fwknop מייצג את "חומת אש לדפוק מפעיל", ומיישם את תכנית הרשאות מבוססות סביב Netfilter וlibpcap שדורשת רק מנה אחת מוצפנת על מנת לתקשר חלקים שונים של מידע, כולל גישה רצויה באמצעות מדיניות Netfilter ו / או פקודות מלאים לבצע במערכת היעד.
על ידי שימוש בNetfilter לשמור עמדה "ירידת ברירת מחדל", היישום העיקרי של תכנית זו הוא להגן על שירותים כגון OpenSSH עם שכבה נוספת של אבטחה על מנת להפוך את הניצול של נקודות תורפה (שניהם 0 ימים וקוד unpatched) הרבה יותר קשה.
שרת האישור פסיבי עוקב אחר חבילות אישור באמצעות libcap ולכן אין "שרת" שאליו להתחבר במובן המסורתי . גישה לשירות מוגן ניתן לאחר מנות מוצפנות ו- שחזר הלא חוקית במעקב בלבד.
שיטה זו דומה לתכנית יחידה Packet האישור שהוצעה על ידי Nomad פשוט וההורים בבית NMRC
Fwknop פרויקט היה גם הכלי הראשון לשלב יציאה מסורתית מוצפנת לדפוק עם טביעת אצבע OS פסיבית. זה עושה את זה ניתן לעשות דברים כמו לאפשר רק, נניח, Linux-2.4 / 2.6 מערכות להתחבר לשד SSH שלך
מה חדש במהדורה זו:.
<>
(Radostan Riedel) העלה מדיניות AppArmor לfwknopd כי ידוע לעבודה על מערכות דביאן ואובונטו. קובץ המדיניות זמין בתוספות / apparmor / usr.sbin / fwknopd. ניקולאי Kolev דיווח [libfko] בעיה לבנות עם Mac OS X Mavericks בי עותקי fwknop המקומיים של strlcat () וstrlcpy () היו מתנגשים עם אלה שכבר ספינה עם OS X 10.9. סוגר # 108 על GitHub. הקשר [libfko] (Franck Joncourt) המאוחד FKO השלכת פונקציה לlib / fko_util.c. בנוסף להוספת פונקציית תועלת משותפת להדפסת הקשר FKO, שינוי זה גם הופך את פלט הקשר FKO קל מעט לנתח על ידי הדפסת כל תכונת FKO בשורה אחת (שינוי זה השפיע על ההדפסה של נתוני מנות SPA הסופיים). חבילת הבדיקות עודכנה כדי להסביר את השינוי הזה גם כן. [libfko] תיקון באג ללא ינסה פענוח מנות SPA עם GnuPG ללא אובייקט fko עם encryption_mode מוגדר FKO_ENC_MODE_ASYMMETRIC. הבאג הזה נתפס עם אימות valgrind נגד הארכת FKO פרל יחד עם הסט של מנות fuzzing SPA במבחן / fuzzing / fuzzing_spa_packets. שים לב שבאג זה לא יכול להיות מופעל באמצעות fwknopd כי בדיקות נוספות שנעשו בתוך fwknopd עצמו לכפות FKO_ENC_MODE_ASYMMETRIC בכל פעם שחרוזת access.conf מכילה GPG מידע חשוב. תיקון זה מחזק libfko עצמו לדרוש באופן עצמאי כי השימוש באובייקטי fko ללא מידע מפתח GPG לא לגרום לפעולות פענוח GPG ניסו. מכאן תיקון זה חל בעיקר שימוש בצד שלישי של libfko i.e. מתקני מניות של fwknopd אינם מושפעים. כמו תמיד, מומלץ להשתמש בהצפנת HMAC מאומת במידת האפשר גם למצבי GPG שכן זה גם מספק עבודה סביב אפילו לlibfko לפני תיקון זה .
[Android] (ג'רי רינו) עדכון הלקוח Android להיות תואם עם אנדרואיד 4.4-. תמיכה [Android] נוסף HMAC (כיום אופציונלית). מנות ברירת מחדל pcap_dispatch עדכון [שרת] () לספור מאפס עד 100. שינוי זה נעשה כדי להבטיח תאימות לאחור עם גרסאות ישנות יותר של libpcap לדף איש pcap_dispatch (), וגם בגלל שחלק מדו"ח מLes Aker של התרסקות בלתי צפויה על Arch Linux עם libpcap-1.5.1 שנקבעה על ידי שינוי זה (סוגרת # 110). [שרת] תיקון באג למצבי NAT SPA על חומות אש iptables כדי להבטיח מותאם אישית שfwknop רשתות מחדש נוצרו אם הם מקבלים נמחקו מתחת לריצת fwknopd למשל. [שרת] נוסף FORCE_SNAT לקובץ access.conf כך שיכולים להיות מוגדרים קריטריוני SNAT חרוזה לכל גישה לגישת SPA. [חבילת בדיקות] הוסיפה --gdb מבחן כדי לאפשר פקודת fwknop או fwknopd להורג בעבר להישלח דרך gdb עם args שורת הפקודה זהה לחבילת הבדיקות בשימוש. זה נועד לנוחות כדי לאפשר מהירות gdb שישוגר כאשר חוקרים בעיות fwknop / fwknopd. [הלקוח] (Franck Joncourt) העלה טיעון --stanza-רשימה כדי להציג את שמות חרוזה מ~ / .fwknoprc. [libfko] (האנק Leininger) תרם תיקון להאריך באופן משמעותי libfko תיאור קוד שגיאה במקומות שונים על מנת לתת מידע הרבה יותר טוב על מה מצבי שגיאה מסוימים אומר. סוגר # 98. [חבילת בדיקות] נוסף את היכולת להריץ בדיקות מודול מובנים FKO פרל בt / הספרייה מתחת למודול CPAN המבחן :: Valgrind. זה מאפשר בדיקות זיכרון valgrind שתחולנה על libfko פונקציות באמצעות מודול פרל FKO (ולכן אב טיפוס ודגמים יכולים להיות משולבים עם גילוי דליפת זיכרון). בדיקה נעשתה כדי לראות אם מודול המבחן :: Valgrind הותקן, ו--enable-valgrind נדרש גם (או --enable-כל) בשורת פקודת test-fwknop.pl. מה חדש בגרסת 2.5.1:
תיקון באג בלקוח fwknop לאפס את הגדרות מסוף לOrignal של ערכים לאחר הזנת מפתחות באמצעות stdin.
