seppl protokol sözünün IPv4 üçün yeni şifreleme qat bir proqram həyata keçirilməsi həm də. seppl layihə şəbəkə bütün trafik Şifreleme üçün simmetrik Kriptoqrafiya istifadə edir. Onun həyata keçirilməsi Linux netfilter / adsl modem çıxışı ətrafında nəzərdə tutulmuşdur.
Crypt və decrypt: seppl iki yeni netfilter hədəfləri təqdim edir. A firewall qayda belə / Şifreleme daxil olan və çıxan şəbəkə trafik decrypting üçün istifadə edilə bilər. Heç bir cinləri təhlükəsiz rabitə üçün run lazımdır, çünki bu, istifadə etmək seppl qeyri-adi asan edir.
seppl kernel 2.4.22 və yeni mövcuddur Linux kriptoqrafik API şifreleme engine istifadə edir.
seppl əsasən yerli Ethernet şəbəkələrində (broken WEP şifreleme təhlükəsiz əvəz kimi) simsiz Yerli Ağlar Şifreleme üçün nəzərdə tutulmuşdur həm də geniş miqyaslı VPN həlli üçün istifadə edilə bilər.
protokol seppl əsaslanır hər hansı digər proqram təminatı ilə uyğun deyil. protokol açıq və müəyyən, lakin bu istinad proqram başqa heç bir həyata keçirilməsi var.
Niyə SEPPL var artıq IPsec, CIPE ...?
CIPE point-to-point əlaqələri üçün istifadə edilə bilər. Bu tunel quruluşa malikdir və beləliklə yeni IP ünvanlar təqdim edir. Bu, həmişə arzu olunan deyil. Bu istifadəçi kosmik daemon tələb edir.
IPsec / FreeSwan istifadə etmək çox mürəkkəbdir. Öz qəribə marşrutlaşdırma sxemi üçün marşrutlaşdırma daemons ilə birlikdə istifadə üçün təxminən mümkün deyil. IPsec ağır deyil.
seppl truely peer-to-peer edir. Bu sorunsuz bütün çıxan trafik şifreler və marşrutlaşdırma daemons ilə belə uyğun. Bu normal marşrutlaşdırma davranış heç bir dəyişiklik edir, həmçinin istifadə etmək çox asandır. seppl çox yüngül.
Həyata keçirilməsi
seppl.o, ipt_CRYPT.o və ipt_DECRYPT.o: həyata keçirilməsi üç Linux kernel modulları ibarətdir. keçmiş sonuncu iki yeni netfilter hədəfləri var, in-kernel əsas meneceri edir. Hər iki seppl.o asılıdır.
seppl.o ilk növbədə kernel daxil olmalıdır. əsas meneceri file / proc / net / seppl_keyring ilə əldə edilə bilər. Bu ikili əsas məlumat ehtiva edir və ilkin boşdur. Siz fayl yazılı yeni bir əsas əlavə edə bilərsiniz.
iki Python scripts seppl-ls və mənə əsas idarə edilməsi üçün istifadə edilə seppl-gen-əsas. seppl-ls / proc / net / seppl_keyring və insan oxunaqlı XML-based format istifadə ikili format arasında seppl düymələri konvertasiya üçün istifadə edilə bilər. Sadəcə bütün hazırda aktiv düymələri bir siyahısı üçün seppl-ls çağırırıq. seppl-gen-key / dev / urandom yeni əsas yaradır. Mənim cari XML formatında istifadə edəcək. Parametr -X qüvvələr ikili rejimi. Siz yaratmaq və iki düymələri "Linus" və aşağıdakı funksiyanı xətləri verilməsi ilə "alan" aktivləşdirmək edə bilər:
seppl-gen-key n linus x> / proc / net / seppl_keyring
alan -X> / proc / net / seppl_keyring n seppl-gen-key
dəlil olmadan seppl-ls kernel keyring saxlanılır yeni düymələri siyahıları. Siz verilməsi ilə bütün (hal-hazırda istifadə olunmamış) açarları aradan qaldırılması ola bilər:
aydın> / proc / net / seppl_keyring echo
Seppl paylaşılan tuşlarını istifadə edərək, simmetrik Kriptoqrafiya əsaslanır olduğundan siz seppl infrastruktur qoşulmaq istədiyiniz hər ana yeni yaradılan açarları surəti var. (Üstünlük SSH və ya hər hansı digər təhlükəsiz fayl köçürmə yolu ilə) Siz verilməsi ilə cari keyring bir ikili surətini almaq:
cat / proc / net / seppl_keyring> keyring.save
İndi bütün digər Host fayl keyring.save və orada aşağıdakı funksiyanı vermək ki, surəti:
cat keyring.save> / proc / net / seppl_keyring
Ki, sadə deyil?
Hər bir ana sizin firewall parametrləri konfiqurasiya edə bilər Bunu sonra:
iptables korlamaq -A POSTROUTING -o eth0 -J Crypt ƏSAS Linus -t
iptables -t korlamaq A PREROUTING -i eth0 -J decrypt
Bu əsas "Linus" ilə eth0 bütün çıxan trafik şifrelemek edəcək. Bütün daxil olan trafik xüsusi şəbəkə paket göstərilən əsas adı olaraq "Linus" və ya "alan" ya ilə deşifr edir. Unencrypted daxil olan paket səssizcə düşmüşdür olunur. Istifadə
iptables -t korlamaq A PREROUTING p 177-i eth0 -J decrypt
crypted və unencrypted həm daxil olan trafikin imkan üçün.
