IPsec im Linux-Kernel

Question

Der seit 2.6 im Linux-Kernel integrierte IPsec-Stack (NETKEY) basierte ursprünglich auf dem KAME-Stack (zumindest in Bezug auf die API). Der Quellcode ist Teil desKernel-Repository, in dem die Hauptkomponenten im net/xfrmOrdner zu finden sind, einschließlich der Implementierung der Netlink/XFRM-Konfigurationsschnittstelle. Die alternative undstandardisiertDie (aber etwas erweiterte) Implementierung der PF_KEYv2-Schnittstelle befindet sich im net/keyOrdner.
Es gibt nicht viel Dokumentation. Aber sehen Sie sich den Documentation/networkingOrdner an.
Wenn Sie die manuelle Konfiguration von IPsec SAs und Richtlinien (manuelles Keying) durchführen, empfehle ichiproute2. Es verwendet die leistungsfähigere Netlink/XFRM-Schnittstelle und das Paket wird von den meisten Distributionen standardmäßig installiert. Normalerweise verwendet man jedoch die automatische Verschlüsselung, die von einem Userland bereitgestellt wird.IKEDaemon wie strongSwan, Open/libreswan oder racoon (ipsec-tools), so dass Sie SAs und Richtlinien nicht manuell installieren müssen und während des IKE über Diffie-Hellman erstellte temporäre Verschlüsselungs-/Integritätsschlüssel erhalten. Auch eine regelmäßige automatische Aushandlung neuer Schlüssel, die als Rekeying bezeichnet wird, ist möglich.
setkeywird bereitgestellt durch dieIPSec-ToolsPaket für manuelle Eingabe, es besteht kein Bezug zumiproute2Paket. Mitiproute2Sie würden den Befehl verwenden, ip xfrmum SAs und Richtlinien manuell zu konfigurieren. Beide Befehle interagieren direkt mit SAD und SPD (sieheRFC 4301) im Kernel, um IPsec-SAs und -Richtlinien manuell zu verwalten. verwendet setkeywie racoonund andere BSD-basierte Tools die Schnittstelle PF_KEYv2 und ist daher weniger leistungsfähig als der ip xfrmBefehl. Beispielsweise können erweiterte Sequenznummern oder Markierungen unter Linux nicht mit PF_KEYv2 konfiguriert werden.

Answer 1

Der seit 2.6 im Linux-Kernel integrierte IPsec-Stack (NETKEY) basierte ursprünglich auf dem KAME-Stack (zumindest in Bezug auf die API). Der Quellcode ist Teil desKernel-Repository, in dem die Hauptkomponenten im net/xfrmOrdner zu finden sind, einschließlich der Implementierung der Netlink/XFRM-Konfigurationsschnittstelle. Die alternative undstandardisiertDie (aber etwas erweiterte) Implementierung der PF_KEYv2-Schnittstelle befindet sich im net/keyOrdner.
Es gibt nicht viel Dokumentation. Aber sehen Sie sich den Documentation/networkingOrdner an.
Wenn Sie die manuelle Konfiguration von IPsec SAs und Richtlinien (manuelles Keying) durchführen, empfehle ichiproute2. Es verwendet die leistungsfähigere Netlink/XFRM-Schnittstelle und das Paket wird von den meisten Distributionen standardmäßig installiert. Normalerweise verwendet man jedoch die automatische Verschlüsselung, die von einem Userland bereitgestellt wird.IKEDaemon wie strongSwan, Open/libreswan oder racoon (ipsec-tools), so dass Sie SAs und Richtlinien nicht manuell installieren müssen und während des IKE über Diffie-Hellman erstellte temporäre Verschlüsselungs-/Integritätsschlüssel erhalten. Auch eine regelmäßige automatische Aushandlung neuer Schlüssel, die als Rekeying bezeichnet wird, ist möglich.
setkeywird bereitgestellt durch dieIPSec-ToolsPaket für manuelle Eingabe, es besteht kein Bezug zumiproute2Paket. Mitiproute2Sie würden den Befehl verwenden, ip xfrmum SAs und Richtlinien manuell zu konfigurieren. Beide Befehle interagieren direkt mit SAD und SPD (sieheRFC 4301) im Kernel, um IPsec-SAs und -Richtlinien manuell zu verwalten. verwendet setkeywie racoonund andere BSD-basierte Tools die Schnittstelle PF_KEYv2 und ist daher weniger leistungsfähig als der ip xfrmBefehl. Beispielsweise können erweiterte Sequenznummern oder Markierungen unter Linux nicht mit PF_KEYv2 konfiguriert werden.

IPsec im Linux-Kernel

Antwort1

verwandte Informationen