Выпуск OpenIKED 7.3, переносимой реализации протокола IKEv2 для IPsec
Проект OpenBSD опубликовал выпуск проекта OpenIKED 7.3, развивающего реализацию протокола IKEv2. Изначально, компоненты IKEv2 представляли собой неделимую часть IPsec-стека OpenBSD, но затем были выделены в отдельный переносимый пакет и теперь могут использоваться в других операционных системах. Работа OpenIKED проверена во FreeBSD, NetBSD, macOS и различных дистрибутивах Linux, включая Arch, Debian, Fedora и Ubuntu. Код написан на языке Си и распространяется под лицензией ISC.
OpenIKED позволяет развёртывать виртуальные частные сети на базе IPsec. Стек IPsec образован двумя основными протоколами: протоколом обмена ключами (IKE) и протоколом передачи шифрованного трафика (ESP). OpenIKED реализует элементы аутентификации, настройки, обмена ключами и поддержания политик безопасности, а протокол для шифрования трафика ESP обычно предоставляются ядром операционных систем. Из методов аутентификации в OpenIKED могут использовать предварительно установленные ключи (pre-shared), EAP MSCHAPv2 с сертификатом X.509 и открытые ключи RSA и ECDSA.
В новой версии:
Добавлена поддержка туннелей sec, созданных в OpenBSD для маршрутизации IPsec-трафика через сетевой интерфейс sec, вместо использования правил SPD (IPsec Security Policy Database) при создании защищённых VPN в режиме точка-точка.
Добавлена поддержка указания нескольких серверов имён с одним сетевым интерфейсом в Linux.
- Добавлена возможность использования библиотеки libssytemd для настройки DNS через DBUS в Linux, вместо вызова утилиты resolvectl.
На платформе Linux из зависимостей убрана библиотека libapparmor, вместо которой для изменения политик AppArmor теперь применяется прямое обращение к псевдо ФС /proc, что позволяет открыть файловые дескрипторы до сброса привилегий.
Предоставлена возможность обработки полных цепочек сертификатов x509 в payload CERT.
Для улучшения изоляции процесса обеспечен перезапуск дочерних процессов после вызова fork ().
Для OpenBSD 7.4 переработан внутренний API ibuf.
Слой для обеспечения совместимости синхронизирован со свежей кодовой базой OpenBSD.
Для обеспечения обновления просроченных сертификатов внесены исправления в конфигурацию OpenSSL, используемую в ikectl.
Источник: http://www.opennet.ru/opennews/art.shtml? num=60146
© OpenNet