วิกิพีเดียภาษาไทย
กลับไปหน้าบทความ

อ่าน 2 นาที

หงส์ที่แข็งแกร่ง

strongSwan เป็นการใช้งาน IPsecแบบหลายแพลตฟอร์มโครงการนี้มุ่งเน้นไปที่กลไกการตรวจสอบสิทธิ์ โดยใช้ ใบรับรองกุญแจสาธารณะX.

หงส์ที่แข็งแกร่ง

หงส์ที่แข็งแกร่ง
นักพัฒนาแอนเดรียส สเตฟเฟน, มาร์ติน วิลลี และ โทเบียส บรุนเนอร์
เวอร์ชันเสถียร
v6.0.2 / 14 กรกฎาคม 2025 [ 1 ] ( 14 กรกฎาคม 2025 )
เขียนเป็นซี
ระบบปฏิบัติการลินุกซ์ , แอนดรอยด์ , มาเอโม , ฟรีบีเอสดี , แมคออสตา , วินโดวส์
ผู้มาก่อนฟรีเอส/วัน
พิมพ์ไอพีเซค
ใบอนุญาตใบอนุญาตสาธารณะทั่วไปของ GNU
เว็บไซต์strongswan .org
ที่เก็บข้อมูล
  • github.com/strongswan/strongswan

strongSwan เป็นการใช้งาน IPsecแบบหลายแพลตฟอร์มโครงการนี้มุ่งเน้นไปที่กลไกการตรวจสอบสิทธิ์ โดยใช้ ใบรับรองกุญแจสาธารณะX.509 และการจัดเก็บกุญแจส่วนตัวและใบรับรองบนสมาร์ทการ์ดผ่าน อินเทอร์เฟซ PKCS#11และบนTPM 2.0 (เป็นทางเลือก)

ภาพรวม

โครงการนี้ได้รับการดูแลโดย Andreas Steffen ซึ่งเป็นศาสตราจารย์กิตติคุณด้านความปลอดภัยในการสื่อสารจากมหาวิทยาลัยวิทยาศาสตร์ประยุกต์ แห่ง เมือง Rapperswilประเทศสวิตเซอร์แลนด์

strongSwan เป็นทายาทของ โครงการ FreeS/WANและยังคงเผยแพร่ภายใต้ใบอนุญาตGPL [ 2 ]โดยรองรับรายการเพิกถอนใบรับรองและโปรโตคอลสถานะใบรับรองออนไลน์ (OCSP) คุณสมบัติที่โดดเด่นคือการใช้ใบรับรองคุณลักษณะX.509 เพื่อใช้ รูปแบบ การควบคุมการเข้าถึงตามการเป็นสมาชิกกลุ่ม strongSwan สามารถทำงานร่วมกับ การใช้งาน IPsec อื่นๆ ได้ รวมถึง ไคลเอ็นต์ VPN ของ Microsoft WindowsและmacOSเวอร์ชันปัจจุบันของ strongSwan ใช้ โปรโตคอล Internet Key Exchange (IKEv2) ที่กำหนดโดย RFC 7296 อย่างสมบูรณ์ [ 3 ]

คุณสมบัติ

strongSwan รองรับ IKEv1 และใช้งาน IKEv2 อย่างสมบูรณ์[ 3 ]

