seppl

Seppl είναι τόσο ορισμός του πρωτοκόλλου και εφαρμογή λογισμικού ενός νέου στρώματος κρυπτογράφησης για το IPv4. Seppl έργο κάνει χρήση της συμμετρικής κρυπτογραφίας για την κρυπτογράφηση στο σύνολο της κυκλοφορίας σε ένα δίκτυο. Η εφαρμογή του είναι σχεδιασμένα γύρω από το Linux netfilter / iptables.
Seppl εισάγει δύο νέους στόχους netfilter: CRYPT και να αποκρυπτογραφήσει. Έναν κανόνα τείχους προστασίας μπορεί έτσι να χρησιμοποιηθεί για την κρυπτογράφηση / αποκρυπτογράφηση την εισερχόμενη και εξερχόμενη κίνηση του δικτύου. Αυτό καθιστά Seppl εξαιρετικά εύκολο στη χρήση, δεδομένου ότι δεν υπάρχουν δαίμονες πρέπει να τρέξει για ασφαλή επικοινωνία.
Seppl χρησιμοποιεί την μηχανή κρυπτογράφησης του Linux Κρυπτογραφικής API το οποίο είναι διαθέσιμο στον πυρήνα 2.4.22 και νεότερα.
Seppl προορίζεται κυρίως για την κρυπτογράφηση ασύρματα τοπικά δίκτυα (ως ασφαλή αντικατάσταση του σπασμένου κρυπτογράφησης WEP) και τοπικά δίκτυα Ethernet, αλλά μπορούν να χρησιμοποιηθούν για VPN λύσεις μεγάλης κλίμακας, καθώς και.
Το Seppl πρωτόκολλο βασίζεται στο να μην είναι συμβατή με οποιοδήποτε άλλο λογισμικό. Το πρωτόκολλο είναι ανοικτό και καλά καθορισμένες, αλλά δεν υπάρχει καμία εφαρμογή, εκτός από αυτό το λογισμικό αναφοράς.
Γιατί Seppl, υπάρχουν ήδη IPSec, CIPE, ...;
CIPE μπορεί να χρησιμοποιηθεί μόνο για point-to-point συνδέσεις. Έχει δομή μιας σήραγγας και, συνεπώς, εισάγει νέες διευθύνσεις IP. Αυτό δεν είναι πάντα επιθυμητή. Απαιτεί ένα χώρο χρήστη δαίμονα.
IPSEC / FreeSWAN είναι εξαιρετικά περίπλοκη στη χρήση. Λόγω παράξενο σύστημα δρομολόγησης της, είναι σχεδόν αδύνατον να χρησιμοποιηθεί σε συνδυασμό με τη δρομολόγηση δαίμονες. IPSec είναι βαρέων βαρών.
Seppl είναι αληθινά peer-to-peer. Είναι κρυπτογραφεί απρόσκοπτα όλη την εξερχόμενη κίνηση και ως εκ τούτου συμβατό με τη δρομολόγηση δαίμονες. Είναι εξαιρετικά εύκολο στη χρήση, καθώς, όπως κάνει καμία αλλαγή στην κανονική συμπεριφορά δρομολόγησης. Seppl είναι εξαιρετικά ελαφρύ.
Η Εφαρμογή
Η εφαρμογή αποτελείται από τρεις ενότητες του πυρήνα του Linux: seppl.o, ipt_CRYPT.o και ipt_DECRYPT.o. Το πρώτο είναι το κλειδί διαχειριστής του πυρήνα, οι τελευταίοι είναι οι δύο νέες netfilter στόχους. Και οι δύο εξαρτώνται από seppl.o.
seppl.o πρέπει να εισαχθεί στον πυρήνα στην πρώτη θέση. Το κλειδί διαχειριστής μπορεί να προσεγγιστεί με το αρχείο / proc / net / seppl_keyring. Περιέχει δυαδικά βασικά δεδομένα, και είναι αρχικά κενή. Μπορείτε να προσθέσετε ένα νέο κλειδί από τη σύνταξή της σε αυτό το αρχείο.
