Вышла новая версия strongSwan, реализации IPsec для Linux, FreeBSD, Android, Windows и Mac OS X. IPsec — это набор протоколов для реализации защищенной передачи данных по протоколу IP, который чаще всего используется для создания VPN-сетей.

IPsec состоит из двух частей: протокол обмена ключами IKE и протокол передачи шифрованного трафика ESP. strongSwan реализует протоколы IKEv1 и IKEv2, а реализация ESP находится в ядре ОС, благодаря чему достигается высокая производительность работы VPN. Если ядро не поддерживает ESP (как, например, в случае Android), strongSwan использует внутреннюю реализацию в пространстве пользователя.

strongSwan является форком другого проекта, FreeS/WAN, одной из первых реализаций IPsec в Linux. В пятой версии strongSwan был переписан практически с нуля с оглядкой на современные стандарты, что выгодно отличает его от других форков FreeS/WAN.

( Основные изменения: )

>>> Подробности

Internet Protocol Security (IPsec) используется для реализации виртуальных частных сетей (VPN). Когда сети продолжают наращивать пропускную способность от текущих 1-10 гигабод, до 40 гигабод всё острее становится вопрос о производительности криптографических блоков IPSec. FreeBSD Foundation сообщает, что сейчас Джон-Марк Гурни (John-Mark Gurney) — разработчик с большим стажем работы с FreeBSD — занимается добавлением современных режимов AES в криптографический фреймворк и в IPsec. Проект спонсируется не только FreeBSD Foundation, но и Netgate — одним из крупнейших поставщиков сетевого оборудования, базирующегося на BSD.

Проект не только добавляет новые режимы шифрования, но также заимствует некоторые эффективные моменты из OpenBSD, предоставляющие пользователям возможность значительно ускорить обработку шифрованных соединений. Новые режимы включают в себя AES-CTR и AES-GCM, которые реализованы с помощью аппаратного ускорения инструкциями AES-NI в Intel-процессорах. По словам Джона-Марка, «на современном 64-битном x86 процессоре одно ядро с​​может обрабатывать поток около 1 гигабайта в секунду».

Одновременно с этим проектом, FreeBSD коммиттер и сотрудник pfSense Ermal Luci обновит стек IPsec, так, чтобы он мог воспользоваться всеми преимуществами новых криптографических режимов.

Джим Томпсон(Jim Thompson), совладелец как Netgate так и ESF (компании курирующей разработку pfSense), сказал: «Мы рады внести свой вклад в этот проект. Наш интерес к высокой производительности IPsec очевиден, однако мы также понимаем важность внедрения этих новых технологий в FreeBSD. Не только потому, что наша собственные наработки основаны на FreeBSD, но и в интересах всего сообщества. Мы планируем включить поддержку аппаратно ускоренного AES-GCM уже в версию 2.2 pfSense».

Планируется, что проект будет завершён к концу сентября 2014 года.

>>> Подробности

10 апреля 2014 года компания Simplex Solutions Inc выпустила клиент сервиса VPN Unlimited для систем на основе Debian GNU/Linux.

VPN сервис может использоваться для защиты данных при работе в публичных WiFi сетях или при необходимости получать доступ к данным, имеющим ограничения по географическому расположению клиента. Доступны семь регионов для подключения из Европы и Северной Америки, список регулярно расширяется. На данный момент клиентская база пользователей насчитывает более 300 тысяч абонентов. Ежедневно VPN Unlimited пользуются до 20 тысяч людей одновременно.

Также доступны версии приложения для Windows, Mac OS X и iOS-устройств. При подключении на Linux и Windows используется OpenVPN с аутентификацией по ключам, на платформах компании Apple - IPsec.

После регистрации предоставляется неограниченый по трафику триальный период на 10 дней для 5 любых устройств.

>>> Подробности

Обнародована уязвимость в реализации стандарта IPComp, способная привести к компрометации серверов на некоторых операционных системах. Стандарт IPComp используется для сжатия дейтаграмм IP с целью повышения скорости передачи данных по соединению, в основном работает совместно с IPSec и другими технологиями VPN.

Как сообщает эксперт по безопасности Тэвис Орманди (Tavis Ormandy), распаковка некоторых дейтаграмм из-за уязвимости может оказаться рекурсивной, что приведет к переполнению стека. Это позволяет атакующему впрыснуть в систему произвольный код и при удачном для него стечении обстоятельств выполнить его. Даже при самых простых сценариях атаки все может привести к аварийному выходу из системы. Орманди утверждает, что атака может быть осуществлена удаленно без необходимости идентификации в системе, а также с поддельным адресом отправителя пакетов.

Атаке подвержены реализации IPSec стека в NetBSD и FreeBSD, а также в производных от них системах (Darwin, Xnu, FTOS, ...).

Патчи для NetBSD и FreeBSD

>>> Подробности

В статье подробно рассмотрены принципы построения и основы применения VPN, понятие протокола IPSEC, даны общие характеристики и описание IPSEC, а также механизмов его реализации.

Рассмотрена организация методов построения защищенных соединений с помощью протокола IPSEC. Подробно и на реальных примерах описаны такие реализации применительно к двум схемам соединений — «точка-точка» и «сеть-сеть».

>>> Подробности

Вчера, 17-го сентября, прошел первый день ежегодной московской конференции RIPE NCC, проходившей в конференц-зале отеля Marriot Grand. В рамках конференции было затронуто множество вопросов, касающихся текущего состояния и перспектив развития сети Интернет. Особый интерес представляет обсуждение IPSec, DNSSEC и проблемы внедрения IPv6. Также на конференции была произведена демонстрация атаки IP Hijacking и обсуждался IX (Internet eXchange).

>>> Подробности

FreeBSD-SA-08:03.sendfile

Подвержены все текущие версии. Системный вызов sendfile(2) не проверял флаги доступа к файлу. Если файл доступен пользователю только на запись, было возможно передать его через сокет. В жизни встречается редко. Рекомендуется обновиться для последнего STABLE или RELENG. Или наложить "заплатку".

>>> Для 6.2, 6.3, 7.0

>>> Для 6.1 и 5.5.

FreeBSD-SA-08:04.ipsec

Затрагивает только FreeBSD 5.5. Разадресация NULL в основанной на KAME реализации IPsec для IPv6. Специально созданный IPv6 пакет мог привести к kernel panic, для чего требуется наличие в ядре поддержки IPv6 и IPsec одновременно. Базовое ядро не было подвержено ошибке. Рекомендуется обновить систему до 5-STABLE, RELENG_5_5 или наложить патч.

>>> Подробности