Seppl on sekä protokolla määrittely ja ohjelmiston käyttöön uusi salauksen kerros IPv4. Seppl Hankkeessa hyödynnetään symmetristä salakirjoitusta salaamiseen koko liikennettä verkossa. Sen täytäntöönpano on suunniteltu noin Linux netfilter / iptables.
Seppl esittelee kaksi uutta netfilter tavoitteet: CRYPT ja purkaa. Palomuurisääntö voidaan siten käyttää salaukseen / salauksen saapuvan ja lähtevän verkkoliikenteen. Tämä tekee Seppl erittäin helppo käyttää, koska mitään demonit tarvitse juosta turvalliseen viestintään.
Seppl käyttää salausta moottori Linux Salauksen API, joka on saatavilla kernel 2.4.22 ja uudemmat.
Seppl on tarkoitettu ensisijaisesti salaamiseen langattomia lähiverkkoja (varmoina korvaaminen rikki WEP salaus) ja paikalliset ethernet verkkoja, vaan voidaan käyttää laajamittaisesti VPN-ratkaisuja samoin.
Protokolla Seppl tukeutuu ei ole yhteensopiva minkään muun ohjelmiston. Protokolla on avoin ja hyvin määritelty mutta ei täytäntöönpanon muu kuin tämä viittaus ohjelmiston.
Miksi Seppl, on jo IPSEC, CIPE, ...?
CIPE voidaan käyttää point-to-point-yhteyksiä vain. Se on tunnelin rakenne ja näin esittelee uusia IP-osoitteita. Tämä ei ole aina toivottavaa. Se vaatii käyttäjän tilaa daemon.
IPSec / FreeSwan on äärimmäisen hankala käyttää. Koska sen outoa reititys järjestelmä on lähes mahdotonta käyttää yhdessä reititysohjelmistoa. IPSec on raskaansarjan.
Seppl on truely peer-to-peer. Se salaa saumattomasti kaiken lähtevän liikenteen, ja sen vuoksi soveltuvan reititysohjelmistoa. Se on erittäin helppo käyttää niin hyvin, koska se ei muuta normaaliin reitityskäyttäytyminen. Seppl on erittäin kevyt.
Täytäntöönpano
Toteutus koostuu kolmesta Linuxin ytimen moduuleista: seppl.o, ipt_CRYPT.o ja ipt_DECRYPT.o. Entinen on in-ytimen avaimen manager, jälkimmäiset ovat kaksi uutta netfilter tavoitteita. Molemmat riippuvat seppl.o.
seppl.o on asetettava ytimeen ensimmäisellä sijalla. Avain hallinto voi olla käsiksi tiedostoa / proc / net / seppl_keyring. Se sisältää binary keskeiset tiedot, ja on aluksi tyhjä. Voit lisätä uuden avaimen kirjoittamalla sen tiedoston.
Kaksi Python skriptit Seppl-ls ja Seppl-gen-näppäillä me käytetään avainten hallinta. Seppl-ls voidaan käyttää muuntamisessa Seppl avainten välillä binaarimuotoisen käyttämän / proc / net / seppl_keyring ja ihmisen luettavissa XML-pohjainen formaatti. Yksinkertaisesti soittaa Seppl-ls on luettelo kaikista parhaillaan aktiivisena avaimet. Seppl-gen-key luo uusi avain / dev / urandom. Oletuksena se käyttää XML-muodossa. Parametri -x voimat binäärimuodossa. Voit luoda ja aktivoida kaksi avainta "Linus" ja "Alan" antamalla seuraava komento rivit:
Seppl-gen-key -n Linus-x> / proc / net / seppl_keyring
Seppl-gen-key -n alan -x> / proc / net / seppl_keyring
Seppl-ls ilman argumentti luettelee uusia avaimia tallennettuja ytimen avaimenperä. Voit poistaa kaikki (ei tällä hetkellä käytössä) avaimet antamalla:
echo selkeät> / proc / net / seppl_keyring
Koska Seppl perustuu symmetristä salakirjoitusta käyttämällä jaettuja avaimia sinun täytyy kopioida juuri muodostettujen avaimet jokaiselle isäntä haluat liittää Seppl infrastruktuuriin. (Mieluiten SSH tai muuta turvallinen tiedostojen siirto) Saat binary kopion nykyinen keyring antamalla:
cat / proc / net / seppl_keyring> keyring.save
Nyt kopioida tiedoston keyring.save kaikkia muita isäntiä ja antaa seuraava komento siellä:
cat keyring.save> / proc / net / seppl_keyring
Se on yksinkertainen, ei se?
Kun teemme niin voit määrittää palomuurin asetukset kustakin isäntä:
iptables -t mankeli -A POSTROUTING -o eth0 -j CRYPT --painiketta Linus
iptables -t mankeli -A PREROUTING -i eth0 -j decrypt
Tämä salaa kaiken lähtevän liikenteen eht0 kanssa avain "Linus". Kaiken saapuvan liikenteen salaus puretaan joko "Linus" tai "Alan", riippuen avaimen nimi määritetty tietyn verkon paketin. Salaamaton saapuvat paketit ovat hiljaa pudotetaan. Käyttö
iptables -t mankeli -A PREROUTING p 177-i eth0 -j decrypt
sillä mahdollistaa sekä crypted ja salaamatonta saapuvan liikenteen.
