seppl

seppl е както дефиниция за протокол и внедряване на софтуерни на нова криптиране слой за IPv4. seppl проект прави използването на симетрична криптография за криптиране на целия трафик в мрежа. Неговото изпълнение е проектирана по Linux Netfilter / IPTABLES.
seppl въвежда две нови цели Netfilter: CRYPT и декриптиране. Правило Защитната стена може по този начин да се използва за криптиране / декриптиране на входящ и изходящ мрежов трафик. Това прави seppl изключително лесен за използване, тъй като не демони трябва да се кандидатира за сигурна комуникация.
seppl използва криптиране двигателя на API Linux Криптографски която е на разположение в ядрото 2.4.22 и по-нова.
seppl е предназначена предимно за криптиране на безжични локални мрежи (като защитен подмяна на счупени WEP криптиране) и местни Ethernet мрежи, но може да се използва за широкомащабно VPN решения, както добре.
Seppl The протокол разчита не е съвместим с друг софтуер. Протоколът е открит и добре дефинирани но няма изпълнение, различна от тази референтна софтуер.
Защо SEPPL, има вече IPSEC, CIPE, ...?
CIPE може да бъде използван за точка-до-точка само на връзки. Той има тунел структура и по този начин се въвеждат нови IP адреси. Това не винаги е желателно. Тя изисква потребителско пространство демон.
IPSEC / FreeSwan е изключително сложен за използване. Поради своята странна схема за маршрутизация е почти невъзможно да се използва заедно с демони за маршрутизация. IPSEC е в тежка категория.
seppl е наистина партньорска към партньорската. Той криптира безпроблемно всички изходящ трафик и по този начин за съвместима с демони за маршрутизация. Тя е изключително лесна за използване, както и, както го прави без промяна в нормалното поведение маршрутизация. seppl е изключително лека.
Прилагане
Прилагането се състои от три Linux ядрото модули: seppl.o, ipt_CRYPT.o и ipt_DECRYPT.o. Първият е ключов мениджър в ядрото, а те са в двете нови Netfilter цели. И двете зависят от seppl.o.
seppl.o трябва да бъде включен в ядрото на първо място. Ключовият мениджър може да бъде достигнат с файла / ргос / нето / seppl_keyring. Той съдържа двоични ключови данни и първоначално е празен. Можете да добавите нов ключ от нея писмено до този файл.
Двете Python скриптове seppl-LS и seppl генерал-ключовите ми да се използва за управление на ключове. seppl-LS могат да се използват за преобразуване на seppl ключове между двоичен формат, използван от / ргос / нето / seppl_keyring и разбираем за човека XML базиран формат. Просто се обадете seppl-LS за списък на всички активни в момента ключове. seppl поколение ключ генерира нов ключ от / Dev / urandom. По подразбиране той ще използва XML формат. Параметъра -х сили двоичен режим. Вие може да генерира и активира два ключа "Линус" и "Алън" чрез издаване на следната команда редове:
seppl поколение ключ -п Линус -х> / ргос / нето / seppl_keyring
seppl поколение ключ -п Алън -х> / ргос / нето / seppl_keyring
seppl-LS без аргумент изброява нови ключове, записани в ключодържателя ядрото. Можете да премахнете всички (в момента не се използва) ключове чрез издаване:
ехо ясно> / ргос / нето / seppl_keyring
Тъй seppl се основава на симетрична криптография, използвайки споделени ключове трябва да копирате новопридобитите ключове за всеки хост, който искате да се свържете с вашата seppl инфраструктура. (За предпочитане през SSH или друг сигурен трансфер на файлове) Можете да получите двоично копие на текущата ключодържателя си чрез издаване:
котка / ргос / нето / seppl_keyring> keyring.save
Сега копирайте този файл keyring.save на всички други източници и да издаде следната команда има:
котка keyring.save> / ргос / нето / seppl_keyring
Това е просто, нали?
След това можете да конфигурирате настройките на защитната стена на всеки хост:
IPTABLES -t маш -А POSTROUTING -o eth0 -j CRYPT --key Линус
IPTABLES -t маш -A PREROUTING -i eth0 -j разшифровате
Това ще криптира цялата изходящ трафик на eth0 с ключ "Лин". All входящ трафик е разшифрован или с "Линус" или "Алън", в зависимост от името на ключа е посочено в конкретната мрежа за пакети. Некодирани входящите пакети се мълчаливо отпаднали. Употреба
IPTABLES -t маш -A PREROUTING -p 177 -i eth0 -j разшифровате
за допускане на двете криптирани и некодирана входящия трафик.
Това е. Сте готови. All трафика в локалната подмрежа сега е криптиран с seppl.
