Projekt OpenBSD wydał OpenIKED 7.3, rozwinięcie protokołu IKEv2. Początkowo komponenty IKEv2 były integralną częścią stosu IPsec OpenBSD, ale później zostały wydzielone do osobnego, przenośnego pakietu i mogą być teraz używane w innych systemach operacyjnych. OpenIKED został przetestowany na FreeBSD, NetBSD i… macOS i różne dystrybucje Linux, w tym Arch, Debian, Fedora i UbuntuKod napisano w języku C i rozpowszechniano na licencji ISC.
OpenIKED umożliwia wdrażanie wirtualnych sieci prywatnych opartych na protokole IPsec. Stos IPsec składa się z dwóch głównych protokołów: protokołu wymiany kluczy (IKE) i protokołu transportu szyfrowanego (ESP). OpenIKED implementuje elementy uwierzytelniania, konfiguracji, wymiany kluczy i utrzymywania polityki bezpieczeństwa, a protokół szyfrowania ruchu ESP jest zwykle dostarczany przez jądro systemu operacyjnego. Metody uwierzytelniania w OpenIKED mogą wykorzystywać klucze współdzielone, EAP MSCHAPv2 z certyfikatem X.509 oraz klucze publiczne RSA i ECDSA.
W nowej wersji:
- Dodano obsługę tuneli bezpieczeństwa utworzonych w OpenBSD w celu kierowania ruchu IPsec przez interfejs sieciowy bezpieczeństwa, zamiast stosowania reguł SPD (IPsec Security Policy Database) podczas tworzenia bezpiecznych tuneli. VPN w trybie punkt-punkt.
- Dodano obsługę określania wielu serwery nazwy z jednym interfejsem sieciowym w Linux.
- Dodano możliwość korzystania z biblioteki libssytemd w celu konfiguracji DNS za pomocą DBUS w Linux, zamiast wywoływać narzędzie resolvectl.
- Platforma Linux Bibliotekę libapparmor usunięto z zależności. Zamiast tego do zmiany zasad AppArmor wykorzystywany jest teraz bezpośredni dostęp do pseudo-systemu plików /proc, co pozwala na otwieranie deskryptorów plików przed zresetowaniem uprawnień.
- Udostępniono możliwość przetwarzania pełnych łańcuchów certyfikatów x509 w ładunku CERT.
- Aby poprawić izolację procesów, procesy potomne są uruchamiane ponownie po wywołaniu funkcji fork().
- Wewnętrzne API ibuf zostało przeprojektowane dla OpenBSD 7.4.
- Warstwa kompatybilności jest zsynchronizowana z najnowszą bazą kodu OpenBSD.
- Wprowadzono poprawki do konfiguracji OpenSSL używanej przez ikectl, aby zapewnić odnawianie wygasłych certyfikatów.
Źródło: opennet.ru
