StrongSwan est un client VPN open source basé sur IPsec et disponible pour la plupart des systèmes d'exploitation. Il implémente les protocoles d'échange de clés IKEv1 et IKEv2 pour échanger des clés de certification cryptiques entre hôtes et clients. Il y a beaucoup de termes techniques à comprendre ici, commençant par IPsec puis IKE.
strongSwan VPN
Comprendre et travailler avec le projet strongSwan n’est pas un jeu d’enfant, il nécessite plutôt une connaissance approfondie et une solide compréhension des protocoles Internet et des autres fonctionnalités de sécurité qui s'y rapportent.
Voici la liste des caractéristiques provenant du site Web officiel de strongSwan. La liste peut inclure des termes difficiles, mais la curiosité a toujours été le principal enseignant. Alors dirigez-vous vers Google ou Bing, recherchez-en plus à leur sujet:
- Fonctionne sur les noyaux Linux 2.6, 3.x et 4.x, Android, FreeBSD, OS X et Windows
- Implémente les protocoles d'échange de clés IKEv1 et IKEv2 (RFC 7296)
- Prise en charge entièrement testée du tunnel IPv6 et des connexions de transport IPsec
- Mise à jour dynamique d'adresse IP et d'interface avec IKEv2 MOBIKE (RFC 4555)
- Insertion et suppression automatiques des règles de pare-feu basées sur la stratégie IPsec
- NAT-Traversal via encapsulation UDP et port flottant (RFC 3947)
- Prise en charge de la fragmentation des messages IKEv2 (RFC 7383) pour éviter les problèmes de fragmentation IP
- Dead Peer Detection (DPD, RFC 3706) prend en charge les tunnels pendantes
- IP virtuelles virtuelles et modes d'extraction et de compression IKEv1 ModeConfig
- Serveur XAUTH et fonctionnalité client en plus de l'authentification en mode principal IKEv1
- Pool d'adresses IP virtuelles géré par le démon IKE ou la base de données SQL
- Authentification sécurisée des utilisateurs EAP IKEv2 (EAP-SIM, EAP-AKA, EAP-TLS, EAP-MSCHAPv2, etc.)
- Relay facultatif des messages EAP au serveur AAA via le plugin EAP-RADIUS
- Prise en charge des échanges d'authentification multiples IKEv2 (RFC 4739)
- Authentification basée sur des certificats X.509 ou des clés pré-partagées
- Utilisation d'algorithmes de signature forts avec l'authentification de signature dans IKEv2 (RFC 7427)
- Récupération et mise en cache locale des listes de révocation de certificats via HTTP ou LDAP
- Prise en charge complète du protocole d’état du certificat en ligne (OCSP, RFC 2560).
- Gestion des autorités de certification (URI OCSP et CRL, serveur LDAP par défaut)
- Stratégies IPsec puissantes basées sur des caractères génériques ou des autorités de certification intermédiaires
- Stockage de clés privées et de certificats RSA sur une carte à puce (interface PKCS # 11)
- Plugins modulaires pour algorithmes de chiffrement et interfaces de bases de données relationnelles
- Prise en charge des groupes DH à courbe elliptique et des certificats ECDSA (Suite B, RFC 4869)
- Tests d'intégrité et de chiffrement intégrés facultatifs pour les plugins et les bibliothèques
- Intégration de bureau Linux fluide via l'applet strongSwan NetworkManager
- Trusted Network Connect compatible avec PB-TNC (RFC 5793) et PA-TNC (RFC 5792)
strongSwan est entièrement fonctionnel sur les systèmes d'exploitation basés sur Linux et des packages de distribution sont également disponibles, mais pour Windows, aucun package de distribution n'est encore disponible et vous devez créer le code vous-même à l'aide de la chaîne d'outils MinGW. Toutes les fonctionnalités ne sont pas disponibles sous Windows et le projet comporte de nombreuses limitations. Pour exécuter strongSwan correctement, vous devez désactiver le service IKE natif sous Windows et quelques autres opérations.
L'installation et la configuration sous Windows sont une tâche fastidieuse pour le moment, mais il est prévu que le projet fournira bientôt des packages binaires installables pour faciliter l'installation et la configuration. Vous pouvez en savoir plus sur strongSwan pour Windows ici.
Le projet strongSwan est géré par Andreas Steffen, professeur de sécurité en communication à l'Université des sciences appliquées de Rapperswil, en Suisse. En outre, le projet est parrainé par de grandes sociétés de sécurité informatique et par Secunet, Sophos, dont Revosec.
strongSwan est une implémentation bien écrite de IPsec. Il est complètement open source et disponible gratuitement. Vous pouvez le télécharger, le construire vous-même, puis créer votre propre réseau virtuel. Bien que des connaissances techniques soient nécessaires pour comprendre le fonctionnement et le code. Mais vous pouvez consulter la documentation du projet pour en savoir plus et lire les instructions d'installation et d'autres détails.
Allez ici si vous cherchez un logiciel VPN gratuit pour votre PC Windows.
