Yavipind

Yavipind ay isang secure na tunnel aka 2 kapantay ligtas ang pagpapasa ng packet papunta sa bawat isa. Pasulong ito sa anumang uri ng packet (IPv4, IPv6 o iba pang) na ipinadala sa virtual device point-to-point (eg tun0). Ganap Ito ay tumatakbo sa Linux userspace.
yavipin ay nakasulat dahil ako ay hindi nasiyahan sa pamamagitan ng mga umiiral na mga alternatibo. i-publish na ang ilang mga butas sa seguridad kung i in alternatibo upang magdala ng kamalayan sa mga gumagamit at tulong sa kanila na gawin ang isang kaalaman choise:
    Analysis Seguridad ng VTun: text na ito ay isang pagtatasa ng seguridad ng VTun. Ito ay nagsasama ng isang paglalarawan ng seguridad base sa source at mga listahan ng mga posibleng pag-atake. Isang attacker maaaring baguhin packet, muli ang mga ito, alamin pattern ng plain text o madaling hulaan low-entropy password.
    Flaws Seguridad sa Tinc: text na ito ay naglalarawan flaws seguridad sa Tinc. Ito ay nagsasama ng isang paglalarawan ng seguridad at mga listahan ng mga posibleng pag-atake. Isang attacker maaaring baguhin packet, muli ang mga ito at malaman ang pattern ng plain text.
Kapag pagdisenyo ng protocol at writting sa software, na ginagamit ng may-akda ang mga sumusunod na pamantayan: ang seguridad DAPAT bilang malakas na bilang makatuwirang posible, yavipin DAPAT na network mabisa, madaling gamitin at i-install.
Kahusayan Network:
    maliit na packet overhead: 26bytes (eg ESP sa Des + MD5 ay 32byte)
    Packet compression: Ipinasang packet ay maaaring compress gamit magpalabas ng hangin (gzip). (WORK: magdagdag stat tungkol sa kahusayan)
    NAT compatible: tunnel yavipin ay maaring magtatag ng higit sa NAT bilang lahat ng packet ng isang tunel ay ipinapadala sa loob ng isang solong koneksyon UDP / IPv4. Bukod dito ang peer unreachability detection pana-panahon magpadala ng packet na pigilan ang NAT engine mula sa tiyempo ang kalagayan connection.
    Peer unreachabilty detection: Kung ang iba pang mga peer nagiging hindi maabot, ito ay napansin. Ito ay tapos ala IPv6 kapitbahay pagkatuklas (rfc2461.7).
    Gracefull shutdown: Kung ang isang peer sinadya hihinto, ito abisuhan ang iba pang mga na kung saan ay immediatly kamalayan nito.
Kababaang Usage ni:
    ito ay gumagana sa userspace at hindi mo na kailangan upang recompile ng kernel
    muli ang umiiral na mga kasangkapan: Bilang yavipin gumamit ng isang virtual na aparato, ito ay posible na mag-aplay sa tunnel anumang kasangkapan na dinisenyo para sa network aparato. Halimbawa, ito ay posible na i-set up ng isang firewall gamit ipchains / netfilter o gawin shapping trapiko gamit traffic control ang kernel (tingnan tc).
Lakas Security:
   packet seguridad: ang bawat packet palitan sa panahon ng koneksyon sa ay naka-encrypt gamit ang blowfish CFB at napatotohanan sa HMAC-MD5 96bits.
   proteksyon laban sa packet replay: Ito ay gumagamit ng mga mahigpit na anti-replay at maaaring tanggapin no packet dalawang beses. A eavedropper hindi maaaring kumuha ng isang packet, panatilihin ito para sa isang habang at gawin itong tanggapin ang isang ikalawang oras sa pamamagitan ng mga destination.
Mahusay session key renewal: Ito ay gumagamit ng hash chains para sa kahusayan. Ito ay nagbibigay-daan sa makinis na key transition ay hindi maging sanhi ng anumang mga packet pagkawala sa panahon ng pag-renew. Ito ay nagbibigay ng forward lihim sa loob ng connection.
    Protektahan ang Dos ala TCP syn: Ito ay gumagamit ng cookie exchange (rfc2522.3) sa panahon ng establishement connection.
    Ipasa lihim: Kahit na ang attacker bitak ang kahon, siya ay hindi maaaring ma-decrypt ang trapiko sa network mas matanda kaysa sa isang binigay na antala (default 10min). Ang Diffie-Hellman ang pribadong key at ang mga session key ay pana-panahon renew at ligtas na nabura mula sa memorya.