Представлен выпуск strongSwan 5.4.0, реализации IPsec для Linux, FreeBSD, Android, Windows и OS X. strongSwan является форком FreeS/WAN, одной из первых реализаций IPsec в Linux. В пятой версии strongSwan был переписан практически с нуля с оглядкой на современные стандарты, что выгодно отличает его от других форков FreeS/WAN. IPsec обычно используется для создания VPN-сетей и представляет собой набор протоколов для реализации защищенной передачи данных по протоколу IP. IPsec состоит из двух частей: протокола обмена ключами IKE и протокола передачи шифрованного трафика ESP. strongSwan реализует протоколы IKEv1 и IKEv2, а реализация ESP находится в ядре ОС, благодаря чему достигается высокая производительность работы VPN. Если ядро не поддерживает ESP (как, например, в случае Android), strongSwan использует внутреннюю реализацию в пространстве пользователя. Основные изменения: Поддержка перенаправления IKEv2. Если сервер перегружен или находится на обслуживании, он может перенаправить клиентов на другой
Доступны корректирующие выпуски OpenSSL 1.0.1k, 1.0.0p и 0.9.8zd в которых устранено 8 уязвимостей, из которых 6 помечены как неопасные, а двум уязвимостям присвоен умеренный уровень опасности. Проблема CVE-2014-3571 позволяет инициировать крах процесса из-за разыменования указателя NULL при обработке специально оформленных сообщений DTLS. Проблема CVE-2015-0206 может привести к исчерпанию доступной для процесса памяти при обработке потока записей DTLS с одинаковыми номерами последовательности. Дополнительно можно отметить обновление strongSwan 5.2.2, свободного пакета для создания VPN-соединений на базе протокола IPsec, используемого в Linux, Android, FreeBSD и Mac OS X. В новой версии устранена уязвимость (CVE-2014-9221), которую можно использовать для инициирования краха демона IKE через отправку специально оформленного IKE_SA_INIT запроса с указанием значения 1025 в качестве номера группы DH (Diffie-Hellman). Кроме того, можно упомянуть заслуживающую внимания заметку одного из разработчиков Libreswan
Организация FreeBSD Foundation объявила о выделении финансирования для работы над расширением поддержки во FreeBSD режимов шифрования в наборе протоколов IPsec и обеспечения корректной работы IPSec в сетях с пропускной способностью до 40 гигабит в секунду. Реализацией новых режимов шифрования, а также портированием некоторых наработок в области IPSec из OpenBSD, займётся John-Mark Gurney. Работа по интеграции новых режимов шифрования в стек IPSec будет возложена на разработчика Ermal Luçi. Работу планируется завершить в конце сентября этого года. В итоге, в реализацию IPsec во FreeBSD будет включена поддержка режимов AES-CTR и AES-GCM с задействованием средств аппаратного ускорения с использованием инструкций AES-NI, доступных в современных процессорах Intel. Указанные изменения позволят использовать решения на базе FreeBSD для организации работы высокоскоростных каналов шифрованной связи на обычном оборудовании. Например, новый модуль AES-GCM обеспечит шифрование со скоростью порядка одного гигабайта
Джон Гилмор (John Gilmore), создатель правозащитной организации Electronic Frontier Foundation и основатель таких проектов, как Cygwin, GNU Radio, Gnash, GNU tar, GNU UUCP и IPSEC-стека FreeS/WAN, опубликовал подборку своих наблюдений о возможном влиянии Агентства Национальной Безопасности США (АНБ) на развитие спецификаций и реализаций IPSEC. В том числе его наблюдения основаны на беседах с некоторыми членами комитета IETF по разработке стандартов IPSEC. Как лидер проекта по созданию свободного IPSEC-стека, Джон исключает прямое влияние АНБ на разработку FreeS/WAN, но не исключает воздействия в плане принятия решений по интеграции наработок проекта в ядро Linux. В частности, упоминается категоричное нежелание мэйнтейнера сетевой подсистемы включить в состав ядра разработанный во FreeS/WAN слой обработки пакетов для IPSEC, вместо которого мэйнтейнером была создана собственная реализация, которая была неполной и так и не приведена к рабочему виду. Не ясно, было ли подобное поведение навеянным АНБ саботажем
Вышло экстренное обновление strongSwan 5.0.4, свободного пакета для создания VPN-соединений на базе протокола IPSec, используемого в Linux, Android, FreeBSD и Mac OS X. В новой версии устранена серьёзная уязвимость (CVE-2013-2944), проявляющаяся при использовании плагина "openssl" в выпусках с 4.3.5 по 5.0.3 включительно, и позволяющая установить соединение с использованием некорректного сертификата или сигнатуры. Суть ошибки состоит в том, что любая пустая, нулевая или ошибочная цифровая подпись ECDSA воспринималась как корректная. Обязательным условием успеха атаки является использование бэкенда OpenSSL (по умолчанию не используется и включается при сборке с опцией "--enable-openssl") и задействование аутентификации ECDSA (Elliptic Curve Digital Signature Algorithm).