Οι δύο Python scripts Seppl-LS και Seppl-gen-Key μένα να χρησιμοποιηθεί για διαχείριση κλειδιών. Seppl-LS μπορεί να χρησιμοποιηθεί για τη μετατροπή κλειδιά Seppl μεταξύ δυαδική μορφή που χρησιμοποιείται από το / proc / net / seppl_keyring και μια αναγνώσιμη από άνθρωπο μορφή βασίζεται XML. Απλά καλέστε Seppl-LS για ένα κατάλογο όλων των ενεργών πλήκτρων. Seppl-gen-κλειδί δημιουργεί ένα νέο κλειδί από / dev / urandom. Εξ 'ορισμού θα χρησιμοποιούν τη μορφή XML. Δυνάμεις η παράμετρος -x δυαδικό τρόπο. Μπορείτε να δημιουργήσετε και να ενεργοποιήσετε δύο πλήκτρα "Linus" και "Alan" με την έκδοση των παρακάτω γραμμές εντολών:
Seppl-gen-κλειδί -n Linus -x> / proc / net / seppl_keyring
Seppl-gen-κλειδί -n Alan -x> / proc / net / seppl_keyring
Seppl-LS χωρίς επιχείρημα απαριθμεί τα νέα κλειδιά αποθηκεύονται στο μπρελόκ πυρήνα. Μπορείτε να αφαιρέσετε όλα τα πλήκτρα (χρησιμοποιείται επί του παρόντος), με την έκδοση:
echo σαφές> / proc / net / seppl_keyring
Από Seppl είναι βασισμένη στη συμμετρική κρυπτογράφηση με τη χρήση κοινών πλήκτρων που πρέπει να αντιγράψετε δημιουργήθηκε πρόσφατα κλειδιά σε κάθε κεντρικό θέλετε να συνδεθείτε με την υποδομή Seppl σας. (Κατά προτίμηση μέσω SSH ή οποιοδήποτε άλλο ασφαλή μεταφορά αρχείων) Μπορείτε να πάρετε ένα εκτελέσιμο αντίγραφο του τρέχοντος κλειδοθήκη σας, με την έκδοση:
cat / proc / net / seppl_keyring> keyring.save
Τώρα αντιγράψτε αυτό το αρχείο keyring.save σε όλους τους άλλους υπολογιστές και εκδίδει την ακόλουθη εντολή εκεί:
keyring.save γάτα> / proc / net / seppl_keyring
Αυτό είναι απλό, έτσι δεν είναι;
Μετά από αυτό μπορείτε να διαμορφώσετε τις ρυθμίσεις του τείχους προστασίας σε κάθε υποδοχής:
iptables -t mangle Linus -A POSTROUTING -o eth0 -j CRYPT --key
iptables -t mangle-A PREROUTING -i eth0 -j Αποκρυπτογράφηση
Αυτό θα κρυπτογραφήσει όλη την εξερχόμενη κίνηση στο eth0 με το πλήκτρο "Linus". Όλα εισερχόμενη κίνηση αποκρυπτογραφείται με είτε «Linus" ή "Alan», ανάλογα με το όνομα του πλήκτρου που ορίζεται στο συγκεκριμένο πακέτο δικτύου. Χωρίς κρυπτογράφηση εισερχόμενων πακέτων σιωπηλά πέσει. Χρήση
iptables -t mangle-A PREROUTING -ρ 177 -i eth0 -j Αποκρυπτογράφηση
για να επιτρέπει τόσο κωδικοποιημένα και μη κρυπτογραφημένα εισερχόμενη κίνηση.
Αυτό είναι. Τελείωσες. Όλη η κίνηση σας στο τοπικό δευτερεύον δίκτυο είναι τώρα κρυπτογραφημένα με Seppl.
Η προεπιλογή cipher είναι AES-128. Εάν δεν καθορίσετε το όνομα της χρησιμοποιείται βασικά ως προεπιλογή ο "Def".
Παρέχεται ένα SysV σενάριο init /etc/init.d/seppl. Θα φορτώσει modules του πυρήνα Seppl και να γράψετε όλα τα κλειδιά από τον κατάλογο / etc / Seppl στο μπρελόκ του πυρήνα. Δεν θα προσθέσει κανόνες του firewall, όμως.
Ζητήματα επιδόσεων
Τα πακέτα δικτύου αυξάνεται σε μέγεθος όταν είναι κρυπτογραφημένα, αφού δύο νέες κεφαλίδες και προστίθενται τα IV. (36 bytes κατά μέσο όρο) Αυτό έρχεται σε αντίθεση σε κάποιο τρόπο με τη διαχείριση MTU του πυρήνα του Linux και έχει ως αποτέλεσμα έχουν όλα τα μεγάλα πακέτα (δηλαδή: το μέγεθος της συσκευασίας κοντά MTU) κατακερματισμένη σε ένα μεγάλο και ένα άλλο πολύ μικρό πακέτο. Αυτό θα βλάψει την απόδοση του δικτύου. Ένα έργο-γύρω από αυτόν τον περιορισμό χρησιμοποιεί το στόχο TCPMSS του netfilter για να προσαρμόσετε την τιμή MSS στην κεφαλίδα TCP σε μικρότερες τιμές. Αυτό θα αυξήσει την παράσταση TCP, αφού τα πακέτα TCP του μεγέθους της MTU δεν είναι πλέον δημιουργούνται. Έτσι δεν κατακερματισμός χρειάζεται. Ωστόσο, TCPMSS είναι το TCP συγκεκριμένο, δεν θα βοηθήσει σε UDP ή άλλα πρωτόκολλα IP.
Προσθέστε την ακόλουθη γραμμή πριν την κρυπτογράφηση για να ρυθμίσετε το firewall σας:
iptables -t mangle TCP --tcp σημαίες -A POSTROUTING -p ΣΥΝ, ΤΥ ΣΥΝ -o eth0 -j TCPMSS --set-MSS $ ((1500-40-8-16-6-15))
Το πρωτόκολλο
Για την κρυπτογράφηση κάθε μη κρυπτογραφημένο πακέτο λαμβάνεται και μετατρέπεται σε ένα κωδικοποιημένο. Ούτε ένα επιπλέον πακέτο στέλνεται ποτέ.
