Wydanie OpenIKED 7.3, przenośnej implementacji protokołu IKEv2 dla IPsec

Projekt OpenBSD wydał OpenIKED 7.3, rozwinięcie protokołu IKEv2. Początkowo komponenty IKEv2 były integralną częścią stosu IPsec OpenBSD, ale później zostały wydzielone do osobnego, przenośnego pakietu i mogą być teraz używane w innych systemach operacyjnych. OpenIKED został przetestowany na FreeBSD, NetBSD i… macOS i różne dystrybucje Linux, w tym Arch, Debian, Fedora i UbuntuKod napisano w języku C i rozpowszechniano na licencji ISC.

OpenIKED umożliwia wdrażanie wirtualnych sieci prywatnych opartych na protokole IPsec. Stos IPsec składa się z dwóch głównych protokołów: protokołu wymiany kluczy (IKE) i protokołu transportu szyfrowanego (ESP). OpenIKED implementuje elementy uwierzytelniania, konfiguracji, wymiany kluczy i utrzymywania polityki bezpieczeństwa, a protokół szyfrowania ruchu ESP jest zwykle dostarczany przez jądro systemu operacyjnego. Metody uwierzytelniania w OpenIKED mogą wykorzystywać klucze współdzielone, EAP MSCHAPv2 z certyfikatem X.509 oraz klucze publiczne RSA i ECDSA.

W nowej wersji:

  • Dodano obsługę tuneli bezpieczeństwa utworzonych w OpenBSD w celu kierowania ruchu IPsec przez interfejs sieciowy bezpieczeństwa, zamiast stosowania reguł SPD (IPsec Security Policy Database) podczas tworzenia bezpiecznych tuneli. VPN w trybie punkt-punkt.
  • Dodano obsługę określania wielu serwery nazwy z jednym interfejsem sieciowym w Linux.
  • Dodano możliwość korzystania z biblioteki libssytemd w celu konfiguracji DNS za pomocą DBUS w Linux, zamiast wywoływać narzędzie resolvectl.
  • Platforma Linux Bibliotekę libapparmor usunięto z zależności. Zamiast tego do zmiany zasad AppArmor wykorzystywany jest teraz bezpośredni dostęp do pseudo-systemu plików /proc, co pozwala na otwieranie deskryptorów plików przed zresetowaniem uprawnień.
  • Udostępniono możliwość przetwarzania pełnych łańcuchów certyfikatów x509 w ładunku CERT.
  • Aby poprawić izolację procesów, procesy potomne są uruchamiane ponownie po wywołaniu funkcji fork().
  • Wewnętrzne API ibuf zostało przeprojektowane dla OpenBSD 7.4.
  • Warstwa kompatybilności jest zsynchronizowana z najnowszą bazą kodu OpenBSD.
  • Wprowadzono poprawki do konfiguracji OpenSSL używanej przez ikectl, aby zapewnić odnawianie wygasłych certyfikatów.

Źródło: opennet.ru

Kup niezawodny hosting dla stron z ochroną DDoS, serwery VPS VDS 🔥 Kup niezawodny hosting stron internetowych z ochroną DDoS, serwery VPS VDS | ProHoster