스트롱스완

strongSwan
스트롱스완
개발자안드레아스 스테펜, 마틴 윌리 & 토바이어스 브루너
안정적 해제
v5.9.4 / 2021년 10월 18일; 3개월(2021-10-18)[1]
리포지토리
기록 위치C
운영 체제Linux, Android, Maemo, FreeBSD, MacOS, Windows
유형IPsec
면허증GNU 일반 공중 사용권
웹사이트www.strongswan.org

StrongSwan은 멀티플랫폼 IPsec 구현이다. 이 프로젝트의 초점은 표준화된 PKCS#11 인터페이스와 TPM 2.0을 통한 스마트카드에 X.509 공개키 인증서를 사용한 강력한 인증 메커니즘과 개인키와 인증서의 선택적 보안 저장이라는 것이다.

개요.

이 프로젝트는 스위스 래퍼스윌있는 응용과학대학의 보안학 교수인 안드레아스 스테펜에 의해 유지된다.[2]

FreeS/WAN 프로젝트의 후손으로, strongSwan은 GPL 라이선스로 계속 발매되고 있다.[3] 인증서 해지 목록OCSP(온라인 인증서 상태 프로토콜)를 지원한다.Certificate Status Protocol)를 지원한다. 고유한 특징은 그룹 멤버십에 기반한 액세스 제어 체계를 구현하기 위해 X.509 속성 인증서를 사용하는 것이다. StrongSwan은 다양한 Microsoft WindowsMacOS VPN 클라이언트를 포함한 다른 IPsec 구현과 상호 운용된다. 현재 버전의 strongSwan은 RFC 7296에 의해 정의된 IKEv2(Internet Key Exchange) 프로토콜을 완전히 구현한다.[4]

특징들

StrongSwan은 IKEv1을 지원하고 IKEv2를 완전하게 구현한다.[4]

IKEv1 및 IKEv2 기능

  • StrongSwan은 플러그 인을 제공하여 기능을 향상시킨다. 사용자는 세 개의 암호화 라이브러리(레거시 [non-US] FreeS/WAN, OpenSSL, gcrypt) 중에서 선택할 수 있다.
  • strongSwan은 openssl 플러그인을 사용하여 IKEv2와 IKEv1 모두에 대해 Ellik Curve Cryptography(ECDH 그룹 및 ECDSA 인증서 및 서명)를 지원하므로 Vista, Win 7, Server 2008 등에서 마이크로소프트의 Suite B 구현과의 상호 운용성이 가능하다.
  • IKEv1 ModeConfig 또는 IKEv2 구성 페이로드 중 하나를 사용하여 하나 이상의 주소 풀에서 VPN 클라이언트에 가상 IP 주소를 자동으로 할당 풀은 휘발성(예: RAM 기반)이거나 SQLite 또는 MySQL 데이터베이스에 저장(리스타임을 구성할 수 있음)
  • ipsec 풀 명령줄 유틸리티를 통해 내부 DNS 및 NBNS 서버와 같은 IP 주소 풀 및 구성 속성을 관리할 수 있다.

IKEv2 전용 기능

  • IKEv2 데몬은 본질적으로 다중 스레드(기본적으로 16개의 스레드)이다.
  • IKEv2 데몬에는 클러스터 IP를 기반으로 하는 고가용성 옵션이 함께 제공되며, 현재 두 호스트로 구성된 클러스터가 로드 공유를 활성화하고 있으며, 다른 호스트에 장애가 발생할 경우 재충전하지 않고 각 호스트가 ESP 및 IKEv2 상태를 인계받을 수 있다.
  • 다음과 같은 EAP 인증 방법이 지원된다: 복수의 [U]S 관리를 포함한 AKA 및 SIMIM 카드, MD5, MSCHAPv2, GTC, TLS, TLS. 사용자 암호 및 사용자 인증서와의 EAP-TLS 기반 EAP-MSCHAPv2 인증은 Windows 7 Accelerate VPN 클라이언트와 상호운용 가능하다.
  • EAP-RADIUS 플러그인은 EAP 패킷을 하나 이상의 AAA 서버(예: FreeRAD)에 릴레이한다.IUS 또는 Active Directory).
  • EAP-TLS와 같은 강력한 상호 인증 방법과 함께 RFC 5998 EAP 전용 인증 지원.
  • RFC 4739 IKEv2 다중 인증 교환 지원.
  • RFC 5685 IKEv2 리디렉션 지원.
  • IKEv2 재키잉 없이 IP 주소 및/또는 네트워크 인터페이스를 동적으로 변경할 수 있는 RFC 4555 이동성 및 멀티호밍 프로토콜(MOBIKE) 지원. MOBIKE는 또한 Windows 7 Accelerate VPN Client에서 지원한다.
  • strongSwan IKEv2 NetworkManager 애플릿은 EAP, X.509 인증서, PKCS#11 스마트카드 기반 인증을 지원한다. 할당된 DNS 서버는 /etc/resolv.conf에서 자동으로 설치되었다가 다시 제거된다.
  • TNC(Trusted Network Connect) 지원. strongSwan VPN 클라이언트는 TNC 클라이언트 및 strongSwan VPN 게이트웨이는 PEP(Policy Execution Point)로, 선택적으로 공동 배치된 TNC 서버로 작동할 수 있다. The following TCG interfaces are supported: IF-IMC 1.2, IF-IMV 1.2, IF-PEP 1.1, IF-TNCCS 1.1, IF-TNCCS 2.0 (RFC 5793 PB-TNC), IF-M 1.0 (RFC 5792 PA-TNC), and IF-MAP 2.0.
  • IKEv2 데몬은 안드로이드 VPN 애플릿에 통합되는 것을 포함하여 안드로이드 운영체제에 완전히 포팅되었다. 그것은 또한 Maemo, FreeBSD 및 MacOS 운영체제에 포팅되었다.

KVM 시뮬레이션 환경

strongSwan 프로젝트의 초점은 표준화된 PKCS#11 인터페이스, strongSwan 인증서 체크리스트 및 온라인 인증서 상태 프로토콜(OCSP)을 사용하여 스마트 카드에 개인 키를 안전하게 저장하는 옵션인 X.509 인증서를 통한 강력한 인증에 있다.

중요한 역량은 X.509 Certificate Attributes의 사용으로, 그룹 멤버십에 기초하여 복잡한 액세스 제어 메커니즘을 활용할 수 있다.

StrongSwan은 KVM을 기반으로 한 시뮬레이션 환경을 제공한다. 8개의 가상 호스트로 구성된 네트워크를 통해 사용자는 다양한 사이트 간 및 로드워리어 VPN 시나리오를 구현할 수 있다.[5]

참고 항목

참조

  1. ^ "Releases · strongswan/strongswan". Retrieved 2021-12-06.
  2. ^ "INS: Steffen Andreas". University of Applied Sciences. Retrieved 2019-03-16.
  3. ^ "strongSwan - Download: License statement". 2019-03-13. Retrieved 2019-03-16.
  4. ^ a b "strongSwan: the OpenSource IPsec-based VPN Solution". 2021-02-26. Retrieved 2021-04-19.
  5. ^ "strongSwan - Test Scenarios". 2013-02-24. Retrieved 2019-03-16.

외부 링크