seppl

Seppl ay pareho ng isang kahulugan ng protocol at isang software na pagpapatupad ng isang bagong layer ng encryption para sa IPv4. Seppl proyekto gumagawa ng paggamit ng simetriko cryptography para sa encrypting ang buong trapiko sa isang network. Pagpapatupad nito ay dinisenyo sa paligid Linux netfilter / iptables.
Seppl nagpapakilala ng dalawang bagong mga target netfilter: crypt at decrypt. Ang patakaran ng firewall ay maaaring kaya ay gagamitin para sa pag-encrypt / decrypt ng mga papasok at papalabas na trapiko sa network. Ito ay gumagawa ng Seppl extraordinarily madaling gamitin, dahil kailangan pang daemons upang tumakbo para sa mga secure na komunikasyon.
Seppl gumagamit ng encryption engine ng Linux Cryptographic API na kung saan ay magagamit sa kernel 2.4.22 at mas bago.
Seppl ay una inilaan para sa encrypting wireless LANs (tulad ng secure na kapalit ng sirang encryption WEP) at lokal na ethernet network ngunit maaaring magamit para sa malaking proporsyon ng mga solusyon VPN rin.
Ang protocol Seppl nakasalalay sa ay hindi tugma sa anumang iba pang software. Ang protocol ay bukas at mahusay na tinukoy ngunit walang pagpapatupad iba sa reference na ito software.
Bakit Seppl, may mga naka IPSEC, CIPE, ...?
CIPE maaaring gamitin para sa point-to-point na koneksyon lamang. Ito ay may istraktura tunnel at kaya introduces bagong IP address. Ito ay hindi palaging kanais-nais. Ito ay nangangailangan ng isang puwang user demonyo.
IPSEC / FreeSwan ay labis na kumplikado upang gamitin. Dahil sa kanyang kakaibang routing scheme na ito ay halos imposibleng gamitin kasama ng mga routing daemons. IPSEC ay matimbang.
Seppl ay tunay na peer-to-peer. Ine-encrypt ito ng walang putol lahat ng papalabas na trapiko at ito kaya katugma sa routing ng demonyo. Ito ay lubhang madaling gamitin pati na rin, tulad ng ito ay hindi gumagawa ng mga pagbabago sa mga normal na pag-uugali routing. Seppl ay lubhang magaan.
Pagpapatupad Ang
Ang pagpapatupad ay binubuo ng tatlong Linux kernel modules: seppl.o, ipt_CRYPT.o at ipt_DECRYPT.o. Ang dating ay ang manager in-kernel key, ang huli ay ang dalawang bagong netfilter target. Pareho depende sa seppl.o.
dapat na ipinasok seppl.o sa kernel sa unang lugar. Ang mga manager key ay maaaring ma-access gamit ang file / proc / net / seppl_keyring. Ito ay naglalaman ng binary key data, at ito ay una na walang laman. Maaari kang magdagdag ng isang bagong key sa pamamagitan ng pagsulat ito sa file na iyon.
Ang dalawang Python script Seppl-ls at Seppl-gen-susi sa akin na gagamitin para sa key management. Seppl-ls ay maaaring gamitin para sa pag-convert Seppl keys sa pagitan ng binary na format na ginagamit ng / proc / net / seppl_keyring at nababasa ng tao batay format ng XML. Tawagan lamang Seppl-ls para sa isang listahan ng lahat ng kasalukuyang aktibong keys. bumubuo Seppl-gen-key sa isang bagong key mula sa / dev / urandom. Sa pamamagitan ng default ito ay gamitin ang XML format. Pwersa Ang parameter -x binary mode. Maaari kang lumikha at i-activate ang dalawang keys "linus" at "alan" sa pamamagitan ng issuing ang sumusunod na command na linya:
Seppl-gen-key-n linus -x> / proc / net / seppl_keyring
Seppl-gen-key-n alan -x> / proc / net / seppl_keyring
Seppl-ls walang argument ay naglilista ng mga bagong key-save sa kernel keyring. Maaari mong alisin ang lahat ng (kasalukuyang hindi ginagamit) keys sa pamamagitan ng issuing:
echo malinaw> / proc / net / seppl_keyring
Noong Seppl ay batay sa symmetric cryptography gumagamit ng shared key na kailangan mong kopyahin bagong binuong mga susi sa bawat host gusto mong kumonekta sa iyong infrastructure Seppl. (Mas sa pamamagitan ng SSH o anumang iba pang mga secure na file transfer) kang makakuha ng isang binary kopya ng iyong kasalukuyang keyring pamamagitan ng issuing:
cat / proc / net / seppl_keyring> keyring.save
Ngayon ay kopyahin ang file keyring.save sa lahat ng iba pang mga nagho-host at maglalabas ang sumusunod na command doon:
cat keyring.save> / proc / net / seppl_keyring
Iyon ay simple, ay hindi ito?
Matapos ang paggawa nito na maaari mong i-configure ang mga setting ng iyong firewall sa bawat host:
iptables rt sumira -A POSTROUTING -o eth0 j crypt --key linus
iptables-t sumira -A PREROUTING -i eth0 j decrypt
Ito ay encrypt ang lahat ng papalabas na trapiko sa eth0 sa key "linus". Lahat ng mga papasok na trapiko ay decrypted sa alinman sa "linus" o "alan", depende sa mga pangunahing pangalan na tinukoy sa mga tiyak na packet network. Unencrypted papasok na packet ay tahimik bumaba. Paggamit
iptables-t sumira -A PREROUTING p 177 -i eth0 j decrypt
para sa nagpapahintulot sa parehong crypted at unencrypted papasok na trapiko.
Iyan na ang lahat. Tapos ka na. Ang lahat ng iyong trapiko sa mga lokal na subnet ay crypted ngayon sa Seppl.
