if ($answer_counter == 1): ?>
endif; ?>
- A pilha IPsec integrada no kernel Linux desde a versão 2.6 (NETKEY) foi originalmente baseada na pilha KAME (pelo menos no que diz respeito à API). O código-fonte faz parte do repositório do kernel , onde os principais componentes são encontrados na pasta
net/xfrm
, incluindo a implementação do repositório do Netlink / Interface de configuração XFRM. A implementação da interface alternativa e padronizada (mas um pouco estendida) PF_KEYv2 está localizada na pasta net/key
.
- Não há muita documentação. Mas verifique a pasta
Documentation/networking
.
- Se você fizer a configuração manual de IPsec SAs e políticas (codificação manual), eu recomendaria iproute2 . Ele usa a interface Netlink / XFRM mais poderosa e o pacote é instalado pela maioria das distribuições por padrão. Mas normalmente você usaria a codificação automática fornecida por um daemon IKE como strongSwan, Open / libreswan ou racoon (ipsec- ferramentas), dessa forma, você não precisa instalar manualmente as SAs e as políticas e obter chaves de criptografia / integridade efêmeras estabelecidas via Diffie-Hellman durante o IKE. Negociação automática regular de novas chaves, que é chamada de rekeying, também é possível.
-
setkey
é fornecido pelo pacote ipsec-tools para codificação manual, não há relação com o pacote iproute2 . Com iproute2 você usaria o comando ip xfrm
para configurar manualmente as SAs e as políticas. Os dois comandos interagem diretamente com o SAD e o SPD (consulte RFC 4301 ) no kernel para gerenciar manualmente os SAs e as diretivas do IPsec. setkey
, como racoon
e outras ferramentas baseadas em BSD, usa a interface PF_KEYv2, portanto, é menos poderoso que o comando ip xfrm
. Por exemplo, números de sequência estendidos ou marcas não podem ser configurados com PF_KEYv2 no Linux.