Vəssalam. Tamamlayın. Yerli alt bütün yol artıq seppl ilə crypted edir.
default parol AES-128. Siz "dəf" üçün istifadə açarı u mənim adını daxil deyilsə.
Bir SysV init script /etc/init.d/seppl təmin edilir. Bu seppl nin kernel modulları yük və kernel keyring kataloq / etc / seppl bütün düymələri yazacaq. Lakin, hər hansı bir firewall qaydaları əlavə olmaz.
Performance məsələlər
Onlar crypted zaman şəbəkə paket iki yeni mövzular ci ildən, ölçüsü artıb və IV əlavə olunur. Bir böyük və bir çox kiçik paketi parçalanmış: (orta 36 bytes) bütün böyük paket olan bu Linux kernel MTU rəhbərliyi ilə bir yolda münaqişələr və nəticələr (paket size MTU yaxın edir). Bu şəbəkə performansını zərər edəcək. Bu məhdudiyyət bir iş ətrafında kiçik dəyərlər TCP mövzu MSS dəyər tənzimləmək üçün Netfilter bir TCPMSS hədəf istifadə edir. MTU ölçüsü TCP paket artıq yaradılan, çünki bu, TCP konsertində artacaq. Belə ki, heç bir parçalanma tələb olunur. Lakin, TCPMSS bu UDP və ya digər IP protokolları kömək edəcək, TCP xarakterikdir.
Sizin firewall quraşdırma şifreleme əvvəl aşağıdakı satırı əlavə edin:
iptables SYN, RST SYN-o eth0 -J TCPMSS set-MSS $ ((1500-40-8-16-6-15)) korlamaq -A POSTROUTING p TCP --tcp-bayraqları -t
Protokol
Şifreleme üçün hər bir unencrypted paket qəbul edilir və bir crypted bir çevrilir. Bir daha paket heç göndərilir deyil.
Original SEPPL həmkarı
+ ------------ + + ----------------------- +
| IP-Header | | Modified IP-Header | |
+ ------------ + + ----------------------- + |
| Taşıma kapasitesi | | SEPPL-Header |> Unencrypted
+ ------------ + + ----------------------- + |
| Başlatma Vector | |
+ ----------------------- + /
| SEPPL-Header |
+ ----------------------- + | Crypted
| Taşıma kapasitesi | |
+ ----------------------- + /
orijinal IP header mümkün qədər saxlanılır. Yalnız üç sahələri yeni dəyərləri ilə əvəz olunur. protokol sayı 177 üçün müəyyən edilir, ofset parça 0 müəyyən edilir və ümumi uzunluğu yeni uzunluğu korrektə edilir. Bütün digər sahələrdə IP variantları, o cümlədən, olduğu kimi saxlanılır.
unencrypted seppl header bir byte şirfəsi sayı və əsas adı ibarətdir. Hal-hazırda yalnız 0 və 1 128bit əsas, resp ilə AES üçün şirfəsi nömrələri kimi müəyyən edilir. 192bit düyməsi ilə AES. əsas adı (7 bytes) daha böyük bir keyring müəyyən bir əsas seçmək üçün istifadə edilə bilər.
IV istifadə parol CBC kodlaşdırma üçün istifadə olunur. Bu paket paket fərqlənir, lakin təsadüfi yaradılan deyil. Görə Malıy səbəblərdən sistem başlanğıc yalnız ilkin IV aşağıdakı bütün IVs əvvəlki incrementing tərəfindən yaradılan, randomizə edir.
crypted seppl header üç xilas orijinal IP header sahəsində (protokol sayı, ofset parça, ümumi uzunluğu) və 0 unmatching düymələri aşkar həmişə bir byte ibarətdir.
taşıma kapasitesi TCP / UDP / digər mövzu sona qədər orijinal IP-playload edir.
Məhdudiyyətlər:
· Seppl bir şəkildə Netfilter nin əlaqədar izleme mane olur. Belə ki, seppl ilə birlikdə NAT istifadə edə bilməyəcək. Siz seppl ilə birlikdə bəzi digər şəkildə əlaqəsi izleme istifadə əgər sizin mileage fərqlənə bilər.
· Seppl Linux 2.6.1 ilə test edilmişdir. Linux 2.4 üçün versiya 0.3 istifadə edin.
Tələblər:
Bu mənbə kodu konfiqurasiya GNU autoconf və libtool GNU və ortaq kitabxana idarə edir-ci ildən · seppl hazırlanmış və noyabr 2003-cü il Debian GNU / Linux "test" sınaqdan edilmişdir ki, bu digər Linux və Unix versiyasını işləməlidir.
· Seppl Linux 2.6. {0,1} tələb edir (konfiqurasiya mənbələri quraşdırılmış) və iptables 1.2.8 və ya daha yeni.
· Tam userspace alət dəsti Python 2.1 və ya daha yeni tələb edir. C A aşağı lüt set kimi də mövcuddur.
Quraşdırma:
Bu paketi GNU Autotools edilir kimi mənbə ağac konfiqurasiya üçün distribution kataloq ./configure run lazımdır. Bundan sonra siz tərtib etmək run lazımdır və seppl quraşdırılması üçün (root kimi) bərpa etmək.
Bu Release Yenilikler:
· Linux 2.6, başqa heç bir dəyişikliklərə port. Version 0.4 artıq kernel 2.4 ilə uyğun gəlir. Kernel 2.4 üçün versiya 0.3 istifadə edin, bu funksional bərabərdir.
Şərhlər tapılmadı