seppl

Seppl yra tiek protokolas apibrėžimas ir programinė įranga įgyvendinimas naują šifravimo sluoksnis IPv4. Seppl projektas pasinaudoja simetriškai kriptografija šifravimo visą srautą tinkle. Jos įgyvendinimas yra sukurta aplink Linux netfilter / iptables.
Seppl pristato du naujus netfilter tikslus: kripta ir iššifruoti. Taip užkardos taisyklę gali būti naudojama šifravimo / dešifravimo gaunamus ir siunčiamus tinklo srautą. Tai daro Seppl nepaprastai lengva naudotis, nes nėra demonai reikia paleisti saugaus bendravimo.
Seppl naudoja šifravimo variklis Linux Kriptografiniai API, kuri yra prieinama branduolio 2.4.22 ir naujesnės.
Seppl pirmiausia skirtas šifravimo belaidžio LAN (kaip saugios pakeisti skaldytų WEP šifravimas) ir vietos Ethernet tinklų, bet gali būti naudojami didelio masto VPN sprendimai, taip pat.
Protokolas Seppl remiasi, yra nesuderinama su bet kuria kita programine įranga. Protokolas yra atviras ir gerai apibrėžtas, bet nėra, išskyrus šio pamatinio programinės įrangos diegimas.
Kodėl Seppl, jau yra IPSec CIPE ...?
CIPE gali būti naudojamas taškas-taškas tik jungtimis. Ji tunelio konstrukcijos, todėl pristato naują IP adresus. Tai ne visada pageidautina. Jis reikalauja vartotojas kosmoso demonas.
IPSEC / FreeSwan yra labai sudėtinga naudotis. Dėl savo keistą maršruto schema tai yra beveik neįmanoma naudoti kartu su maršruto tarnybas. IPSEC yra sunkiasvoris.
Seppl yra nuoširdžiai "peer-to-peer". Ji užšifruoja sklandžiai visą srautą, išeinantį ir todėl suderinama su maršruto tarnybas. Tai labai paprasta naudoti, taip pat, kaip tai nėra jokio iki normalaus maršruto elgesio kaita. Seppl yra labai lengvas.
Įgyvendinimas
Įgyvendinimas susideda iš trijų Linux branduolio modulių: seppl.o, ipt_CRYPT.o ir ipt_DECRYPT.o. Pirmoji yra iš branduoliui raktas vadovas, pastarasis yra du nauji netfilter tikslai. Abu priklauso nuo seppl.o.
seppl.o turi būti įtrauktas į branduolio pirmąją vietą. Pagrindinis vadovas gali būti prieinama su failo / proc / net / seppl_keyring. Jame yra dvejetainiai pagrindinius duomenis ir iš pradžių yra tuščias. Galite pridėti naują raktą raštu jį šio failo.
Du Python skriptus Seppl-ls ir Seppl-Gen-key man būti naudojamas raktų. Seppl-ls gali būti naudojama konvertuoti Seppl raktus tarp dvejetainiu formatu naudojamas / proc / net / seppl_keyring ir žmogaus skaitymo XML formatu. Tiesiog skambinkite Seppl-Ls už visų šiuo metu veikiančių mygtukų sąrašą. Seppl-Gen-raktas generuoja naują raktą nuo / dev / urandom. Pagal nutylėjimą ji naudoja XML formatą. Parametras -X pajėgos dvejetainis režimą. Jūs galite kurti ir įjungti dvi raktus "Linus" ir "Alan" išleidžiant šią komandą eilutes:
Seppl-Gen-raktas -n Linus -x> / proc / net / seppl_keyring
Seppl-Gen-raktas -n alan -X> / proc / net / seppl_keyring
Seppl-Ls be argumentų sąrašą naujų išsaugotus branduolio raktų raktus. Jūs galite pašalinti visus (šiuo metu nenaudojama) raktus išleidžiant:
echo aiškų> / proc / net / seppl_keyring
Nuo Seppl yra pagrįstas simetriniu kriptografija naudojant bendrus raktus turite nukopijuoti naujai sukurtas klavišus kiekvieną priimančiosios norite prisijungti prie jūsų Seppl infrastruktūrą. (Pageidautina per SSH ar bet kurį kitą saugų failų perdavimo) Jūs gaunate dvejetainis kopiją jūsų dabartinės raktų išleidžiant:
cat / proc / net / seppl_keyring> keyring.save
Dabar kopijuoti, kad failas keyring.save visiems kitiems šeimininkų ir išduoti šią komandą yra:
Kačių keyring.save> / proc / net / seppl_keyring
Tai yra labai paprasta, ar ne?
Po darydami galite konfigūruoti užkardos nustatymus kiekvienos priimančiosios:
iptables -t išdarkyti -a POSTROUTING -O eth0 -j kripta --key Linus
iptables -t išdarkyti -A PREROUTING -i eth0 -j iššifruoti
Tai bus užšifruoti visą duomenų srautą, išeinantį į eth0 su rakto "Linus". Visi gaunami eismo iššifruoti su arba "Linus" arba "alan", priklausomai nuo rakto, nurodyto konkretaus tinklo paketų vardu. Paprastasis gaunamus paketus tyliai atsisakyta. Naudojimas
iptables -t išdarkyti -A PREROUTING -p 177 -i eth0 -j iššifruoti
leisti tiek Crypted ir paprastasis įeinantį srautą.
Viskas. Tu baigiai. Visi jūsų eismas vietinės potinklio dabar siunčia šifruotus su Seppl.
