StrongSwan

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Strongswan
Logo von StrongSwan
Basisdaten
Entwickler Andreas Steffen, Martin Willi & Tobias Brunner, HSR
Aktuelle Version 5.2.1
(19. Oktober 2014)
Betriebssystem Linux, Android, Maemo, FreeBSD, OS X, Windows
Kategorie VPN, IPsec
Lizenz GPL (Freie Software)
Deutschsprachig nein
www.strongswan.org

Strongswan (eigene Schreibweise „strongSwan“, vom englischen strong und swan frei übersetzt für „starker Schwan“) ist eine vollständige IPSec-Umsetzung für den Linux-Kern 2.6 und 3.x.

Geschichte und weitere Einzelheiten[Bearbeiten]

Als einer der Nachfolger des FreeS/WAN-Projekts steht Strongswan unter der GNU General Public License. Das Projekt wird von Andreas Steffen, Professor für Sicherheit und Kommunikation an der Hochschule für Technik Rapperswil (Schweiz), betreut. Softwarearchitekt und Hauptentwickler des IKEv2 Keying Daemons ist Martin Willi. NAT Traversal für IKEv2 wurde von Tobias Brunner und Daniel Röthlisberger beigesteuert.

Der Fokus des Strongswan-Projektes liegt auf der starken Authentifizierung mittels X.509-Zertifikaten, sowie der optionalen sicheren Speicherung von privaten Schlüsseln auf Chipkarten unter Zuhilfenahme der standardisierten PKCS#11-Schnittstelle. Strongswan unterstützt Zertifikatsperrlisten und das Online Certificate Status Protocol (OCSP).

Ein einzigartiges Leistungsmerkmal ist der Gebrauch von X.509-Attributszertifikaten, die es erlauben, komplexe Zugriffskontrollmechanismen auf der Basis von Gruppenmitgliedschaften zu realisieren.

Strongswan ist jedoch einfach einzustellen und arbeitet reibungslos mit fast allen anderen IPsec-Umsetzungen (oder -Implementierungen) zusammen, insbesondere auch mit unterschiedlichen VPN-Produkten für die Betriebssystemplattformen Windows und Mac.

Strongswan unterstützt auch vollständig die neue Ausgabe (englisch version) 2 des Internet Key Exchange Protocol (IKEv2), welches durch den RFC 4306[1] beschrieben wird und einen IPsec-Tunnel durch einen Austausch von nur vier Meldungen aufbaut. Das herkömmliche IKEv1-Protokoll benötigt dafür neun Meldungen. Mit der Ausgabe 4.3 werden auch Multiple Authentication Exchanges (gemäß RFC 4739[2]) unterstützt. Tobias Brunner hat die Erweiterung IKEv2 Mediation Extension geschrieben.[3]

Topologie[Bearbeiten]

StrongSwan UML Topologie.png

Simulationsumgebung[Bearbeiten]

Strongswan kann in einer einfach aufzusetzenden Simulationsumgebung, die auf User Mode Linux (UML) beruht, ausgetestet werden. Ein Netzwerk von acht virtuellen Rechnern erlaubt es dem Benutzer, eine Vielzahl von VPN-Szenarien nachzuvollziehen. Es wird auch praktisch demonstriert, wie IPsec-Verbindungen mit Hilfe des NAT Traversal Protokolls (nach RFC 3947[4]) über einen oder zwei NAT-Router hinweg aufgesetzt werden können.

alternative IPSec-Umsetzungen[Bearbeiten]

  • openSwan
  • LibreSwan

Weblinks[Bearbeiten]

Belege[Bearbeiten]

  1. RFC 4306: Internet Key Exchange (IKEv2) Protocol (englisch) – Seite bei der IETF; Stand: 12.2005 (Abgerufen am: 2. Mai 2013)
  2. RFC 4739: Multiple Authentication Exchanges in the Internet Key Exchange (IKEv2) Protocol (englisch) – Seite bei der IETF; Stand: 11.2006 (Abgerufen am: 2. Mai 2013)
  3. IKEv2 Mediation Extension: draft-brunner-ikev2-mediation-00 (englisch) – Seite bei der IETF; Stand: 18. Oktober 2008 (Abgerufen am: 2. Mai 2013)
  4. RFC 3947: Negotiation of NAT-Traversal in the IKE (englisch) – Seite bei der IETF; Stand: 1.2005 (Abgerufen am: 2. Mai 2013)