Шифър по подразбиране е AES-128. Ако не посочите името на използваните ключови по подразбиране е "Деф".
Предвиден е SysV първоначален скрипт /etc/init.d/seppl. Това ще зареди ядрото модули seppl и напишете всички ключове от директорията / и т.н. / seppl да ключодържателя ядрото. Тя няма да добавите някакви правилата на защитната стена, обаче.
Проблеми с производителността
Пакетите мрежата са се увеличили по размер, когато те са криптирани, тъй като две нови заглавия и се добавя IV. (36 байта в средна) това не противоречи на някакъв начин с управлението MTU на Linux ядрото и резултатите като всички големи пакети (това е: размера на опаковката близо MTU) фрагментирани в един голям и един малък пакет. Това ще навреди на мрежите си. А работата на втори кръг на това ограничение е с помощта на целта TCPMSS на Netfilter да коригират стойността MSS в заглавната част на TCP до по-малки стойности. Това ще увеличи TCP сключен, тъй като TCP пакети от размера на MTU вече не са генерирани. По този начин не е необходима фрагментация. Въпреки това, TCPMSS е TCP специфична, тя няма да помогне на UDP или други IP протоколи.
Добавете следния ред преди криптиране на вашата защитна стена за настройка:
IPTABLES -t катка -А POSTROUTING -p TCP --tcp-флагове SYN, RST SYN -o eth0 -j TCPMSS --set-МСУ $ ((1500-40-8-16-6-15))
Протоколът
За криптиране е взето всеки един некриптиран пакет и се превръща в един криптиран един. Нито едно допълнително пакет се някога е пратил.
   Original колега SEPPL
+ ------------ + + ----------------------- +
| IP-Header | | Променено IP-Header | |
+ ------------ + + ----------------------- + |
| Payload | | SEPPL-Header |> некриптиран
+ ------------ + + ----------------------- + |
                            | Инициализация Vector | |
                            + ----------------------- + /
                            | SEPPL-Header |
                            + ----------------------- + | Криптирани
                            | Payload | |
                            + ----------------------- + /
Оригиналният IP хедъра се поддържа, доколкото е възможно. Само три полета са заменени с нови стойности. Номерът на протокола е настроен на 177, офсетов фрагментът е настроен на 0, а общата дължина е коригирана към новата дължина. Всички други области се съхраняват, както е, включително опции за IP.
Некриптиран заглавието The seppl се състои от един-байтов шифър номер и име на ключ. В момента само 0 и 1 са определени като шифър номера за AES с 128bit ключ, респ. AES с ключовата 192bit. Името на ключа (7 байта) може да се използва, за да изберете специфичен ключ в по-голям набор ключове.
В IV се използва за CBC кодиране на шифъра използва. Той се различава от пакет към пакета, но не е случайно генерирани. Поради съображения за изпълнение, сключен, само първоначалната IV стартиране на системата е рандомизирано, всички следващи IVS са генерирани чрез увеличаване предишните.
Криптирани заглавната The seppl се състои от три спасени области на оригиналния IP хедъра (брой протокол, се компенсира от фрагменти, обща дължина) и един байт, който е винаги 0 за откриване на съотнасянето ключове.
Полезният товар е оригиналният IP-playload, от TCP / UDP / друга заглавна до края.
Ограничения:
· Seppl пречи проследяване връзка Netfilter е по някакъв начин. По този начин няма да бъде в състояние да използват NAT във връзка с seppl. Ако използвате проследяване връзка по някакъв друг начин, заедно с seppl си пробег може да варира.
· Seppl е тестван с Linux 2.6.1. Използвайте версия 0.3 за Linux 2.4.
Изисквания:
· Seppl е разработен и тестван на Debian GNU / Linux "тестване" от ноември 2003 г., Тя трябва да работи на повечето други дистрибуции на Linux и Unix версии, тъй като той използва GNU Autoconf и GNU libtool за изходния код конфигурация и споделено управление библиотека.
· Seppl изисква Linux 2.6. {0,1} (инсталирани, конфигурирани източници) и IPTABLES 1.2.8 или по-нова.
· Пълният комплект потребителската инструмент изисква Python 2.1 или по-нова. Орязана набор в C е достъпно, както добре.
Монтаж:
Като този пакет е направен с autotools GNU трябва да тичам ./configure вътре указателя за разпределение за конфигуриране на източник дървото. След това трябва да тичам направи за компилиране и да инсталирате (като основа) за монтаж на seppl.
Какво е новото в тази версия:
· Порт за Linux 2.6, без други промени. Версия 0.4 вече не е съвместима с ядро ​​2.4. Използвайте версия 0.3 за ядрото 2.4, тя е функционално еквивалентна.