cisne fuerte

strongSwan es una implementación de IPsec multiplataforma . El proyecto se centra en mecanismos de autenticación mediante certificados de clave pública X.509 y almacenamiento opcional de claves privadas y certificados en tarjetas inteligentes a través de una interfaz PKCS#11 y en TPM 2.0.

Descripción general

El proyecto es mantenido por Andreas Steffen, profesor emérito de Seguridad en Comunicaciones en la Universidad de Ciencias Aplicadas de Rapperswil , Suiza.

Como descendiente del proyecto FreeS/WAN , strongSwan sigue publicándose bajo la licencia GPL . ^[2] Admite listas de revocación de certificados y el Protocolo de estado de certificados en línea (OCSP). Una característica única es el uso de certificados de atributos X.509 para implementar esquemas de control de acceso basados ​​en membresías de grupos. StrongSwan interopera con otras implementaciones de IPsec , incluidos varios clientes VPN de Microsoft Windows y macOS . La versión actual de strongSwan implementa completamente el protocolo de intercambio de claves de Internet (IKEv2) definido por RFC 7296. ^[3]

Características

strongSwan admite IKEv1 e implementa completamente IKEv2. ^[3]

Características de IKEv1 e IKEv2

• strongSwan ofrece complementos que mejoran su funcionalidad. El usuario puede elegir entre tres bibliotecas de cifrado (FreeS/WAN heredada [no estadounidense], OpenSSL y gcrypt).
• Al utilizar el complemento openssl, strongSwan admite criptografía de curva elíptica (grupos ECDH y certificados y firmas ECDSA) tanto para IKEv2 como para IKEv1, de modo que es posible la interoperabilidad con la implementación de Suite B de Microsoft en Vista, Win 7, Server 2008, etc.
• Asignación automática de direcciones IP virtuales a clientes VPN desde uno o varios grupos de direcciones mediante la carga útil IKEv1 ModeConfig o IKEv2 Configuration. Los grupos son volátiles (es decir, basados ​​en RAM) o almacenados en una base de datos SQLite o MySQL (con tiempos de concesión configurables).
• La utilidad de línea de comandos del grupo ipsec permite la gestión de grupos de direcciones IP y atributos de configuración como servidores DNS internos y NBNS.

Funciones exclusivas de IKEv2

• El demonio IKEv2 es inherentemente multiproceso (16 subprocesos de forma predeterminada).
• El demonio IKEv2 viene con una opción de alta disponibilidad basada en la IP del clúster , donde actualmente un clúster de dos hosts comparte la carga de forma activa y cada host puede hacerse cargo de los estados ESP e IKEv2 sin volver a generar claves si el otro host falla.
• Se admiten los siguientes métodos de autenticación EAP: AKA y SIM, incluida la gestión de varias tarjetas [U]SIM, MD5, MSCHAPv2, GTC, TLS, TTLS. La autenticación EAP-MSCHAPv2 basada en contraseñas de usuario y EAP-TLS con certificados de usuario son interoperables con el cliente VPN Agile de Windows 7.
• El complemento EAP-RADIUS retransmite paquetes EAP a uno o varios servidores AAA (por ejemplo, FreeRADIUS o Active Directory).
• Compatibilidad con la autenticación solo EAP RFC 5998 junto con métodos de autenticación mutua sólidos como, por ejemplo, EAP-TLS.
• Compatibilidad con intercambios de autenticación múltiples IKEv2 RFC 4739.
• Soporte de redirección IKEv2 RFC 5685.
• Compatibilidad con el protocolo RFC 4555 Mobility and Multihoming (MOBIKE), que permite cambios dinámicos de la dirección IP y/o la interfaz de red sin necesidad de volver a generar claves IKEv2. MOBIKE también es compatible con el cliente VPN Agile de Windows 7.
• El subprograma IKEv2 NetworkManager de strongSwan admite la autenticación basada en EAP, certificado X.509 y tarjeta inteligente PKCS#11. Los servidores DNS asignados se instalan y eliminan automáticamente en /etc/resolv.conf.
• Compatibilidad con Trusted Network Connect (TNC). Un cliente VPN strongSwan puede actuar como un cliente TNC y una puerta de enlace VPN strongSwan como un punto de aplicación de políticas (PEP) y, opcionalmente, como un servidor TNC ubicado en el mismo lugar. Se admiten las siguientes interfaces TCG : IF-IMC 1.2, IF-IMV 1.2, IF-PEP 1.1, IF-TNCCS 1.1, IF-TNCCS 2.0 (RFC 5793 PB-TNC), IF-M 1.0 (RFC 5792 PA-TNC) e IF-MAP 2.0.
• El demonio IKEv2 se ha adaptado completamente al sistema operativo Android, incluida la integración en la aplicación VPN de Android. También se ha adaptado a los sistemas operativos Maemo, FreeBSD y macOS.

Entorno de simulación KVM

El proyecto strongSwan se centra en la autenticación fuerte mediante certificados X.509, así como en el almacenamiento seguro opcional de claves privadas en tarjetas inteligentes utilizando la interfaz estandarizada PKCS#11, listas de verificación de certificados strongSwan y el Protocolo de estado de certificado en línea (OCSP).

Una capacidad importante es el uso de atributos de certificado X.509, lo que le permite utilizar mecanismos de control de acceso complejos en función de la pertenencia a grupos. ^{[ cita requerida ]}

strongSwan incluye un entorno de simulación basado en KVM . Una red de ocho hosts virtuales permite al usuario crear una multitud de escenarios de VPN de sitio a sitio y de viajero frecuente . ^[4]

Véase también

• Portal de software libre y de código abierto

• Libreswan
• Cisne abierto

Referencias

1. "Lanzamientos · strongswan/strongswan". GitHub . Consultado el 25 de julio de 2024 .
2. "strongSwan - Descargar: Declaración de licencia". 2019-03-13 . Consultado el 2019-03-16 .
3. "strongSwan: la solución VPN basada en IPsec de código abierto". 26 de febrero de 2021. Consultado el 19 de abril de 2021 .
4. "strongSwan - Escenarios de prueba". 24 de febrero de 2013. Consultado el 7 de septiembre de 2023 .

Enlaces externos

• Sitio web oficial
• strongSwan en GitHub
• Documentación de strongSwan