Спустя год с момента публикации заявления об инициативе ФБР по внедрению в IPSEC-стек OpenBSD кода бэкдора, Грегори Пири (Gregory Perry) вновь поднял эту тему и опубликовал дополнительные данные. Напомним, что детальный аудит коммитов, проведённый разработчиками OpenBSD, не выявил никаких фактов, свидетельствующих о попытках внедрения бэкдора, а упомянутые Пири разработчики отвергли высказанные в их адрес обвинения (Скот Лоу указал на то, что он вообще не участвовал в разработке OpenBSD, создавая только производные продукты, а Джейсон Райт отправил за время участия в проекте лишь несколько крохотных патчей к IPSec, которые может проанализировать любой желающий). В итоге был сделан вывод, что прямых доказательств внедрения бэкдора в OpenBSD не представлено, а в коде не найдено никаких подозрительных участков, поэтому скорее всего опубликованная Пири информация касалась не непосредственно кода OpenBSD, а какого-то стороннего продукта, базирующегося на OpenBSD. В ответ Пири сообщил, что он не уверен, что ФБР
Тэо де Раадт (Theo de Raadt), лидер проекта OpenBSD, опубликовал в списке рассылки тревожное сообщение, в котором опубликовал письмо, свидетельствующее о том, что некоторые разработчики проекта, принимавшие участие в разработке IPSEC-стека OpenBSD на ранней стадии его развития, приняли от правительства США денежное вознаграждение за интеграцию в IPSEC-стек кода бэкдора. Информация раскрыта Грегори Пири (Gregory Perry), бывшим техническим директором компании NETSEC, занимавшимся в 2000-2001 годах развитием поддержки шифрования в OpenBSD и работавшим совместно с ФБР над рядом проектов. Во время работы с ФБР Пири дал подписку о неразглашении информации в течение 10 лет, поэтому вынужден сообщить имеющие у него сведения только сейчас. По утверждению Пири, у него имеется информация, что ФБР профинансировало работу по интеграции в IPSEC-стек OpenBSD техники, приводящей в определенных обстоятельствах к утечке ключей шифрования и возможности мониторинга трафика внутри шифрованных VPN-соединений. В письме также
Сообщения протокола OSPF, как правило, передаются с помощью multicast-пакетов. Для передачи multicast-трафика протоколов динамической маршрутизации между удаленными сетями используются GRE-туннели. Cisco ASA не поддерживает GRE-туннели. Однако, начиная с версии ОС 7.x, Cisco ASA и Cisco PIX позволяют передавать сообщения OSPF unicast'ом через существующее VPN-соединение, без использования протокола GRE. На cтранице описывается пример настройки туннеля IPSec между двумя Cisco ASA и передача трафика OSPF между внутренними сетями, которые находятся за ASA'ми.
В документе "Implementing IPsec on OpenBSD" рассказывается о реализации протокола IPSec в OpenBSD 3.8, приводятся примеры настройки различных вариантов IPSec соединений. Перу автора данного руководства принадлежит ряд других интересных материалов, например: "Patching and upgrading OpenBSD"; "Compiling an OpenBSD kernel in preparation for a firewall"; "Building an OpenBSD router/firewall"; "Understanding Packet Filter"; "Intermediate Packet Filter topics"; "Installing an OpenBSD mail filter gateway with smtp-vilter, Clam AV, and SpamAssassin"; "Updating the FreeBSD operating system"; "FreeBSD ports: updating and upgrading";
Max Laier опубликовал отчёт по развитию проекта FreeBSD за четвёртый квартал 2005 года. Из интересного можно отметить: Предварительная версия Bt878 Audio Driver (John-Mark Gurney); Улучшения в звуковой подсистеме (Ariff Abdullah, Alexander Leidinger); Улучшения в драйвере LSI MegaRAID (Scott Long, Doug Ambrisko); Улучшения в драйвере гигабитных сетевых карт if_em (Scott Long, Andre Opperman); Обновление FAST_IPSEC (George Neville-Neil, Bjoern A. Zeeb); Подготовка к завершению проекта KAME (SUZUKI Shinsuke); Импортирован новый DHCP Client из OpenBSD (Brooks Davis, Sam Leffler); Оптимизация IP и TCP стека (Andre Oppermann); Новые возможности сетевой подсистемы FreeBSD 6.0 (Andre Oppermann); Прогресс в реализации поддержки виртуальной машины Xen (Kip Macy, Scott Long); Список идей для реализации добровольцами (Joel Dahl, Alexander Leidinger); Новая реализация распределителя памяти (Jason Evans); Переработка инструментов сборки FreeSBIE; Поддержка динамических ссылок - variant symlinks (Andrey V.