seppl הוא גם הגדרת פרוטוקול ויישום תוכנה של שכבת הצפנה חדשה עבור IPv4. פרויקט seppl עושה שימוש בהצפנה סימטרית להצפנה כל התנועה ברשת. יישומה נועד סביב Netfilter / iptables לינוקס.
seppl מציג שתי מטרות netfilter חדשות: CRYPT ולפענח. כלל חומת אש עשוי כך לשמש להצפנה / פענוח תעבורת הרשת הנכנסת ויוצאת. זה עושה seppl קל בצורה יוצאת דופן לשימוש, שכן אין דמונים צריכים לרוץ לתקשורת מאובטחת.
seppl משתמש במנוע ההצפנה של ה- API ההצפנה לינוקס אשר זמינה בליבת 2.4.22 וחדשים יותר.
seppl מיועד בעיקר להצפנת רשתות LAN האלחוטית (כתחליף מאובטח של הצפנת WEP השבורה) ורשתות Ethernet מקומיות, אך ניתן להשתמש בו לפתרונות VPN בקנה מידה גדולה, כמו גם.
Seppl הפרוטוקול מסתמך על אינו תואם לכל תוכנה אחרת. הפרוטוקול פתוח ומוגדר היטב, אבל אין יישום אחר מאשר תוכנת התייחסות זו.
למה SEPPL, יש כבר IPSEC, CIPE, ...?
CIPE עשוי לשמש לחיבורי נקודה לנקודה בלבד. יש לו מבנה מנהרה ובכך מציג את כתובות ה- IP חדשות. זה לא תמיד רצוי. זה דורש דמון מרחב משתמש.
IPSEC / FreeSwan הוא מאוד מסובך לשימוש. בשל תכנית הניתוב המוזרה שלה זה כמעט בלתי אפשרי לשימוש יחד עם דמונים ניתוב. IPSEC הוא במשקל כבד.
seppl הוא משחקים מהפנטים peer-to-peer. זה מצפין בצורה חלקה כל התנועה היוצאת וזה כך תואם עם דמונים ניתוב. זה קל מאוד לשימוש, כמו גם, כפי שהוא עושה שום שינוי להתנהגות הניתוב הרגילה. seppl הוא מאוד קל.
היישום
היישום מורכב משלושה מודולי הקרנל לינוקס: seppl.o, ipt_CRYPT.o וipt_DECRYPT.o. לשעבר הוא מנהל מפתח ב- ליבה, האחרון הם שתי מטרות netfilter החדשות. שני תלויים בseppl.o.
seppl.o חייב להיות מוכנס לתוך ליבה במקום הראשון. מנהל המפתח ניתן לגשת לקובץ / proc / נטו / seppl_keyring. הוא מכיל נתונים מרכזיים בינארי, והוא בהתחלה ריקה. באפשרותך להוסיף מפתח חדש על ידי כתיבה אותו לקובץ ש.
שני תסריטי פייתון seppl-LS וseppl-gen-Key לשמש לניהול מרכזי. seppl-LS עשוי לשמש להמרת מפתחות seppl בין הפורמט בינארי המשמש / proc / נטו / seppl_keyring ופורמט XML קריא אדם מבוסס. פשוט לקרוא seppl-LS לרשימה של כל המקשים הפעילים כרגע. seppl-gen-מפתח יוצר מפתח חדש מ/ dev / urandom. כברירת מחדל זה יהיה להשתמש בפורמט XML. כוחות -x פרמטר מצב בינארי. אתה יכול ליצור ולהפעיל שני מפתחות "לינוס" ו- "אלן" על ידי הנפקת שורות הפקודה הבאה:
לינוס -x> / proc / נטו / seppl_keyring -n seppl-gen-מפתח
seppl-gen-מפתח -n אלן -x> / proc / נטו / seppl_keyring
seppl-ls ללא ויכוח מפרט את המפתחות החדשים שנשמרו במחזיק מפתחות הליבה. אתה יכול להסיר את כל מפתחות (שאינו בשימוש כיום) על ידי הנפקה:
הד> / proc / נטו / seppl_keyring ברור
מאז seppl מבוסס על הצפנה סימטרית באמצעות מפתחות משותפים אתה צריך להעתיק את מפתחות חדשים שנוצרו לכל מארח ברצונך להתחבר לתשתית seppl. (רצוי דרך SSH או כל העברת קבצים מאובטחת אחרת) אתה מקבל עותק בינארי של מחזיק המפתחות הנוכחיים שלך על ידי הנפקה:
חתול / proc / נטו / seppl_keyring> keyring.save
עכשיו להעתיק שkeyring.save קובץ לכל צבאות האחרים ולהוציא את הפקודה הבאה שם:
keyring.save חתול> / proc / נטו / seppl_keyring
כי הוא פשוט, לא?
לאחר שתעשה זאת אתה עלול להגדיר ההגדרות חומת האש שלך על כל מארח:
iptables -t ינוס -A POSTROUTING -o eth0 -j --key CRYPT מכבשים
iptables -t מכבשי -A PREROUTING -i eth0 -j לפענח
זה יהיה להצפין את כל התעבורה היוצאת בeth0 עם "לינוס" המפתח. כל התעבורה הנכנסת מפוענחת גם עם "לינוס" או "אלן", בהתאם לשם המפתח שצוין ברשת המנות הספציפיות. מנות נכנסות מוצפנות הם ירדו בשקט. שימוש
iptables -t מכבשי -A PREROUTING -p 177 -i eth0 -j לפענח
למאפשר תעבורה נכנסת שני crypted ולא מוצפנת.
