strongSwan
| 개발자 | 안드레아스 슈테펜, 마르틴 빌리 & 토비아스 브루너 |
|---|---|
| 안정화 버전 | v6.0.2
/ 2025년 7월 14일[1] |
| 저장소 | |
| 프로그래밍 언어 | C |
| 운영 체제 | 리눅스, 안드로이드, 마에모, FreeBSD, MacOS, 윈도우 |
| 대체한 소프트웨어 | FreeS/WAN |
| 종류 | IPsec |
| 라이선스 | GNU 일반 공중 사용 허가서 |
| 웹사이트 | strongswan |
strongSwan(스트롱스완)은 멀티플랫폼 IPsec 구현체이다. 이 프로젝트의 중점은 X.509 공개 키 인증서를 사용한 인증 메커니즘과, PKCS#11 인터페이스를 통한 스마트카드 및 TPM 2.0 상의 개인 키 및 인증서 선택적 저장에 있다.
개요
[편집]이 프로젝트는 스위스 라퍼스빌에 위치한 응용과학대학교의 통신 보안 명예 교수인 안드레아스 슈테펜(Andreas Steffen)에 의해 유지 관리되고 있다.
FreeS/WAN 프로젝트의 파생형으로서, strongSwan은 계속해서 GPL 라이선스로 배포된다.[2] 이는 인증서 폐기 목록 및 온라인 인증서 상태 프로토콜(OCSP)을 지원한다. 독특한 기능으로는 그룹 멤버십에 기반한 접근 제어 체계를 구현하기 위해 X.509 속성 인증서를 사용하는 것이 있다. strongSwan은 다양한 마이크로소프트 윈도우 및 MacOS VPN 클라이언트를 포함한 다른 IPsec 구현체와 상호 운용된다. strongSwan의 현재 버전은 RFC 7296에 정의된 인터넷 키 교환(IKEv2) 프로토콜을 완전히 구현한다.[3]
기능
[편집]strongSwan은 IKEv1을 지원하며 IKEv2를 완전히 구현한다.[3]
IKEv1 및 IKEv2 기능
[편집]- strongSwan은 기능을 향상시키는 플러그인을 제공한다. 사용자는 세 가지 암호화 라이브러리(레거시 [비미국] FreeS/WAN, OpenSSL, gcrypt) 중에서 선택할 수 있다.
- openssl 플러그인을 사용하여 strongSwan은 IKEv2와 IKEv1 모두에서 타원곡선 암호화(ECDH 그룹 및 ECDSA 인증서와 서명)를 지원하므로, Vista, Win 7, Server 2008 등의 Microsoft Suite B 구현체와 상호 운용이 가능하다.
- IKEv1 ModeConfig 또는 IKEv2 구성 페이로드를 사용하여 하나 이상의 주소 풀에서 VPN 클라이언트에 가상 IP 주소를 자동으로 할당한다. 풀은 휘발성(즉, RAM 기반)이거나 구성 가능한 임대 시간과 함께 SQLite 또는 MySQL 데이터베이스에 저장된다.
- ipsec pool 명령줄 유틸리티를 통해 IP 주소 풀과 내부 DNS 및 NBNS 서버와 같은 구성 속성을 관리할 수 있다.
IKEv2 전용 기능
[편집]- IKEv2 데몬은 본질적으로 멀티스레드 방식이다(기본값은 16개 스레드).
- IKEv2 데몬은 Cluster IP 기반의 고가용성(High-Availability) 옵션을 제공하며, 현재 두 호스트의 클러스터가 활성 부하 분산을 수행하고 한 호스트가 실패할 경우 다른 호스트가 키 재설정 없이 ESP 및 IKEv2 상태를 인계받을 수 있다.
- 다음과 같은 EAP 인증 방법이 지원된다: 다중 [U]SIM 카드 관리를 포함한 AKA 및 SIM, MD5, MSCHAPv2, GTC, TLS, TTLS. 사용자 비밀번호 기반의 EAP-MSCHAPv2 인증과 사용자 인증서를 사용한 EAP-TLS는 Windows 7 Agile VPN 클라이언트와 상호 운용이 가능하다.
- EAP-RADIUS 플러그인은 EAP 패킷을 하나 이상의 AAA 서버(예: FreeRADIUS 또는 Active Directory)로 중계한다.
- EAP-TLS와 같은 강력한 상호 인증 방법과 결합된 RFC 5998 EAP 전용 인증을 지원한다.
- RFC 4739 IKEv2 다중 인증 교환을 지원한다.
- RFC 5685 IKEv2 리디렉션을 지원한다.
- IKEv2 키 재설정 없이 IP 주소 및 네트워크 인터페이스를 동적으로 변경할 수 있는 RFC 4555 이동성 및 멀티호밍 프로토콜(MOBIKE)을 지원한다. MOBIKE는 Windows 7 Agile VPN 클라이언트에서도 지원된다.
- strongSwan IKEv2 NetworkManager 애플릿은 EAP, X.509 인증서 및 PKCS#11 스마트카드 기반 인증을 지원한다. 할당된 DNS 서버는 /etc/resolv.conf에 자동으로 설치 및 제거된다.
- Trusted Network Connect(TNC)를 지원한다. strongSwan VPN 클라이언트는 TNC 클라이언트로 작동할 수 있고, strongSwan VPN 게이트웨이는 정책 집행 지점(PEP) 및 선택적으로 공동 배치된 TNC 서버로 작동할 수 있다. 다음 TCG 인터페이스가 지원된다: IF-IMC 1.2, IF-IMV 1.2, IF-PEP 1.1, IF-TNCCS 1.1, IF-TNCCS 2.0 (RFC 5793 PB-TNC), IF-M 1.0 (RFC 5792 PA-TNC), 및 IF-MAP 2.0.
- IKEv2 데몬은 안드로이드 VPN 애플릿으로의 통합을 포함하여 안드로이드 운영체제로 완전히 포팅되었다. 또한 마에모, FreeBSD 및 MacOS 운영체제로도 포팅되었다.
KVM 시뮬레이션 환경
[편집]strongSwan 프로젝트의 중점은 X.509 인증서를 통한 강력한 인증뿐만 아니라, 표준화된 PKCS#11 인터페이스를 사용한 스마트 카드 상의 개인 키의 선택적 안전 저장, strongSwan 인증서 확인 목록 및 온라인 인증서 상태 프로토콜(OCSP)에 있다.
중요한 기능 중 하나는 X.509 인증서 속성을 사용하는 것으로, 이를 통해 그룹 멤버십을 기반으로 한 복잡한 접근 제어 메커니즘을 활용할 수 있다.
strongSwan은 KVM 기반의 시뮬레이션 환경을 제공한다. 8개의 가상 호스트 네트워크를 통해 사용자는 다수의 사이트 간(site-to-site) 및 로드워리어 VPN 시나리오를 재현할 수 있다.[4]
같이 보기
[편집]각주
[편집]- ↑ “Releases · strongswan/strongswan”. 《깃허브》. 2025년 10월 23일에 확인함.
- ↑ “strongSwan - Download: License statement”. 2019년 3월 13일. 2019년 3월 16일에 확인함.
- 1 2 “strongSwan: the OpenSource IPsec-based VPN Solution”. 2021년 2월 26일. 2021년 4월 19일에 확인함.
- ↑ “strongSwan - Test Scenarios”. 2013년 2월 24일. 2023년 9월 7일에 확인함.
외부 링크
[편집]- StrongSwan
- 공식 웹사이트 - (영어) strongSwan - 깃허브
- strongSwan 문서
