Seppl este atât o definiție de protocol și o implementare software a unui nou strat de criptare pentru IPv4. Proiectul Seppl face uz de criptografie simetrică pentru criptarea întregului trafic într-o rețea. Punerea sa în aplicare este conceput în jurul Linux netfilter / iptables.
Seppl introduce două noi obiective netfilter: CRYPT și decripta. O regula firewall pot fi astfel utilizate pentru criptarea / decriptarea traficului de rețea de intrare și de ieșire. Acest lucru face Seppl extraordinar de ușor de utilizat, deoarece nu daemon nevoie pentru a rula pentru comunicații securizate.
Seppl foloseste motorul de criptare a API Linux criptografic, care este disponibil în kernel 2.4.22 și mai noi.
Seppl este destinat în primul rând pentru criptarea rețele LAN fără fir (ca înlocuitor sigură de criptare WEP rupt) si retele ethernet locale, dar pot fi utilizate pentru soluții VPN de mare amploare, de asemenea.
Seppl protocol se bazează pe nu este compatibil cu orice alt software. Protocolul este deschis și bine definit, dar nu există nici un alt decât acest software de referință de implementare.
De ce Seppl, există deja IPSEC, CIPE, ...?
CIPE pot fi utilizate numai pentru conexiuni punct-la-punct. Ea are structura tunel și astfel introduce noi adrese IP. Acest lucru nu este întotdeauna de dorit. Este nevoie de un demon spațiu utilizator.
IPSEC / FreeSwan este extrem de complicat de folosit. Datorită sistemului său de rutare ciudat este aproape imposibil de a utiliza împreună cu demoni de rutare. IPSec este grea.
Seppl este cu adevărat peer-to-peer. Se criptează perfect tot traficul de ieșire și, astfel, compatibile cu demoni de rutare. Este extrem de ușor de utilizat, precum și, după cum se face nici o modificare la comportamentul normal de rutare. Seppl este extrem de usor.
Implementarea
Punerea în aplicare constă în trei Linux kernel module: seppl.o, ipt_CRYPT.o și ipt_DECRYPT.o. Prima este managerul cheie în kernel, acestea din urmă sunt cele două noi obiective netfilter. Ambele depind de seppl.o.
seppl.o trebuie introdus în kernel pe primul loc. Managerul cheie poate fi accesat cu fișiere / proc / net / seppl_keyring. Acesta conține date importante binare, și este inițial gol. Puteți adăuga o nouă cheie de scris se la acel fișier.
Cele două scripturi Python Seppl-LS și Seppl-gen-cheie mine folosi de gestionare a cheilor. Seppl-ls pot fi utilizate pentru conversia chei Seppl între format binar utilizat de / proc / net / seppl_keyring și un ușor de citit format bazat pe XML uman. Pur și simplu suna Seppl-ls pentru o listă cu toate cheile în prezent activi. Seppl-gen-cheie generează o nouă cheie de la / dev / urandom. În mod implicit se va folosi formatul XML. Forțele parametrul -x modul binar. Tu poate genera și de a activa două chei "Linus" și "alan" prin emiterea următoarele linii de comandă:
Seppl-gen-cheie -n Linus -x> / proc / net / seppl_keyring
Seppl-gen-cheie -n Alan -x> / proc / net / seppl_keyring
Seppl-ls fără argumente afișează noile chei memorate în keyring kernel. Ați putea elimina toate cheile (neutilizată în prezent) prin emiterea de:
echo clar> / proc / net / seppl_keyring
Deoarece Seppl se bazează pe criptografia simetrică cu ajutorul tastelor partajate trebuie să copiați cheile nou generat la fiecare gazdă pe care doriți să vă conectați la infrastructura Seppl. (De preferință prin SSH sau orice alt transfer de fisiere securizat) Ai o copie binară a Breloc curent prin emiterea de:
cat / proc / net / seppl_keyring> keyring.save
Acum, copiați acel fișier keyring.save tuturor celorlalte gazde și emite următoarea comandă acolo:
cat keyring.save> / proc / net / seppl_keyring
Care este simplu, nu-i așa?
După acest lucru s-ar putea configura setările firewall pe fiecare gazdă:
iptables -t mangle -A POSTROUTING Linus -o eth0 -j CRYPT --key
iptables -t mangle -A PREROUTING -i eth0 -j decripta
Acest lucru va cripta tot traficul de ieșire pe eth0 cu cheie "Linus". Tot traficul de intrare este decriptat fie cu "linus" sau "Alan", în funcție de numele de cheie specificat în pachetul de rețea specifice. Pachetele primite necriptate sunt tăcere a scăzut. Utilizare
iptables -t mangle -A PREROUTING -p 177 -i eth0 -j decripta
pentru a permite traficul de intrare atât criptat și necriptate.
Asta e. Ai terminat. Tot traficul pe subrețeaua locală este acum criptat cu Seppl.
