan 架构最初是为 IKEv2 设计的,大约 10 年前,但从 5.x 开始也用于 IKEv1。它具有可扩展、扩展性好的多线程设计,重点关注 IKEv2 和强身份验证。