תיקון באג בdaemon fwknopd לא להדפיס אזהרת קיום קובץ PID. תיקון באג חבילת בדיקות לא לרוץ מבחן Rijndael HMAC iptables על מערכות שאינן לינוקס. מה חדש בגרסת 2.5:
- גרסה זו נוספה תמיכה בHMAC SHA-256 הצפנה מאומתת ב המודל להצפין-אז-אימות.
- באגים רבים שהתגלו על ידי מנתח סטטי Coverity היו קבועים.
- בדיקות תאימות OpenSSL נוספו לחבילת הבדיקות.
- יכולת לקוח חרוזת חיסכון נוסף ל~ / קובץ .fwknoprc, לפשט את השימוש הלקוח fwknop.
- היכולת ליצור באופן אוטומטי על שני מקשי Rijndael וHMAC עם --key-gen נוספה.
מה חדש בגרסת 2.0.4:
בצד השרת, מהדורה זו מוסיפה chain_exists () לבדוק ליצירת שלטון SPA כך שאם כל רשתות fwknop נמחקים מתחת fwknopd, הם ייוצרו מחדש על לטוס.
זה מוסיף יכולת fuzzing מנות SPA חדשה לחבילת הבדיקות כדי לסייע באימות של פעולות SPA. זה מוסיף config שעלה לגדולה למערכות הפעלת daemon שעלה לגדולה. . ndbm OpenBSD / תיקון באג שימוש gdbm
שורת פקודת טיעוני הלקוח סוג / קוד ICMP נוספו לכאשר מנות SPA נשלחות על ICMP. מה חדש בגרסת 2.0.3:
- נקודות תורפה כמה DoS / קוד ביצוע עבור לקוחות fwknop זדוניים שמצליחים לעבור את שלב האימות (ולכן לקוחות כגון חייבים להחזיק מפתח הצפנה תקף) תוקנו.
- הרשאות ובדיקות בעלות נוספו לכל הקבצים הנצרכים על ידי הלקוח ושרת fwknop.
- RPM בונה תוקנו על ידי הכללת $ הקידומת (DESTDIR) להסרת התקנה המקומית ולהתקין exec-וו שלבים בMakefile.am.
מה חדש בגרסת 2.0.2:
טיפול טוב יותר של GnuPG לפענוח מנות SPA ב בצד שרת (חשבונות ללא מפתחות gpg ביטוי סיסמה כאשר GPG-סוכן או pinentry אחרת נדרשים).
. תיקון באג בקוד זיהוי שידור חוזר מנות SPA
צ'ק על קיומו של משחק iptables 'התגובה' כאשר לשרת נפרס על לינוקס. כמה תיקוני באגים אחרים. מה חדש בגרסה 2.0:.
זו היא גרסת הייצור של שכתוב C fwknop
הוא מביא אישור יחיד Packet לשלוש חומות אש קוד פתוח שונות (iptables, ipfw, וPF), מערכות משובצות ומכשירים ניידים. שרת fwknopd פועל על לינוקס, Mac OS X, FreeBSD, OpenBSD ו. הלקוח פועל על כל הפלטפורמות הללו, כמו גם Android, iPhone, וCygwin תחת Windows. בנוסף, הלקוח הוא נייד, וניתן להדר כינארי מקורי של Windows. מה חדש בגרסה 2.0 RC5:
גרסה זו מוסיפה תמיכת PF OpenBSD, מוסיף FORCE_NAT
חדש מצב לכפות שקוף חיבורים מאומתים למערכות פנימיות שצוינו, מוסיף חבילת בדיקות מקיפה, ומוסיף את היכולת תפקע באופן אוטומטי מפתחות SPA.
תיקוני באגים טיפול זיכרון כמה נעשו. מה חדש בגרסת 1.9.12:
מודול FKO שהוא חלק מספריית libfko היה משולב באופן מלא לכל שגרת SPA:. הצפנה / פענוח, לעכל חישוב, זיהוי התקפת שידור חוזר, וכו '
היכולת להתאושש ממצבי שגיאת ממשק נוסף, כגון כאשר fwknopd מרחרח ממשק ppp (נניח, הקשורים לVPN) שהולך משם ולאחר מכן נבנה מחדש. לקוח fwknop עודכן כדי לכלול את יעד SPA לפני החלטת DNS בעת שליחת חבילת ספא על בקשת HTTP.
20 Feb 15
תגובות לא נמצא