Seppl egyszerre protokoll meghatározása és a szoftver Egy új titkosító réteget az IPv4. Seppl projekt él a szimmetrikus titkosítás titkosítására az egész forgalmat a hálózaton. Ennek megvalósítását köré Linux netfilter / iptables.
Seppl két új netfilter célok: CRYPT és visszafejteni. A tűzfal szabály alkalmazható tehát titkosításához / visszafejtéséhez bejövő és kimenő hálózati forgalmat. Ez teszi Seppl rendkívül könnyen használható, mivel nem démonok futtatni kell a biztonságos kommunikációhoz.
Seppl használja a titkosítás motor a Linux kriptográfiai API, mely elérhető a kernel 2.4.22 és újabb.
Seppl elsődlegesen titkosítja a vezeték nélküli LAN-ok (például biztonságos csere a törött WEP titkosítás) és a helyi ethernet hálózaton, de lehet használni a nagy léptékű VPN megoldások is.
A protokoll Seppl támaszkodik nem kompatibilis más szoftverekkel. A protokoll nyitott és jól meghatározott, de nincs végrehajtása más, mint ez hivatkozási szoftver.
Miért Seppl, van már IPSEC, CIPE, ...?
CIPE lehet használni a pont-pont összeköttetések csak. Meg alagút szerkezetét, és így vezeti be az új IP-címek. Ez nem mindig kívánatos. Szükség van egy felhasználói térben démon.
IPSEC / freeswan rendkívül bonyolult a használata. Köszönhetően a furcsa routing rendszer szinte lehetetlen használni együtt routing démonok. Az IPSec az nehézsúlyú.
Seppl van megy sokra peer-to-peer. Ez titkosítja zökkenőmentesen összes kimenő forgalom, és ez így összeegyeztethető routing démonok. Rendkívül könnyen használható is, mivel nem tesz változás a rendes útvonal viselkedését. Seppl rendkívül könnyű.
A végrehajtási
A megvalósítás három Linux kernel modulok: seppl.o, ipt_CRYPT.o és ipt_DECRYPT.o. Az előbbi a kernelen kulcskezelőben, az utóbbiak a két új netfilter célokat. Mindkét függ seppl.o.
seppl.o kell illeszteni kernel az első helyen. A Key Manager lehet hozzáférni a fájl / proc / net / seppl_keyring. Ez tartalmazza a bináris kulcsfontosságú adatok, és kezdetben üres. Lehet hozzá egy új kulcsot írásával azt a fájlt.
A két Python szkripteket Seppl-ls és Seppl-gen-key nekem használható menedzsment legfontosabb. Seppl-ls lehet használni átalakítására Seppl kulcsok közötti bináris formátumot, amelyet a / proc / net / seppl_keyring és ember által olvasható XML alapú formátum. Egyszerűen hívja Seppl-ls egy listát az összes jelenleg aktív gombokat. Seppl-gen-kulcsot generál egy új kulcsot / dev / urandom. Alapértelmezésben használni az XML formátumot. A paraméter -x erők bináris módban. Lehet generálni, és aktiválja két kulcsot "Linus" és "Alan" kiadásával a következő parancssort:
Seppl-gen-kulcs -n Linus -x> / proc / net / seppl_keyring
Seppl-gen-kulcs -n Alan -x> / proc / net / seppl_keyring
Seppl-ls vita nélkül felsorolja az új kulcsok mentett kernel kulcstartó. Lehet, távolítsa el az összes (jelenleg nincs használatban) gombok kiadásával:
echo egyértelmű> / proc / net / seppl_keyring
Mivel Seppl alapul szimmetrikus titkosítás segítségével megosztott kulcsok meg kell másolni az újonnan generált kulcsok minden gazda szeretne csatlakozni a Seppl infrastruktúra. (Lehetőleg SSH-n keresztül, vagy bármely más biztonságos fájlátvitel) Kapsz egy bináris másolatot a jelenlegi kulcstartó kiadásával:
cat / proc / net / seppl_keyring> keyring.save
Most másold e fájlt keyring.save az összes többi házigazdák és a következő parancs van:
cat keyring.save> / proc / net / seppl_keyring
Amely egyszerű, nem?
Miután ezzel is lehet állítani a tűzfalon beállításokat a host:
iptables -t mangle -A POSTROUTING -o eth0 -j CRYPT --key linus
iptables -t mangle -A PREROUTING -i eth0 -j hírbe
Ez titkosítja az összes kimenő forgalom az eth0-kulcs "Linus". Minden bejövő forgalom visszafejtése pedig vagy a "Linus" vagy "Alan", attól függően, hogy a gomb nevét megadva az adott hálózati csomag. Titkosítatlan bejövő csomagokat csendben csökkent. Használat
iptables -t mangle -A PREROUTING -p 177 -i eth0 -j hírbe
amely lehetővé teszi mind a titkosított és titkosítatlan bejövő forgalmat.
Ez az. Végeztél. Az összes forgalom a helyi alhálózati most titkosíta Seppl.