Siinä kaikki. Olet valmis. Kaikki liikenne paikallisessa aliverkossa on nyt salataan kanssa Seppl.
Oletuksena salakirjoituksen on AES-128. Jos et määritä nimeä käytetyn avaimen oletusarvo on "def".
SysV initskriptin /etc/init.d/seppl tarjotaan. Se lataa Seppl ytimen moduulit ja kirjoittaa kaikki avaimet hakemistosta / etc / Seppl ytimen keyring. Se ei lisätä palomuurin sääntöjä, kuitenkin.
Suorituskykyyn liittyviä ongelmia
Verkkopaketteja on suurennettu, kun ne salataan, koska kaksi uutta otsikot ja IV lisätään. (36 bytes keskimäärin) Tämä konflikteja joissakin tavalla MTU hallintaan Linux-ytimen ja tulokset joilla on kaikki suuret paketit (eli: pakkauskoko lähellä MTU) pirstaloituneet yksi suuri ja toinen hyvin pieni paketti. Tämä satuttaa verkon suorituskykyä. Työ-ympärillä tämän rajoituksen käyttämällä TCPMSS tavoite netfilter säätää MSS arvo TCP-otsikon pienempiin arvoihin. Tämä lisää TCP-perfomance, koska TCP-paketteja koosta MTU eivät enää ole luotu. Näin ei hajanaisuus ei tarvita. Kuitenkin TCPMSS on TCP erityinen, se ei auta UDP tai muita IP-protokollia.
Lisää seuraava rivi ennen salaus palomuurin asetukset:
iptables -t mankeli -A POSTROUTING p tcp --tcp-liput SYN, RST SYN -o eth0 -j TCPMSS --set-mss $ ((1500-40-8-16-6-15))
Pöytäkirja
Salauksen jokainen salaamaton paketti tehdään ja muutetaan crypted yhteen. Ei yksi vielä paketti koskaan lähetetty.
Alkuperäinen Seppl vastine
+ ------------ + + ----------------------- +
| IP-Header | | Modified IP-Header | |
+ ------------ + + ----------------------- + |
| Kantavuus | | Seppl-Header |> Salaamattomat
+ ------------ + + ----------------------- + |
| Alustusalgoritmia | |
+ ----------------------- + /
| Seppl-Header |
+ ----------------------- + | Crypted
| Kantavuus | |
+ ----------------------- + /
Alkuperäinen IP-otsikko pidetään niin pitkälle kuin mahdollista. Vain kolme kenttiä korvataan uusilla arvoilla. Protokolla numeroksi asetetaan 177, fragmentti siirtymä asetetaan 0 ja kokonaispituus korjataan uuteen pituuteen. Kaikki muut kentät pidetään sellaisenaan, kuten IP vaihtoehtoja.
Salaamaton Seppl Otsikko koostuu yhdestä tavun salakirjoitus numeron ja avaimen nimi. Tällä hetkellä vain 0 ja 1 on määritelty cipher numerot AES kanssa 128bit avain, vast. AES kanssa 192bit avain. Avaimen nimi (7 tavua) voidaan käyttää valita tietyn avaimen suuremmassa avaimenperä.
IV käytetään CBC koodaamiseen cipher käyttää. Se eroaa paketin pakettipohjaiseen, mutta ei ole satunnaisesti. Johtuen perfomance syistä vain alustava IV järjestelmän käynnistyksen on satunnaistettu, kaikki seuraavat IVs syntyvät kasvattamalla aiemmat.
Salatun Seppl Otsikko koostuu kolmesta tallennettu alojen alkuperäisen IP-otsikon (protokolla numero, fragmentti offset, kokonaispituus), ja tavu, joka on aina 0 havaitsemiseksi unmatching avaimia.
Hyötykuorma on alkuperäinen IP-playload, mistä TCP / UDP / muu otsikon loppuun.
Rajoitukset:
· Seppl häiritsee netfilter n yhteyden seuranta jollakin tavalla. Näin et voi käyttää NAT yhdessä Seppl. Jos käytät yhteyden seuranta muulla tavalla yhdessä Seppl teidän mittarilukema voivat vaihdella.
· Seppl on testattu Linux 2.6.1. Käytä versiota 0.3 for Linux 2.4.
Vaatimukset:
· Seppl on kehitetty ja testattu Debian GNU / Linux "testaus" marraskuu 2003 sen pitäisi toimia useimmissa muissa Linux-jakeluissa ja Unix-versiot, koska se käyttää GNU Autoconf ja GNU libtool varten lähdekoodin kokoonpano ja jaetun kirjaston hallintaan.
· Seppl vaatii Linux 2.6. {0,1} (määritetty lähteet asennettu) ja iptables 1.2.8 tai uudempi.
· Täydellinen userspace työkalusarja vaatii Python 2.1 tai uudempi. Riisuttu joukko C on saatavilla hyvin.
Asennus:
Koska tämä paketti on tehty GNU autotools sinun pitäisi ajaa ./configure sisällä jakeluhakemistoon konfigurointiin lähdekoodia. Tämän jälkeen sinun pitäisi ajaa tekevät kokoaminen ja make install (root) asennusta varten Seppl.
Mitä uutta tässä julkaisussa:
· Portti Linux 2.6, ei muita muutoksia. Versio 0.4 ei ole enää sopusoinnussa ytimen 2.4. Käytä versiota 0.3 varten ytimen 2.4, se on toiminnallisesti vastaava.
Kommentteja ei löytynyt