Cifrul implicită este AES-128. Dacă nu specificați numele utilizate implicit cheie l la "def".
Un SysV script de inițializare /etc/init.d/seppl este furnizat. Se va încărca module de kernel Seppl și scrie toate cheile de la directorul / etc / Seppl la keyring kernel. Acesta nu va adăuga orice reguli firewall, cu toate acestea.
Probleme de performanță
Pachetele de rețea sunt crescute în dimensiune atunci când acestea sunt criptate, deoarece două noi anteturile și se adaugă IV. (36 bytes în medie) Acest conflicte pe un fel cu conducerea MTU a kernel-ului Linux și rezultate în care au toate pachetele mari (adică: dimensiunea pachet in apropiere de MTU), fragmentate într-o mare și un alt pachet foarte mic. Acest lucru va durea performanța rețelei. O lucrare-în jurul valorii de a această limitare este folosind ținta TCPMSS de netfilter pentru a ajusta valoarea MSS în antetul TCP la valori mai mici. Aceasta va crește Perfomance TCP, deoarece pachetele TCP de mărimea MTU nu mai sunt generate. Astfel nu este nevoie de fragmentare. Cu toate acestea, TCPMSS este TCP specific, nu va ajuta pe UDP sau alte protocoale IP.
Adaugă următoarea linie înainte de criptare pentru configurarea firewall:
iptables -t calandru -A POSTROUTING -p tcp --tcp-steaguri SYN, RST SYN -o eth0 -j TCPMSS --set-MSS $ ((1500-40-8-16-6-15))
Protocolul
Pentru criptare fiecare pachet necriptat este luat și transformat într-un singur criptat. Nu un singur pachet suplimentar este trimis vreodată.
Exemplar original Seppl
+ ------------ + + ----------------------- +
| IP-Antet | | modificat IP-Antet | |
+ ------------ + + ----------------------- + |
| Payload | | Seppl-Header |> necriptate
+ ------------ + + ----------------------- + |
| Inițializarea Vector | |
+ ----------------------- + /
| Seppl-Antet |
+ ----------------------- + | Crypted
| Payload | |
+ ----------------------- + /
Antetul IP original este menținută pe cât posibil. Doar trei câmpuri sunt înlocuite cu valori noi. Numărul de protocol este setată la 177, fragmentul de offset este setat la 0, iar lungimea totală este corectat la noua lungime. Toate celelalte domenii sunt păstrate așa cum este, inclusiv opțiunile IP.
Antetul Seppl necriptat constă dintr-un număr de cifru de un octet și un nume cheie. În prezent, doar 0 și 1 sunt definite ca numere de cifrare pentru AES cu cheie 128bit, resp. AES cu cheie 192bit. Numele cheie (7 bytes) pot fi utilizate pentru a selecta o cheie specifică într-un breloc mare.
IV este folosit pentru codarea CBC a cifrului utilizat. Acesta diferă de la pachet la pachete, dar nu este generat aleator. Din motive perfomance, doar IV inițial la pornirea sistemului este randomizat, toate următoare picuratori sunt generate de incrementare cele anterioare.
Antetul Seppl criptat este format din trei domenii salvate de antetul IP original, (număr de protocol, fragment offset, lungime totală) și un octet, care este întotdeauna 0 pentru detectarea chei unmatching.
Sarcina utilă este original IP-playload, de la TCP / UDP / alt antet până la capăt.
Limitări:
· Seppl interferează cu urmărirea conexiune netfilter lui într-un fel. Astfel, nu veți putea utiliza NAT în legătură cu Seppl. Dacă utilizați urmărirea conexiune într-un alt mod, împreună cu Seppl kilometraj dvs. poate varia.
· Seppl este testat cu Linux 2.6.1. Utilizați versiunea 0.3 pentru Linux 2.4.
Cerinte:
· Seppl a fost dezvoltat si testat pe Debian GNU / Linux "testare" din noiembrie 2003, ar trebui să funcționeze pe majoritatea celorlalte distribuții Linux și versiuni Unix deoarece foloseste GNU Autoconf și GNU libtool pentru configurarea codului sursă și management de bibliotecă partajată.
· Seppl necesită Linux 2.6. {0,1} (surse configurate instalat) și iptables 1.2.8 sau mai noi.
· Complet Setul instrument spațiul utilizator necesită Python 2.1 sau mai nou. Un set dezbrăcat în C este de asemenea disponibil.
Instalare:
Ca acest pachet se face cu autotools GNU ar trebui să ruleze ./configure interiorul directorul de distribuție pentru configurarea arborele sursă. După ce că ar trebui să ruleze făcute pentru compilarea și make install (ca root) pentru instalarea de Seppl.
Ce este nou în această versiune:
· Port pentru Linux 2.6, nici alte modificări. Versiunea 0.4 nu mai este compatibil cu kernel 2.4. Utilizați versiunea 0.3 pentru kernel 2.4, acesta este echivalent funcțional.
Comentariile nu a fost găsit