Numatytasis šifras yra AES-128. Jei nenurodysite panaudotų pagrindinių nutylėjimą jis "def" vardą.
SysV- pirminio paleidimo scenarijus /etc/init.d/seppl yra numatyta. Tai bus įkelti Seppl branduolio modulius ir rašyti visus raktus iš katalogo / etc / Seppl į branduolio raktinės. Jis nebus pridėti ugniasienės taisykles, tačiau.
Našumo problemos
Tinklo paketai yra padidintas dydis, kai jie siunčia šifruotus, nes dvi naujas antraštes ir IV yra pridėta. (36 baitų vidurkį) Tai prieštarauja dėl tam tikrų su MTU valdymo Linux branduolio būdu, o dėl to, turintys visas dideles paketus (tai yra: paketas dydžio šalia MTU) suskaidyta viena didelė ir dar vienas labai nedidelis paketas. Tai skauda tinklo našumą. Darbo aplink šio apribojimo naudojasi TCPMSS tikslą netfilter reguliuoti MSS vertę TCP antraštės mažesnių reikšmių. Tai padidins TCP Perfomance, nes TCP paketus iš MTU nebėra sukurtas. Taigi ne susiskaldymas yra reikalinga. Tačiau TCPMSS yra TCP specifinė, tai nepadės UDP ar kitų IP protokolais.
Pridėti šią eilutę prieš šifravimo jūsų ugniasienės konfigūracija:
iptables -t išdarkyti -a POSTROUTING -p tcp --tcp vėliavėlės SYN RST SYN -o eth0 -j TCPMSS --set-MSS $ ((1500-40-8-16-6-15))
Protokolas
Šifravimui kiekvieną paprastasis paketas yra priimtas ir konvertuojami į Crypted vienas. Ne vieną toliau paketas kada išsiųstas.
   Originalus Seppl kolega
+ ------------ + + ----------------------- +
| IP antraštė | | Modifikuotas IP antraštė | |
+ ------------ + + ----------------------- + |
| Naudingoji apkrova | | Seppl-antraštė |> nešifruoto
+ ------------ + + ----------------------- + |
                            | Pradės Vektorius | |
                            + ----------------------- + /
                            | Seppl-antraštė |
                            + ----------------------- + | Crypted
                            | Naudingoji apkrova | |
                            + ----------------------- + /
Originalus IP antraštė yra laikomi kiek įmanoma. Tik trys laukai yra pakeistos naujomis vertybėmis. Protokolas numeris yra nustatytas į 177, fragmentas, kompensuoti yra nustatytas į 0 ir bendras ilgis yra koreguojami, kad naujos ilgio. Visi kiti laukai yra laikomi kaip yra, įskaitant IP variantų.
Paprastasis Seppl antraštės sudaro vieno baito šifravimo skaičių ir rakto pavadinimas. Šiuo metu tik 0 ir 1 yra apibrėžiamas kaip šifras numerius SEP 128bit raktu, resp. AES su 192bit raktu. Pagrindinis vardas (7 baitai) gali būti naudojamas pasirinkti konkretų raktą didesnių raktinės.
IV yra naudojamas TB kodavimo skaitmeniu naudojamas. Ji skiriasi nuo pakelio paketų, bet nėra atsitiktinai generuojami. Atsižvelgdami į tai, Perfomance priežasčių, tik pradinis IV paleidžiant sistemą yra atsitiktinių imčių, visi šie IVS generuoja pokyčio ankstesnieji.
Šifruota Seppl antraštės sudaro trys išsaugotų sričių originalaus IP antraštės (protokolo numerį, fragmentui kompensuoti, viso ilgio) ir baito kuris visada 0 aptikti unmatching raktus.
Naudingoji apkrova yra pirminis TL-playload, iš TCP / UDP / Kita antraštės iki galo.
Apribojimai:
· Seppl konfliktuoja su netfilter jungiamuosius sekimo tam tikru būdu. Taigi jūs negalėsite naudoti NAT kartu su Seppl. Jei naudojatės ryšio stebėjimo kitu būdu kartu su Seppl jūsų rida gali skirtis.
· Seppl bandomas su Linux 2.6.1. Naudokite versiją 0.3 for Linux 2.4.
Reikalavimai:
· Seppl buvo sukurta ir išbandyta apie Debian GNU / Linux "bandymus" tarp lapkričio 2003 ji turėtų dirbti daugelyje kitų Linux distribucijų ir Unix versijos, nes ji naudoja GNU Autoconf ir GNU libtool už kodo konfigūraciją ir bendra bibliotekos valdymą.
· Seppl reikalauja Linux "2.6. {0,1} (įdiegta neužpildė šaltiniai) ir iptables 1.2.8 arba naujesnė versija.
· Visiškai userspace įrankių rinkinys reikalingas Python 2.1 arba naujesnė versija. Atėmė žemyn rinkinys C yra taip pat.
Įrengimas:
Kadangi šis paketas yra pagamintas su GNU autotools turėtumėte paleisti Configure viduje paskirstymo kataloge konfigūruoti išeities tekstų medį. Po to turėtumėte paleisti kad kompiliavimo ir make install (root) įrengimo Seppl.
Kas naujo šioje versijoje:
· Uosto Linux 2.6, be kitų pakeitimų. Versija 0.4 nebėra suderinama su branduolio 2.4. Naudokite versija 0,3 branduolio 2.4, tai funkciškai lygiavertės.