seppl is beide 'n protokol definisie en 'n sagteware implementering van 'n nuwe enkripsie laag vir IPv4. seppl projek maak gebruik van simmetriese kriptografie vir versleutelen die hele verkeer op 'n netwerk. Die implementering is ontwerp om Linux Netfiler / iptables.
seppl stel twee nuwe Netfiler teikens: CRYPTE en decrypt. A firewall reël kan dus gebruik word vir versleutelen / decrypten die inkomende en uitgaande netwerk verkeer. Dit maak seppl buitengewoon maklik om te gebruik, aangesien daar geen daemons nodig om te hardloop vir 'n veilige kommunikasie.
seppl gebruik die enkripsie enjin van die Linux Kriptografiese API wat beskikbaar is in die kern 2.4.22 en nuwer is.
seppl is hoofsaaklik bedoel vir versleutelen wireless LAN (as veilige vervanging van die gebreekte WEP encryption) en plaaslike ethernet netwerke, maar kan gebruik word vir 'n groot skaal Skynprivaatnetwerk oplossings sowel.
Die protokol seppl staatmaak op is nie verenigbaar met enige ander sagteware. Die protokol is oop en goed gedefinieerde maar daar is geen ander as die verwysing sagteware implementering.
Hoekom SEPPL, is daar reeds IPSEC, CIPE ...?
CIPE mag gebruik word slegs vir punt-tot-punt verbindings. Dit het tonnel struktuur en stel dus nuwe IP adresse. Dit is nie altyd wenslik. Dit vereis 'n gebruiker ruimte bediener.
IPSEC / FreeSwan is uiters ingewikkeld om te gebruik. As gevolg van sy vreemde routing skema is dit byna onmoontlik om saam te werk met routing daemons. IPSEC is swaargewig.
seppl is werklik peer-to-peer. Dit versleutelt moeiteloos alle uitgaande verkeer en dit dus verenigbaar met routing daemons. Dit is baie maklik om so goed te gebruik, want dit maak geen verandering aan die normale roete gedrag. seppl is uiters liggewig.
Die implementering
Die implementering bestaan uit drie Linux kernel modules: seppl.o, ipt_CRYPT.o en ipt_DECRYPT.o. Die voormalige is die in-kernel sleutel bestuurder, laasgenoemde is die twee nuwe Netfiler teikens. Beide afhang seppl.o.
seppl.o moet plaas in kern in die eerste plek. Die sleutel bestuurder kan verkry word met die lêer / proc / net / seppl_keyring. Dit bevat binêre sleutel data, en is aanvanklik leeg. Jy kan 'n nuwe sleutel voeg deur te skryf dat dit die lêer.
Die twee Python scripts seppl-ls en seppl-gen-sleutel my gebruik word vir die sleutel bestuur. seppl-ls gebruik kan word vir die omskakeling seppl sleutels tussen die binêre formaat wat gebruik word deur / proc / net / seppl_keyring en 'n leesbare XML gebaseer formaat. Noem net seppl-ls vir 'n lys van al die huidige aktiewe sleutels. seppl-gen-sleutel genereer 'n nuwe sleutel van / dev / urandom. By verstek dit die XML-formaat sal gebruik. Die parameter -x magte binêre modus. Jy kan genereer en te aktiveer twee sleutels "Linus" en "Alan" deur die uitreiking van die volgende opdrag lyne:
seppl-gen-sleutel -n Linus -x> / proc / net / seppl_keyring
seppl-gen-sleutel -n Alan -x> / proc / net / seppl_keyring
seppl-ls sonder argument noem die nuwe sleutels gered in die kern sleutelring. Jy kan nie (tans ongebruikte) sleutels verwyder deur die uitreiking:
eggo duidelike> / proc / net / seppl_keyring
Sedert seppl is gebaseer op die gebruik van simmetriese kriptografie gedeel sleutels jy moet nuut gegenereer sleutels kopieer na elke gasheer jy wil hê na konnekteer na jou seppl infrastruktuur. (Verkieslik via SSH of enige ander veilige lêer oordrag) Jy kry 'n binêre kopie van jou huidige sleutelring deur die uitreiking:
cat / proc / net / seppl_keyring> keyring.save
Kopieer nou dat lêer keyring.save alle ander gashere en reik die volgende bevel daar:
kat keyring.save> / proc / net / seppl_keyring
Dit is eenvoudig, is dit nie?
Nadat dit te doen, kan jy jou firewall instellings op elke gasheer instel:
iptables t mangel -A POSTROUTING o eth0 -J CRYPTE --key Linus
iptables t mangel -A PREROUTING -i eth0 -J decrypt
Dit sal al die uitgaande verkeer te enkripteer op eth0 met die sleutel "Linus". Alle inkomende verkeer is Ontcijferde met óf "Linus" of "Alan", afhangende van die sleutel naam wat in die spesifieke netwerk pakkie. Ongeënkripteerde inkomende pakkies stilweg gedaal. Gebruik
iptables t mangel -A PREROUTING p 177 -i eth0 -J decrypt
vir die feit dat beide gecrypteerd en ongeënkripteerde inkomende verkeer.