คุณสมบัติ IKEv1 และ IKEv2

  • strongSwan มีปลั๊กอินที่ช่วยเพิ่มฟังก์ชันการทำงาน ผู้ใช้สามารถเลือกใช้ไลบรารีการเข้ารหัสได้สามแบบ (FreeS/WAN รุ่นเก่า [นอกสหรัฐอเมริกา], OpenSSL และ gcrypt)
  • ด้วยการใช้ปลั๊กอิน openssl ทำให้ strongSwan รองรับการเข้ารหัสแบบวงรี (กลุ่ม ECDH และใบรับรองและลายเซ็น ECDSA) ทั้งสำหรับ IKEv2 และ IKEv1 ซึ่งทำให้สามารถทำงานร่วมกับระบบ Suite B ของ Microsoft บน Vista, Win 7, Server 2008 เป็นต้น ได้
  • การกำหนดที่อยู่ IP เสมือนให้กับไคลเอนต์ VPN โดยอัตโนมัติจากกลุ่มที่อยู่หนึ่งกลุ่มหรือหลายกลุ่ม โดยใช้เพย์โหลด IKEv1 ModeConfig หรือ IKEv2 Configuration กลุ่มที่อยู่เหล่านี้อาจเป็นแบบชั่วคราว (เช่น จัดเก็บใน RAM) หรือจัดเก็บไว้ในฐานข้อมูล SQLite หรือ MySQL (โดยสามารถกำหนดระยะเวลาการเช่าได้)
  • ยู ทิลิตี้บรรทัดคำสั่ง ipsec poolช่วยให้สามารถจัดการกลุ่มที่อยู่ IP และคุณลักษณะการกำหนดค่าต่างๆ เช่น เซิร์ฟเวอร์ DNS ภายในและเซิร์ฟเวอร์ NBNS ได้

คุณสมบัติเฉพาะของ IKEv2

  • โดยพื้นฐานแล้ว daemon IKEv2 ทำงานแบบมัลติเธรด (16 เธรดโดยค่าเริ่มต้น)
  • โปรแกรม IKEv2 มาพร้อมกับตัวเลือกความพร้อมใช้งานสูง (High-Availability) ที่อิงตามคลัสเตอร์ IPซึ่งปัจจุบันคลัสเตอร์ที่มีโฮสต์สองตัวจะทำการแบ่งโหลดอย่างแข็งขัน และแต่ละโฮสต์สามารถรับช่วงสถานะ ESP และ IKEv2 ได้โดยไม่ต้องสร้างคีย์ใหม่หากโฮสต์อีกตัวล้มเหลว
  • ระบบรองรับวิธีการตรวจสอบสิทธิ์ EAP ต่อไปนี้: AKA และ SIM รวมถึงการจัดการซิมการ์ด [U]SIM หลายใบ, MD5, MSCHAPv2, GTC, TLS, TTLS การตรวจสอบสิทธิ์ EAP-MSCHAPv2 โดยใช้รหัสผ่านผู้ใช้ และ EAP-TLS โดยใช้ใบรับรองผู้ใช้สามารถทำงานร่วมกันได้กับไคลเอ็นต์ Agile VPN สำหรับ Windows 7
  • ปลั๊กอิน EAP-RADIUS จะส่งต่อแพ็กเก็ต EAP ไปยังเซิร์ฟเวอร์ AAA หนึ่งตัวหรือหลายตัว (เช่น FreeRADIUS หรือ Active Directory)
  • รองรับการตรวจสอบสิทธิ์แบบ EAP-Only ตามมาตรฐาน RFC 5998 ร่วมกับวิธีการตรวจสอบสิทธิ์ร่วมกันที่แข็งแกร่ง เช่น EAP-TLS
  • รองรับมาตรฐาน RFC 4739 IKEv2 Multiple Authentication Exchanges
  • รองรับการเปลี่ยนเส้นทาง IKEv2 ตามมาตรฐาน RFC 5685
  • รองรับโปรโตคอล Mobility and Multihoming Protocol (MOBIKE) ตามมาตรฐาน RFC 4555 ซึ่งอนุญาตให้เปลี่ยนแปลงที่อยู่ IP และ/หรืออินเทอร์เฟซเครือข่ายได้แบบไดนามิกโดยไม่ต้องใช้ IKEv2 rekeying นอกจากนี้ MOBIKE ยังได้รับการสนับสนุนโดยไคลเอ็นต์ Agile VPN สำหรับ Windows 7 อีกด้วย
  • แอปเพล็ต strongSwan IKEv2 NetworkManager รองรับการตรวจสอบสิทธิ์แบบ EAP, ใบรับรอง X.509 และสมาร์ทการ์ด PKCS#11 เซิร์ฟเวอร์ DNS ที่กำหนดจะถูกติดตั้งและลบออกโดยอัตโนมัติในไฟล์ /etc/resolv.conf
  • รองรับTrusted Network Connect (TNC) ไคลเอ็นต์ VPN ของ strongSwan สามารถทำหน้าที่เป็นไคลเอ็นต์ TNC และเกตเวย์ VPN ของ strongSwan สามารถทำหน้าที่เป็นจุดบังคับใช้นโยบาย (PEP) และอาจทำหน้าที่เป็นเซิร์ฟเวอร์ TNC ที่อยู่ร่วมกันได้ อินเทอร์เฟซ TCGที่รองรับมีดังนี้: IF-IMC 1.2, IF-IMV 1.2, IF-PEP 1.1, IF-TNCCS 1.1, IF-TNCCS 2.0 (RFC 5793 PB-TNC), IF-M 1.0 (RFC 5792 PA-TNC) และ IF-MAP 2.0
  • โปรแกรม IKEv2 daemon ได้ถูกพอร์ตไปยังระบบปฏิบัติการ Android อย่างสมบูรณ์แล้ว รวมถึงการรวมเข้ากับแอปพลิเคชัน VPN ของ Android นอกจากนี้ยังได้ถูกพอร์ตไปยังระบบปฏิบัติการ Maemo, FreeBSD และ macOS ด้วย