זה הכל. סיימת. כל התנועה שלך ברשת המשנה המקומית עכשיו crypted עם seppl.
צופן ברירת המחדל הוא AES-128. אם לא תציין את שמו של מחדל זה מפתח המשמש ל" def ".
/etc/init.d/seppl תסריט init SysV מסופק. זה יהיה לטעון מודולי הקרנל של seppl ולכתוב את כל המפתחות מהספרייה / etc / seppl למחזיק מפתחות הליבה. זה לא מוסיף שום כללי חומת אש, עם זאת.
בעיות ביצועים
מנות הרשת גדלו בגודל כאשר הם crypted, מאז שתי כותרות חדשות והרביעיות מתווספים. (36 בייטים בממוצע) קונפליקטים זה בדרך כלשהי עם הנהלת MTU של הקרנל של לינוקס ותוצאות שבכל המנות הגדולות (כלומר: גודל חבילה ליד MTU) מקוטעים באחד גדול ועוד חבילה קטנה מאוד. זה יפגע בביצועי רשת. עבודה מסביב להגבלה זו היא באמצעות יעד TCPMSS של netfilter להתאים את ערך MSS בכותרת TCP לערכים קטנים יותר. זה יגביר את הופעת TCP, מאז מנות TCP בגודל של MTU הן כבר לא נוצרו. לפיכך אין צורך בפיצול. עם זאת, TCPMSS הוא TCP ספציפי, זה לא יעזור בUDP או פרוטוקולי IP אחרים.
הוסף את השורה הבאה לפני ההצפנה להתקנת חומת האש שלך:
iptables -t TCP --tcp-דגלי -p -A POSTROUTING מכבשי SYN, RST SYN -o eth0 -j TCPMSS --set-MSS $ ((1500-40-8-16-6-15))
הפרוטוקול
להצפנה כל מנות מוצפנות נלקחה והוסבו לאחד crypted. לא מנה נוספת אחת נשלחה אי פעם.
עמית SEPPL מקורי
+ + + ------------ ----------------------- +
| IP-כותרת | | IP-כותרת השתנה | |
+ + + ------------ ----------------------- + |
| מטען | | SEPPL-כותרת |> לא מוצפן
+ + + ------------ ----------------------- + |
| אתחול וקטור | |
+ ----------------------- + /
| SEPPL-כותרת |
+ ----------------------- + | Crypted
| מטען | |
+ ----------------------- + /
כותרת ה- IP המקורית נשמר ככל האפשר. רק שלושה שדות מוחלפים בערכים חדשים. מספר הפרוטוקול מוגדר 177, בר קיזוז מוגדר 0 והאורך הכולל מתוקן לאורך החדש. כל השדות אחרים נשמרים כפי שהוא, לרבות אופציות IP.
כותרת seppl מוצפנת מורכבת ממספר צופן אחד-בייט ושם מפתח. נכון לעכשיו רק 0 ו -1 מוגדר כמספרי צופן לAES 128bit עם מפתח, שו"ת. AES עם מפתח 192bit. שם המפתח (7 בתים) ניתן להשתמש כדי לבחור מפתח ספציפי במחזיק מפתחות גדולים יותר.
IV משמש לקידוד CBC של הצופן בשימוש. זה שונה ממנה למנה, אך לא נוצר באופן אקראי. בשל סיבות ההופעה, IV הראשוני בלבד בהפעלת המערכת באופן אקראי, כל המשתנים בלתי התלויים הבאים נוצרים ידי הגדלה הקודמת.
כותרת seppl crypted מורכבת משלושה שדות הצילו של כותרת ה- IP המקורית (מספר פרוטוקול, בר קיזוז, אורך כולל) ובתים שהוא תמיד 0 לאיתור מפתחות לא תואמים.
המטען הוא IP-playload המקורי, מTCP / UDP / הכותרת אחרת לסוף.
מגבלות:
· Seppl מפריע למעקב החיבור של netfilter בדרך כלשהי. לכן אתה לא תוכל להשתמש NAT בשיתוף עם seppl. אם אתה משתמש במעקב חיבור בדרך אחרת יחד עם seppl המילים שלך עשויות להשתנות.
· Seppl נבדק עם לינוקס 2.6.1. השתמש בגרסה 0.3 עבור לינוקס 2.4.
דרישות:
· Seppl פותח ונבדק על "בדיקה" דביאן גנו / לינוקס מנובמבר 2003, זה אמור לעבוד על רוב ההפצות הלינוקס אחרות וגרסאות יוניקס מאז היא משתמשת libtool GNU Autoconf והגנים לתצורת קוד המקור וניהול ספרייה משותפת.
· Seppl דורש Linux 2.6. {0,1} (מקורות מוגדרים מותקנים) וiptables 1.2.8 או חדש יותר.
· סט כלי userspace השלם דורש פייתון 2.1 או חדשים יותר. סט התפשט בC הנו זמין גם כן.
התקנה:
כחבילה זו היא עשתה עם autotools GNU אתה צריך לרוץ ./configure בתוך ספריית ההפצה להגדרת עץ המקור. אחרי זה אתה צריך לרוץ לעשות עבור הידור ולהפוך את ההתקנה (כמו שורש) להתקנה של seppl.
מה חדש במהדורה זו:
· יציאה 2.6 של לינוקס, לא חל שינויים אחרים. הגרסה 0.4 כבר לא תואמת את קרנל 2.4. השתמשו בגרסה 0.3 עבור קרנל 2.4, זה שווה ערך מבחינה תפקודית.
תגובות לא נמצא