Dit is dit. Jy is klaar. Al jou verkeer op die plaaslike subnet is nou gecrypteerd met seppl.
Die standaard cipher is AES-128. As jy nie die naam van die gebruik sleutel dit standaard "def" spesifiseer.
'N SysV init script /etc/init.d/seppl word verskaf. Dit sal seppl se kernmodules laai en skryf al die sleutels van die gids / etc / seppl die kern sleutelring. Dit sal nie enige firewall reëls by te voeg, egter.
Prestasie kwessies
Die netwerk pakkies toegeneem in grootte wanneer hulle gecrypteerd, aangesien twee nuwe kop-en die IV is bygevoeg. (36 grepe in die gemiddelde) Hierdie konflikte op een of ander manier met die MTU bestuur van die Linux-kern en die resultate in wat al groot pakkies (wat: pakket grootte naby MTU) gefragmenteerde in een groot en nog 'n baie klein pakket. Dit sal die netwerk prestasie seermaak. 'N werk-rondom van hierdie beperking is met behulp van die TCPMSS teiken van Netfiler die MSS waarde in die TCP kop kleiner waardes aan te pas. Dit sal TCP werkverrigting verhoog, aangesien TCP pakkies van die grootte van die MTU is nie meer gegenereer. Dus geen fragmentasie is nodig. Maar TCPMSS is TCP spesifieke, sal dit nie help nie op UDP of ander IP protokolle.
Voeg die volgende lyn voor enkripsie om jou firewall opstel:
iptables t mangel -A POSTROUTING p tcp --tcp-vlae SYN, RST SYN o eth0 -J TCPMSS --set-mss $ ((1500-40-8-16-6-15))
Die protokol
Vir enkripsie elke enkele ongeënkripteerde pakkie geneem en na 'n gecrypteerd een. Nie 'n enkele verdere pakkie is ooit gestuur.
Original SEPPL eweknie
+ ------------ + + + -----------------------
| IP-Selected | | Gewysig IP-Selected | |
+ ------------ + + + ----------------------- |
| Payload | | SEPPL-Selected |> versleutelde
+ ------------ + + + ----------------------- |
| Inisialisering vektor | |
+ ----------------------- + /
| SEPPL-Selected |
+ ----------------------- + | Gecrypteerd
| Payload | |
+ ----------------------- + /
Die oorspronklike IP header is so ver as moontlik gehou word. Slegs drie velde is vervang met nuwe waardes. Die protokol nommer is ingestel op 177, is die fragment verreken ingestel op 0 en die totale lengte is reggemaak om die nuwe lengte. Alle ander velde as gehou word, insluitend IP opsies.
Die ongeënkripteerde seppl kop bestaan uit 'n een-byte cipher nommer en 'n sleutel naam. Tans is daar net 0 en 1 is gedefinieer as cipher nommers vir AES 128bit met sleutel, resp. AES 192bit met sleutel. Die sleutel naam (7 bytes) kan gebruik word om 'n spesifieke sleutel in 'n groter sleutelring kies.
Die IV word gebruik vir CBC kodering van die cipher gebruik. Dit verskil van pakkie pakkie, maar is nie lukraak gegenereer. As gevolg van werkverrigting redes, word slegs die eerste IV op die stelsel opstart ewekansige, het al die volgende IVS gegenereer deur die verhoog die voriges.
Die gecrypteerd seppl kop bestaan uit drie gered velde van die oorspronklike IP header (protokol nommer, fragment verreken, totale lengte) en 'n byte wat altyd 0 vir die opsporing van unmatching sleutels.
Die loonvrag is die oorspronklike IP-playload, van die TCP / UDP / ander kop aan die einde.
Beperkings:
· Seppl inmeng met verband dop Netfiler in een of ander manier. So sal jy nie in staat wees om NAT gebruik in samewerking met seppl. As jy verband dop gebruik in 'n ander manier saam met seppl jou kilometers kan wissel.
· Seppl is getoets met Linux 2.6.1. Gebruik weergawe 0,3 vir Linux 2.4.
Vereistes:
· Seppl is ontwikkel en getoets op Debian GNU / Linux "toets" van November 2003, dit moet werk op die meeste ander Linux verspreidings en Unix weergawes aangesien dit gebruik GNU autoconf en GNU libtool vir bronkode opset en gedeelde biblioteek bestuur.
· Seppl vereis Linux 2.6. {} 0,1 (ingestel bronne geïnstalleer) en iptables 1.2.8 of nuwer.
· Die volledige userspace hulpmiddel stel vereis Python 2.1 of nuwer. A gestroop stel in C is ook beskikbaar.
Installasie:
As hierdie pakket is gemaak met die GNU autotools moet jy Configure loop binne die verspreiding gids vir die instel van die bron boom. Daarna moet jy hardloop te maak vir die samestelling en maak installeer (as root) vir die installasie van seppl.
Wat is nuut in hierdie release:
· Hawe Linux 2.6, geen ander veranderinge. Weergawe 0.4 is nie meer versoenbaar is met kern 2,4. Gebruik weergawe 0,3 vir kern 2,4, is dit funksioneel ekwivalent.
Kommentaar nie gevind