IPsec for Linux - strongSwan vs Openswan vs Libreswan vs other(?)
搜尋IPSec和Linux不可避免地會遇到不同的解決方案(見下文),這些解決方案看起來都非常相似。問題是:區別在哪裡?
我找到了這些項目。它們都是開源的,都是活躍的(在過去 3 個月內發布過),而且它們似乎都提供了非常相似的東西。
另外:還有其他我沒有遇到的項目嗎?
(strongswan vs openswan的要求相同,但顯然已經過時了。)
問題:對於某些要求/上下文是否有明顯的選擇,或者它們都可以互換?
不確定性範例:需要支持某些客戶端(android、apple、Microsoft、..)是否需要(或從中受益)特定的實現?
不確定性範例:是否對某些實現進行了比其他實現更多的安全性、和/或兼容性、和/或性能審查和測試?
不確定性範例:某些實現是否比其他實現更穩定且無錯誤?
不確定性範例:它們是否都支持 1pv4-only / ipv6-only / either / both?
不確定性範例:它們是否都支持多個客戶端和 dhcp ?
不確定性範例:它們是否都支持相同的身份驗證方法?
在我看來,StrongSwan 和 LibreSwan 是當今兩種主要的可行產品。 strongswan vs openswan在 StrongSwan 和 LibreSwan 之間進行了一些比較,有一個很好的綜合評論。StrongSwan 似乎在該連結中贏得了爭論。
但公平地說,我看到代表 RedHat 的 LibreSwan 項目的 Paul Wouters 今天在多倫多的 LinuxCon 安全會議上發表講話。他為機會加密提出了強有力的論據,並通過“加密網際網路”繼續進行原始項目。Paul 的網站是https://nohats.ca/。
但兩者之間存在重疊,因為 ‘ip xfrm’ 構成了 ike/ipsec 核心工具的基礎。因此,如果您需要額外的證書內容,則需要 libreswan 或 strongswan。但是一些加密的東西可以在兩者都不存在的情況下執行。
來自https://lists.strongswan.org/pipermail/dev/2015-April/001321.html:
Libreswan 是 Openswan 的一個分支,搜尋“strongSwan vs. OpenSwan”應該會給你廣泛的印象和含義。
strongSwan 和 Libreswan 都起源於 FreeS/WAN 項目。Open/Libreswan 仍然更接近它的起源,如今的 strongSwan 基本上是一個完整的重新實現。
目前的 strongSwan 架構最初是在大約 10 年前為 IKEv2 設計的,但因為 5.x 也用於 IKEv1。它具有可擴展、可擴展的多執行緒設計,並專注於 IKEv2 和強身份驗證。