Az alapértelmezett kódolása az AES-128. Ha nem adja meg a nevét, a használt kulcsot az alapértelmezett cél "def".
Egy SysV init script /etc/init.d/seppl biztosított. Akkor betölti Seppl kernel modult írni és az összes kulcsot a / etc / Seppl a kernel kulcstartó. Nem ad hozzá semmilyen tűzfal szabályok azonban.
Teljesítmény problémák
A hálózati csomagok nőtt mérete amikor crypted, hiszen két új fejlécet és a IV hozzá. (36 bájt átlagos) Ez a konfliktusok valamilyen módon az MTU menedzsment a Linux kernel és az eredmények, amelyek az összes nagy csomagok (azaz: a csomag mérete közel MTU) is megosztott egy nagy és egy másik kis csomagot. Ez fájni fog a hálózat teljesítményét. A munka körül ezt a korlátot, használja a TCPMSS cél a netfilternek beállítani a MSS értéke a TCP header kisebb értékekre. Ez növelni fogja a TCP teljesítményt, mert a TCP csomagokat a méret a MTU már nem keletkezik. Így egyáltalán nem törik szét van szükség. Azonban TCPMSS TCP adott, az nem segít, az UDP vagy más IP protokollt.
Adja hozzá a következő sort, mielőtt titkosítást a tűzfal beállítás:
iptables -t mangle -A POSTROUTING -p tcp --tcp-zászlók SYN, RST SYN -o eth0 -j TCPMSS --set-MSS $ ((1500-40-8-16-6-15))
A jegyzőkönyvet
Titkosításra minden egyes nem titkosított csomagot hozott, és át a titkos egyet. Nem egyszeri további csomagot nem küld el.
Eredeti Seppl párja
+ ------------ + + + -----------------------
| IP-fejléc | | Módosított IP-fejléc | |
+ ------------ + + + ----------------------- |
| Hasznos teher | | Seppl-fejléc |> Nem titkosított
+ ------------ + + + ----------------------- |
| Initialization Vector | |
+ ----------------------- + /
| Seppl-fejléc |
+ ----------------------- + | Titkosított
| Hasznos teher | |
+ ----------------------- + /
Az eredeti IP fejléc tartjuk, amennyire csak lehetséges. Csak három mező helyére új értékeket. A protokoll a szám a 177, a töredék offset értéke 0 és a teljes hossza a hiba kijavítását, az új hosszt. Minden más területeken tartják, ahogy van, beleértve az IP-beállításokat.
A kódolatlan Seppl fejléc áll egy byte titkosítást számot és a kulcs nevét. Jelenleg csak a 0 és 1 jelentése a rejtjel számok AES 128 bites kulcs, ill. AES 192bit gombot. A kulcs neve (7 bytes) lehet használni, hogy jelöljön ki egy speciális kulcs egy nagyobb kulcstartó.
A IV használják CBC kódolása a rejtjel használni. Abban különbözik a csomagot csomagot, de nem véletlenszerűen generált. Miatt teljesitmény okokból csak a kezdeti IV rendszer indításakor randomizált, minden következő IVS generálja megnő a korábbiak.
A titkosított Seppl fejléc három mentett mezők az eredeti IP fejléc (protokoll számát, fragmens offset, teljes hossz), és egy byte, amely mindig 0 detektálására egyező kulcsokat.
A hasznos teher az eredeti IP-playload, a TCP / UDP / egyéb fejléc végén.
Korlátozások:
· Seppl zavarja a netfilterben a connection tracking valamilyen módon. Emiatt nem fogja tudni használni NAT együtt Seppl. Ha használja connection tracking más módon együtt Seppl a kilométeróra változhat.
· Seppl tesztelve Linux 2.6.1. Használja verzió 0.3 for Linux 2.4.
Követelmények:
· Seppl fejlesztették ki és tesztelték a Debian GNU / Linux "tesztelés" származó, 2003. november, meg kell dolgozni a legtöbb más Linux disztribúciók és Unix változatban, mert az általa használt GNU Autoconf és a GNU libtool a forráskód konfiguráció és a közös könyvtári menedzsment.
· Seppl igényel Linux 2.6. {0,1} (konfigurálható forrás telepítve) és iptables 1.2.8 vagy újabb.
· A teljes felhasználói területen szerszámkészlet igényel Python 2.1 vagy újabb. A lecsupaszított set in C is rendelkezésre áll.
Telepítés:
Mivel ez a csomag készül a GNU autotools akkor nem kell aggódnod ./configure-t belül a forgalmazás könyvtár megadhatja a forrás fába. Ezt követően meg kell futtatni, hogy összeállításáért és make install (root) telepítéséhez Seppl.
Újdonságok ebben a kiadásban:
· Port a Linux 2.6, nincs más változás. 0.4 verzió már nem kompatibilis a kernel 2.4. Használja verzió 0.3 kernel 2.4, ez funkcionálisan egyenértékű.
Hozzászólás nem található