สภาพแวดล้อมการจำลอง KVM

โครงการ strongSwan มุ่งเน้นไปที่การตรวจสอบสิทธิ์ที่แข็งแกร่งโดยใช้ใบรับรอง X.509 รวมถึงการจัดเก็บคีย์ส่วนตัวอย่างปลอดภัยบนสมาร์ทการ์ดโดยใช้ส่วนต่อประสาน PKCS#11 มาตรฐาน รายการตรวจสอบใบรับรอง strongSwan และโปรโตคอลสถานะใบรับรองออนไลน์ (OCSP)

ความสามารถที่สำคัญอย่างหนึ่งคือการใช้คุณลักษณะของใบรับรอง X.509 ซึ่งช่วยให้สามารถใช้กลไกการควบคุมการเข้าถึงที่ซับซ้อนบนพื้นฐานของการเป็นสมาชิกกลุ่มได้

strongSwan มาพร้อมกับสภาพแวดล้อมการจำลองที่ใช้KVM เครือข่ายโฮสต์เสมือนแปดตัวช่วยให้ผู้ใช้สามารถจำลอง สถานการณ์VPN ระหว่างไซต์และ เครือข่ายระยะไกล ได้หลากหลาย[ 4 ​​]

ดูเพิ่มเติม

  • เว็บไซต์อย่างเป็นทางการแก้ไขข้อมูลนี้ได้ที่วิกิดาต้า
  • strongSwanบนGitHub
  • เอกสารประกอบ strongSwan
ดึงข้อมูลมาจาก " https://en.wikipedia.org/w/index.php?title=StrongSwan&oldid=1353523284 "

สรุปเนื้อหา

ข้อมูลสำคัญจากบทความ

ข้อมูลสำคัญเกี่ยวกับ หงส์ที่แข็งแกร่ง

strongSwan เป็นการใช้งาน IPsecแบบหลายแพลตฟอร์มโครงการนี้มุ่งเน้นไปที่กลไกการตรวจสอบสิทธิ์ โดยใช้ ใบรับรองกุญแจสาธารณะX.

ภาพรวม

โครงการนี้ได้รับการดูแลโดย Andreas Steffen ซึ่งเป็นศาสตราจารย์กิตติคุณด้านความปลอดภัยในการสื่อสารจาก มหาวิทยาลัยวิทยาศาสตร์ประยุกต์ แห่ง เมือง Rapperswil ประเทศสวิตเซอร์แลนด์

คุณสมบัติ

strongSwan รองรับ IKEv1 และใช้งาน IKEv2 อย่างสมบูรณ์ [ 3 ]

คุณสมบัติ IKEv1 และ IKEv2

strongSwan มีปลั๊กอินที่ช่วยเพิ่มฟังก์ชันการทำงาน ผู้ใช้สามารถเลือกใช้ไลบรารีการเข้ารหัสได้สามแบบ (FreeS/WAN รุ่นเก่า [นอกสหรัฐอเมริกา], OpenSSL และ gcrypt) ด้วยการใช้ปลั๊กอิน openssl ทำให้ strongSwan รองรับการเข้ารหัสแบบวงรี (กลุ่ม ECDH และใบรับรองและลายเซ็น...