   Αρχικό ομόλογό Seppl
+ ------------ + + ----------------------- +
| IP-Header | | Τροποποιημένο IP-Header | |
+ ------------ + + ----------------------- + |
| Ωφέλιμο φορτίο | | Seppl-Header |> Unencrypted
+ ------------ + + ----------------------- + |
                            | Διάνυσμα αρχικοποίησης | |
                            + ----------------------- + /
                            | Seppl-Header |
                            + ----------------------- + | Κρυπτογραφημένο
                            | Ωφέλιμο φορτίο | |
                            + ----------------------- + /
Η αρχική κεφαλίδα ΙΡ διατηρείται όσο το δυνατόν περισσότερο. Μόνο τρία πεδία αντικαθίστανται με νέες τιμές. Ο αριθμός πρωτοκόλλου έχει οριστεί σε 177, η μετατόπιση θραύσμα έχει οριστεί σε 0 και το συνολικό μήκος διορθώνεται με το νέο μήκος. Όλα τα άλλα πεδία παραμένουν ως έχουν, συμπεριλαμβανομένων των δικαιωμάτων προαίρεσης IP.
Η μη κρυπτογραφημένη επικεφαλίδα Seppl αποτελείται από ένα byte κρυπτογράφησης αριθμό και ένα όνομα κλειδιού. Επί του παρόντος, μόνο 0 και 1 ορίζονται ως κρυπτογράφημα αριθμοί για AES με κλειδιά 128 bit, αντίστοιχα. AES με κλειδί 192bit. Το όνομα κλειδιού (7 bytes) μπορεί να χρησιμοποιηθεί για να επιλέξετε ένα συγκεκριμένο κλειδί σε ένα μεγαλύτερο μπρελόκ.
Η IV χρησιμοποιείται για την κωδικοποίηση της ΚΤΚ της κρυπτογράφησης που χρησιμοποιείται. Διαφέρει από το πακέτο προς πακέτων, αλλά δεν είναι τυχαία. Για λόγους παράσταση, μόνο η αρχική IV κατά την εκκίνηση του συστήματος είναι τυχαία, όλα τα παρακάτω IVs δημιουργούνται με αύξηση τα προηγούμενα.
Το κωδικοποιημένο κεφαλίδα Seppl αποτελείται από τρία πεδία έσωσε από την αρχική κεφαλίδα IP (αριθμός πρωτοκόλλου, η οποία αντισταθμίστηκε τεμάχιο, συνολικού μήκους) και ένα byte, που είναι πάντα μηδέν για την ανίχνευση αναίρεση αντιστοίχισης των πλήκτρων.
Το ωφέλιμο φορτίο είναι η αρχική ΠΕ-ωφέλιμη μάζα, από το TCP / UDP / άλλη κεφαλίδα μέχρι το τέλος.
Περιορισμοί:
· Seppl έρχεται σε επαφή με την παρακολούθηση σύνδεση netfilter με κάποιο τρόπο. Έτσι δεν θα είναι σε θέση να χρησιμοποιεί το NAT, σε συνδυασμό με Seppl. Εάν χρησιμοποιείτε την παρακολούθηση σύνδεση με κάποιο άλλο τρόπο, μαζί με Seppl απόσταση σε μίλια σας μπορεί να διαφέρουν.
· Seppl δοκιμάζεται με Linux 2.6.1. Χρησιμοποιήστε την έκδοση 0.3 για Linux 2.4.
Απαιτήσεις:
· Seppl αναπτύχθηκε και δοκιμάστηκε στο Debian GNU / Linux "δοκιμή" από το Νοέμβρη 2003, θα πρέπει να λειτουργεί σε περισσότερες άλλες διανομές Linux και Unix εκδόσεις, αφού χρησιμοποιεί το GNU Autoconf και GNU libtool για τη διαμόρφωση του πηγαίου κώδικα και επιμερισμένη διαχείριση βιβλιοθήκης.
· Seppl απαιτεί Linux 2.6. {0,1} (εγκατεστημένο ρυθμιστεί πηγές) και iptables 1.2.8 ή νεότερο.
· Το πλήρες σύνολο εργαλείων userspace απαιτεί Python 2.1 ή νεότερη έκδοση. Ένα λιτό σύνολο στο C είναι επίσης διαθέσιμες.
Εγκατάσταση:
Δεδομένου ότι αυτό το πακέτο είναι κατασκευασμένο με τις autotools GNU θα πρέπει να εκτελέσετε ./configure μέσα στον κατάλογο διανομής για τη διαμόρφωση του πηγαίου κώδικα. Μετά από αυτό θα πρέπει να εκτελέσετε κάνει για την εκπόνηση και make install (ως root) για την εγκατάσταση του Seppl.
Τι νέο υπάρχει σε αυτήν την έκδοση:
· Θύρα στο Linux 2.6, χωρίς άλλες αλλαγές. Έκδοση 0.4 είναι πλέον συμβατό με πυρήνα 2.4. Χρησιμοποιήστε την έκδοση 0.3 για τον πυρήνα 2.4, είναι λειτουργικά ισοδύναμη.