Ang default na sero ay AES-128. Kung hindi mo tukuyin ang pangalan ng ginamit na key default ito sa "def".
Isang SYSV init script /etc/init.d/seppl ay ibinigay. Ito load kernel modules Seppl at isulat ang lahat ng mga susi mula sa directory / etc / Seppl sa kernel keyring. Ito ay hindi magdagdag ng anumang mga patakaran ng firewall, gayunpaman.
Pagganap ng mga isyu
Ang network ng packet ay nadagdagan sa sukat kapag sila ay crypted, dahil dalawang bagong header at IV ay idinagdag. (36 bytes sa average) Ito conflicts sa ilang paraan sa MTU pamamahala ng kernel Linux at mga resulta sa pagkakaroon ng lahat ng mga malalaking packet (iyon ay: laki package malapit MTU) fragmented sa isang malaki at ng isa pang maliit na pakete. Ito ay saktan pagganap ng network. Isang trabaho sa paligid ng mga ito limitasyon ay gumagamit ng mga target TCPMSS ng netfilter upang ayusin ang mga MSS halaga sa header TCP sa mas maliit na mga halaga. Ito ay dagdagan ang TCP perfomance, dahil TCP packet ng laki ng MTU ay hindi na nabuo. Kaya walang piraso ay kinakailangan. Gayunman, TCPMSS ay TCP tiyak, hindi ito ay makakatulong sa UDP o iba pang mga protocol IP.
Idagdag ang sumusunod na linya bago encryption sa iyong firewall setup:
iptables rt sumira -A POSTROUTING p TCP --tcp-flags SYN, RST SYN -o eth0 j TCPMSS --set-mss $ ((1500-40-8-16-6-15))
Protocol Ang
Para encryption bawat solong unencrypted packet ay kinuha at na-convert sa isang isa crypted. Hindi isang solong karagdagang packet ay ipinadala.
   Original Seppl kamukhang-mukha
+ ------------ + + ----------------------- +
| IP-Header | | Modified IP-Header | |
+ ------------ + + ----------------------- + |
| Kargamento | | Seppl-Header |> Unencrypted
+ ------------ + + ----------------------- + |
                            | Pinasimulan Vector | |
                            + ----------------------- + /
                            | Seppl-Header |
                            + ----------------------- + | Crypted
                            | Kargamento | |
                            + ----------------------- + /
Ang orihinal na IP header ay malinis bilang malayo hangga't maaari. Larangan Tatlo lamang ay pinalitan ng mga bagong halaga. Ang bilang protocol ay nakatakda sa 177, ang mga fragment offset ay nakatakda sa 0 at ang kabuuang haba ay naitama sa bagong haba. Lahat ng iba pang mga patlang ay pinananatiling bilang ay, kabilang ang IP pagpipilian.
Ang unencrypted header Seppl binubuo ng isang one-byte cipher number at isang susi name. Sa kasalukuyan lamang ng 0 at 1 ay tinukoy bilang mga cipher na numero para sa AES na may 128bit key, resp. AES na may 192bit key. Ang pangalan ng key (7 bytes) ay maaaring gamitin upang pumili ng tukoy na key sa isang mas malaking keyring.
IV ay ginagamit para sa CBC coding ng cipher ginagamit. Ito ay naiiba mula sa packet sa packet, ngunit hindi sapalaran na nalikha. Dahil sa mga dahilan perfomance, tanging ang unang IV sa system startup ay randomized, ang lahat ng mga sumusunod na IVs nalikha sa pamamagitan ng incrementing ang nakaraang iyan.
Ang crypted header Seppl binubuo ng tatlong-save patlang ng orihinal na IP header (number protocol, fragment offset, kabuuang haba) at isang byte kung saan ay palaging 0 para sa tiktik unmatching keys.
Ang kargamento ay ang orihinal na IP-playload, mula sa TCP / UDP / iba pang header sa dulo.
Limitasyon:
· Seppl nakakasagabal sa tracking connection netfilter sa ilang mga paraan. Kaya ikaw ay hindi maaaring gumamit ng NAT kasabay Seppl. Kung gumagamit ka ng pagsubaybay sa koneksyon sa ibang paraan kasama Seppl Maaaring mag-iba ang iyong mileage.
· Seppl ay nasubok sa Linux 2.6.1. Gamitin version 0.3 para sa Linux 2.4.
Mga kailangan:
· Seppl ay binuo at nasubok sa Debian GNU / Linux "testing" mula Nobyembre 2003, ito ay dapat gumana sa karamihan ng iba pang mga distribusyon ng Linux at ang mga bersyon ng Unix na ito dahil ito ay gumagamit ng GNU autoconf at GNU libtool para sa pagsasaayos source code at nagbahagi ng pamamahala ng library.
· Seppl nangangailangan Linux 2.6. {0,1} (naka-install na isinaayos sources) at iptables 1.2.8 o mas bago.
· Ang kumpletong hanay userspace tool ay nangangailangan ng Python 2.1 o mas bago. A Nakuha down set sa C ay makukuha rin.
Pag-install:
Bilang ang paketeng ito ay ginawa gamit ang GNU autotools dapat mong patakbuhin ./configure loob direktoryo ng pamamahagi para sa pagsasaayos ng source tree. Pagkatapos na dapat mong mapatakbo ang gumawa para sa compilation at gumawa install (bilang root) para sa pag-install ng Seppl.
Ano ang Bago sa Paglabas na ito:
· Port sa Linux 2.6, walang iba pang mga pagbabago. Version 0.4 ay hindi na compatible sa kernel 2.4. Gamitin version 0.3 para sa kernel 2.4, ito ay functionally katumbas.