Die Version OpenIKED 7.1, die das IKEv2-Protokoll implementiert, wurde veröffentlicht und wird vom OpenBSD-Projekt entwickelt. Ursprünglich waren die Komponenten von IKEv2 ein untrennbarer Teil des IPsec-Stacks von OpenBSD, wurden jedoch jetzt in ein separates portables Paket ausgegliedert, das auch in anderen Betriebssystemen verwendet werden kann. Zum Beispiel wurde die Funktionalität von OpenIKED in FreeBSD, NetBSD, macOS und verschiedenen Linux-Distributionen wie Arch, Debian, Fedora und Ubuntu getestet. Der Code ist in der Programmiersprache C geschrieben und wird unter der ISC-Lizenz verbreitet.
OpenIKED ermöglicht die Bereitstellung von virtuellen privaten Netzwerken auf Basis von IPsec. Der IPsec-Stack besteht aus zwei Hauptprotokollen: dem Schlüsselwechselprotokoll (IKE) und dem Protokoll zur Übertragung von verschlüsseltem Datenverkehr (ESP). OpenIKED implementiert Elemente der Authentifizierung, Konfiguration, des Schlüsselaustauschs und der Verwaltung von Sicherheitsrichtlinien, während das Protokoll zur Verschlüsselung des Datenverkehrs, ESP, in der Regel durch den Kern der Betriebssysteme bereitgestellt wird. In OpenIKED können als Authentifizierungsmethoden vorinstallierte Schlüssel (pre-shared), EAP MSCHAPv2 mit einem X.509-Zertifikat sowie RSA- und ECDSA-öffentliche Schlüssel verwendet werden.
In der neuen Version wurde der Befehl ‘ikectl show certinfo’ hinzugefügt, um die geladenen Zertifikate und Zertifizierungsstellen anzuzeigen. Die Unterstützung der IKEv2-Nachrichtenfragmentierung wurde verbessert, die Konfigurationsmöglichkeiten für den Datenstrom erweitert und die Unterstützung für die Isolierung von Hintergrundprozessen über den AppArmor-Mechanismus in Linux hinzugefügt. Außerdem wurden neue Tests eingeführt, um regressionsbedingte Veränderungen auf verschiedenen Plattformen zu identifizieren.
Quelle: opennet.ru
