Notícia publicada por brain em março 2, 2004 12:31 PM
| TrackBack
"A notícia do término do desenvolvimento do projeto FreeS/WAN saiu no Slashdot, e a carta completa dos desenvolvedores para a comunidade pode ser lida no site oficial." A contribuição vem de Lucas (ldss), acompanhada deste link do Slashdot para maiores detalhes.
O Slashdot destaca que o principal motivo alegado pelos (ex-) desenvolvedores para o fim do projeto foi o pequeno progresso em seu objetivo inicial de criptografar grande parte do tráfego da Internet, mas aponta também que o fato de outro projeto ter sido escolhido como a implementação padrão de IPSEC no Linux pode ter contribuído. E lembra ainda que embora o desenvolvimento oficial tenha sido encerrado, o código continua aberto para outros desenvolvedores que queiram tomar para si a tarefa.
Muito triste o fim deste projeto.
Pra quem nunca leu sobre, vale a pena dar uma olhada no site:
http://www.freeswan.org/history.html
O projeto era muito mais que criar um sistema para comunicação segura. Ele suportava um ideal do que seria mais ou menos 'Internet Segura sobre Demanda' - opportunistic encryption. Consiste na prática do uso de comunicação segura via criptografia sobre demanda, ou seja, criar pontos de comunicação seguro durante estabelecimento de uma conexão entre dois pontos qualquer. Como se fosse uma VPN, mas ela fosse criada 'on the fly', antecipando uma das práticas do IPv6.
Claro que o maior vilão da história são as regras estúpidas do tio sam (a chamada Terra da Liberdade hehehe piada) a respeito do uso de criptografia - se vc é cidadão americano e acabou de inventar um algoritmo novo de criptografia o FBI pode bater na tua porta heheheh.
"Land of Freedom ... as long we can read your mail" ;-)
Não só isso, o freeswan também sempre foi bastante complicado de configurar e ajustar. Confesso que ainda não olhei a implementação padrão do 2.6, então estou só chutando que ela é mais simples de usar.
Qual é a outra implementação de IPSEC que se tornou padrão nas distribuições ?
Agradeço alguma dica !
E agora, qual as alternativas para o freeswan que poderemos utilizar??
andreas: também não achei o software trivial não...
A alternativa será o CIPE, porém ele nao fala IPSec. :-(
Mais de Linux pra Linux é uma blz!!
Abraço.
IPSec :
http://www.openswan.org/
Alternativa a IPSEc:
http://openvpn.sourceforge.net/
Vejam também:
http://www.ipsec-howto.org/
À grosso modo... Se eu desenvolver um método de critografia novo e particular para algum sistema meu para tráfego de dados via internet, o tio Sam vai achar ruim? =)
O mais importante é que o código ainda está disponivel, então nunca em verdade acabará, alguêm sempre continuará a tocar o barco, é umas das grandes maravilhas da licenca GNU e SL, ums vez livre, sempre livre ;)
The DarkMaster: Se você for cidadão estadunidense e morar nos EUA, você não vai poder exportar essa tecnologia criptográfica. Se exportar, vai passar férias em Guantanamo. Se você for brasileiro, ou qualquer outra coisa, você é livre, o Tio Sam que se foda.
Q: Qual é a outra implementação de IPSEC que se tornou padrão nas distribuições ?
A: Nenhuma. Ou FreeS/WAN ou nada.
Pik: A alternativa será o CIPE, porém ele nao fala IPSec. :-(
CIPE is dead. Voce se lembra do artigo no slashdot chamado "CIPE demolished". O nível de segurança desse aplicativo é uma piada - man in the middle - packet injection e outras belezas mais. UDP é isso, ou você confia na criptografia (leia envelope de transporte) e na autenticação ou está frito.
OpenVPN não depende de um módulo do kernel, é totalmente user-space. Traz em sua base protocolos de encriptação e autenticação completamente auditados. Sem mistérios, sem obscurantismos. O novo agora é kame/racoon. Vamos ver se não é uma m... pra configurar como seu primo-finado-já-vai-tarde FreeS/WAN. Também parece muito bem planejado e existe há algum tempo no FreeBSD e NetBSD (kame).
Isso no final parece bom: o obsoleto se vai e abre as portas para o novo. Com muita possibilidade de ser uma coisa melhor. Mas o IPSEC continua. É o que chamamos de Industry Standard (leia-se Microsoft compatível chupado e vomitado). Argh!
O artigo mencionado na notícia faz referência à adoção do KAME como pilha de ipsec padrão no kernel do Linux. Exemplos em http://www.ipsec-howto.org/x242.html
Sinceramente, fiquei um bom tempo tentando configurar e fazer funcionar o FreesWan. Mas a medida que ia tentando e nada acontecia, eu acabei desanimando. O FreesWan pode ser muito bom, mas enjoado de configurar. Por sugestão de outros colegas, acabei indo para o OpenVPN. Não tenho nada a reclamar. Funciona que nem um relógio, além, da simplicidade que é para configurá-lo.
Bem, do contrário ao que os colegas falam, eu tenho excelentes experiências com o FreeSwan !
Hoje administro uma rede com nada menos que do 27 pontas, todas interligadas por um backbone internet, e usando FreeSwan em 24 delas. As outras 3 usam FW1, e todos conversam tranquilamente, sem maiores problemas. Tenho Roadwarriors inclusive, 19 deles.
Sim ... é verdade que é chato de configurar, mas é como andar de bicicleta ...
Pretendo manter esta rede funcionando por um bom tempo.
O combo KAME/Racoon é ótimo, não é de dfícil implementação e é bastante seguro. É nativo nos sistemas BSD há anos, já havia passado da hora de ser incorporado ao Linux.
Depois do fim do FreeSwan só precisa acabar PPTP. Pena que por trás deste outra caca esteja a senhorita MS Gates.
Comentários desativados: Esta discussão é antiga e foi arquivada, não é mais possível enviar comentários adicionais.