web-dev-qa-db-fra.com

IPsec pour Linux - strongSwan vs Openswan vs Libreswan vs other (?)

En cherchant IPSec et Linux on sera forcément confronté à différentes solutions (voir ci-dessous) qui semblent toutes assez similaires. La question est: où est la différence?

J'ai trouvé ces projets. Tous sont open source, tous sont actifs (ont une sortie dans les 3 derniers mois) et ils semblent tous fournir des choses très similaires.

Aussi: y a-t-il d'autres projets que je n'ai pas rencontrés?

( strongswan vs openswan demande la même chose, mais est évidemment obsolète.)

16
masgo

Il me semble que StrongSwan et LibreSwan sont les deux principaux produits viables de nos jours. strongswan vs openswan a un bon commentaire complet avec quelques comparaisons entre StrongSwan et LibreSwan. StrongSwan semble gagner l'argument dans ce lien.

Mais pour être honnête, j'ai vu Paul Wouters, qui représente le projet LibreSwan chez RedHat, parler aujourd'hui lors de la session de sécurité de LinuxCon à Toronto. Il a mis en place des arguments solides pour le cryptage opportuniste et a poursuivi le projet original par la ligne de "cryptage Internet". Le site de Paul est https://nohats.ca/ .

Mais il y a chevauchement entre les deux parce que "ip xfrm" constitue la base des outils du noyau de ike/ipsec. Donc, si vous avez besoin de certificats supplémentaires, alors libreswan ou strongswan sont nécessaires. Mais certains trucs de chiffrement peuvent être effectués sans aucun des deux.

De https://lists.strongswan.org/pipermail/dev/2015-April/001321.html :

Libreswan est une fourchette d'Openwan, la recherche de "strongSwan vs OpenSwan" devrait vous donner un large éventail d'impressions et de significations.

StrongSwan et Libreswan trouvent leurs origines dans le projet FreeS/WAN. Open/Libreswan est encore beaucoup plus proche de son origine, où strongSwan est aujourd'hui une réimplémentation complète.

L'architecture strongSwan actuelle a été conçue initialement pour IKEv2 il y a près de 10 ans, mais depuis 5.x est également utilisée pour IKEv1. Il est livré avec une conception multi-threading extensible et bien évolutive, et se concentre sur IKEv2 et une authentification forte.

18
Raymond Burkholder