Выпуск OpenIKED 7.3, переносимой реализации протокола IKEv2 для IPsec

Проект OpenBSD опубликовал выпуск проекта OpenIKED 7.3, развивающего реализацию протокола IKEv2. Изначально, компоненты IKEv2 представляли собой неделимую часть IPsec-стека OpenBSD, но затем были выделены в отдельный переносимый пакет и теперь могут использоваться в других операционных системах. Работа OpenIKED проверена во FreeBSD, NetBSD, macOS и различных дистрибутивах Linux, включая Arch, Debian, Fedora и Ubuntu. Код написан на языке Си и распространяется под лицензией ISC.

OpenIKED позволяет развёртывать виртуальные частные сети на базе IPsec. Стек IPsec образован двумя основными протоколами: протоколом обмена ключами (IKE) и протоколом передачи шифрованного трафика (ESP). OpenIKED реализует элементы аутентификации, настройки, обмена ключами и поддержания политик безопасности, а протокол для шифрования трафика ESP обычно предоставляются ядром операционных систем. Из методов аутентификации в OpenIKED могут использовать предварительно установленные ключи (pre-shared), EAP MSCHAPv2 с сертификатом X.509 и открытые ключи RSA и ECDSA.

В новой версии:

  • Добавлена поддержка туннелей sec, созданных в OpenBSD для маршрутизации IPsec-трафика через сетевой интерфейс sec, вместо использования правил SPD (IPsec Security Policy Database) при создании защищённых VPN в режиме точка-точка.
  • Добавлена поддержка указания нескольких серверов имён с одним сетевым интерфейсом в Linux.
  • Добавлена возможность использования библиотеки libssytemd для настройки DNS через DBUS в Linux, вместо вызова утилиты resolvectl.
  • На платформе Linux из зависимостей убрана библиотека libapparmor, вместо которой для изменения политик AppArmor теперь применяется прямое обращение к псевдо ФС /proc, что позволяет открыть файловые дескрипторы до сброса привилегий.
  • Предоставлена возможность обработки полных цепочек сертификатов x509 в payload CERT.
  • Для улучшения изоляции процесса обеспечен перезапуск дочерних процессов после вызова fork().
  • Для OpenBSD 7.4 переработан внутренний API ibuf.
  • Слой для обеспечения совместимости синхронизирован со свежей кодовой базой OpenBSD.
  • Для обеспечения обновления просроченных сертификатов внесены исправления в конфигурацию OpenSSL, используемую в ikectl.

Источник: http://www.opennet.ru/opennews/art.shtml?num=60146