OpenBSD 项目发布了 OpenIKED 7.3,它是 IKEv2 协议的衍生版本。最初,IKEv2 组件是 OpenBSD IPsec 协议栈的组成部分,但后来被分离成一个独立的、可移植的软件包,现在可以在其他操作系统上使用。OpenIKED 已在 FreeBSD 和 NetBSD 上进行了测试。 macOS 以及各种分布 Linux包括 Arch, DebianFedora 和 Ubuntu该代码使用 C 语言编写,并以 ISC 许可证发布。
OpenIKED 允许您部署基于 IPsec 的虚拟专用网络。 IPsec 堆栈由两个主要协议组成:密钥交换协议 (IKE) 和加密传输协议 (ESP)。 OpenIKED 实现身份验证、配置、密钥交换和安全策略维护等元素,并且用于加密 ESP 流量的协议通常由操作系统内核提供。 OpenIKED 中的身份验证方法可以使用预共享密钥、带有 X.2 证书的 EAP MSCHAPv509 以及 RSA 和 ECDSA 公钥。
在新版本中:
- 增加了对 OpenBSD 中创建的 sec 隧道的支持,以便将 IPsec 流量通过 sec 网络接口路由,而不是在创建安全隧道时使用 SPD(IPsec 安全策略数据库)规则。 VPN 以点对点模式。
- 增加了对指定多个选项的支持 服务器 名称中只有一个网络接口 Linux.
- 增加了使用 libssytemd 库通过 DBUS 配置 DNS 的功能 Linux而不是调用 resolvectl 工具。
- 在平台上 Linux libapparmor 库已从依赖项中移除,现在改为直接访问 /proc 伪文件系统来更改 AppArmor 策略,这样可以在重置权限之前打开文件描述符。
- 已提供处理 CERT 有效负载中完整 x509 证书链的能力。
- 为了提高进程隔离性,调用 fork() 后会重新启动子进程。
- 内部 ibuf API 已针对 OpenBSD 7.4 进行了重新设计。
- 兼容层与最新的 OpenBSD 代码库同步。
- 对 ikectl 使用的 OpenSSL 配置进行了更正,以确保更新过期证书。
来源: opennet.ru
