Seppl je jak definice protokolu a softwarová implementace nové šifrovací vrstvu pro IPv4. Seppl projekt využívá symetrické šifrování pro šifrování celého provozu v síti. Jeho realizace je navržen tak, kolem Linuxu netfilteru / iptables.
Seppl zavádí dvě nové Netfilter cíle: kryptu a dešifrovat. Pravidlo brány firewall tak může být použit pro šifrování / dešifrování příchozí a odchozí síťový provoz. Tím Seppl mimořádně snadné použití, protože žádné démoni muset spustit pro bezpečnou komunikaci.
Seppl využívá šifrování motor Linux Cryptographic API, která je k dispozici v jádře 2.4.22 a novější.
Seppl je určena zejména pro šifrování bezdrátové lokální sítě (jako bezpečné náhrada rozbitého WEP šifrování) a lokálních sítí ethernet, ale mohou být použity pro řešení rozsáhlých VPN stejně.
Protokol Seppl opírá není kompatibilní s jakýmkoli jiným softwarem. Protokol je otevřený a dobře definované, ale tam není nikdo jiný než tohoto referenčního softwaru implementace.
Proč Seppl, existují již IPSEC, CIPE, ...?
CIPE mohou být použity pouze pro point-to-point spojení. To má strukturu tunel, a tak zavádí nové IP adresy. To není vždy žádoucí. To vyžaduje uživatelského prostoru démona.
IPSEC / FreeSwan je nesmírně složité k použití. Vzhledem ke své podivné režimu směrování, že je téměř nemožné použít společně s směrování démonů. IPSEC je těžké váze.
Seppl je Truely peer-to-peer. To zašifruje všechny odchozí provoz bez problémů, a to tak kompatibilní s směrovacích démonů. Je velmi snadné použití, stejně, jako to dělá žádnou změnu k normálnímu chování směrování. Seppl je extrémně lehká.
Implementace
Realizace se skládá ze tří modulů jádra Linux: seppl.o, ipt_CRYPT.o a ipt_DECRYPT.o. Bývalý je klíčovým manažerem v jádře, ty jsou dva nové netfilter cíle. Oba jsou závislé na seppl.o.
seppl.o musí být vložen do jádra na prvním místě. Klíč manažer může být přístupné pomocí souboru / proc / net / seppl_keyring. Obsahuje binární klíčové údaje, a je zpočátku prázdná. Můžete přidat nový klíč zápisu do tohoto souboru.
Oba Python skripty Seppl-LS a Seppl-gen-Key me využít k správu klíčů. Seppl-ls mohou být použity pro konverzi Seppl klíčů mezi binárním formátu používaného / proc / net / čitelném formátu, na bázi XML a seppl_keyring. Jednoduše zavolejte Seppl-LS na seznam všech aktuálně aktivních tlačítek. Seppl-gen-key generuje nový klíč z / dev / urandom. Ve výchozím nastavení bude používat formát XML. Parametr -X síly binární režim. Můžete vytvářet a aktivovat dvě klávesy "Linus" a "Alan" vydáním následující příkazové řádky:
Seppl-gen-key -n Linus -X> / proc / net / seppl_keyring
Seppl-gen-key -n alan -x> / proc / net / seppl_keyring
Seppl-ls bez argumentu vypíše nové klíče uložené v klíčence jádra. Můžete odstranit všechny (v současnosti nevyužita) klíče vydáním:
echo jasného> / proc / net / seppl_keyring
Vzhledem k tomu, Seppl je založen na symetrické kryptografie pomocí sdílených klíčů musíte zkopírovat nově vygenerované klíče každého hostitele, který chcete připojit k vašemu Seppl infrastruktury. (Nejlépe přes SSH nebo jakýkoli jiný bezpečný přenos souborů) Získáte binární kopii vašeho aktuálního klíčenku vydáním:
cat / proc / net / seppl_keyring> keyring.save
Nyní zkopírujte tento soubor keyring.save všech ostatních hostitelů a vydat následující příkaz tam:
cat keyring.save> / proc / net / seppl_keyring
To je jednoduché, není to?
Po tak učiníte, můžete konfigurovat nastavení brány firewall na každém hostiteli:
iptables -t mandlovnu -A POSTROUTING -o eth0 -j krypta --key Linus
iptables -t mangle -A PREROUTING -i eth0 -j dešifrovat
To zašifruje všechny odchozí provoz na eth0 s klávesou "Linus". Všechny příchozí provoz je dešifrovány buď "Linus" nebo "alan", v závislosti na název klíče zadaný v konkrétním síťovém paketu. Nešifrovaná příchozí pakety jsou mlčky klesl. Použití
iptables -t mangle -A PREROUTING -p 177 -i eth0 -j dešifrovat
pro umožnění jak zakódované i nešifrované příchozí provoz.
To je to. Máte hotovo. Všechny vaše provoz na místní podsíti je nyní crypted s Seppl.
Výchozí kód je AES-128. Pokud nezadáte název použitých klíčových nastavení je to "def".
SysV init skript /etc/init.d/seppl je zajištěno. Bude nahrát moduly jádra Seppl a psát všechny klíče od adresáři / etc / Seppl ke klíčence jádra. To nebude přidávat žádné pravidla brány firewall, nicméně.
Problémy s výkonem
Síťové pakety jsou zvětšeny, když jsou šifrovaných, protože dvou nových hlaviček a IV jsou přidány. (36 bajtů v průměru) To je v rozporu k nějakým způsobem s vedením MTU linuxového jádra a výsledky v tom, že všechny velké pakety (to je: velikost balíček v blízkosti MTU), roztříštěné, jeden velký a další velmi malém balení. To bude bolet výkon sítě. Práce kolem tohoto omezení je pomocí cíl TCPMSS o netfilter nastavte hodnotu MSS v hlavičce protokolu TCP k menším hodnotám. Tím se zvýší TCP výkonnostním, protože TCP pakety o velikosti MTU již nejsou generovány. Tak není třeba fragmentace. Nicméně, TCPMSS je specifický TCP, to nepomůže na UDP nebo jiné IP protokoly.
Přidejte následující řádek před šifrování na váš firewall nastavení:
iptables -t mangle -A POSTROUTING -p tcp --tcp-příznaky SYN, RST SYN -o eth0 -j TCPMSS --set-MSS $ ((1500-40-8-16-6-15))
Protokol
Pro šifrování každý nešifrovaný paket je přijata, a převeden na bezpecné jeden. Ani jeden další paket je vždy odeslána.
Original Seppl protějšek
+ ------------ + + + -----------------------
| IP-Header | | Modifikovaný IP-Header | |
+ ------------ + + ----------------------- + |
| Užitečná hmotnost | | Seppl-Header |> nezašifrované
+ ------------ + + ----------------------- + |
| Inicializační vektor | |
+ ----------------------- + /
| Seppl-Header |
+ ----------------------- + | Šifrované
| Užitečné zatížení | |
+ ----------------------- + /
Původní hlavička IP je veden tak daleko, jak je to možné. Pouze tři pole jsou nahrazeny novými hodnotami. Číslo protokolu je nastavena na 177, je fragment posunutí je nastaven na 0 ° C a celková délka je opraven na novou délku. Všechny ostatní položky jsou vedeny tak, jak je, včetně možností IP.
Nešifrované Seppl Hlavička se skládá z jednoho bajtu šifrovacího číslo a název klíče. V současné době pouze 0 a 1 jsou definovány jako šifrovacích čísel pro AES s 128bit klíče, resp. AES s 192bit klíče. Název klíče (7 bajtů), mohou být použity pro výběr konkrétní klíč v větší klíčence.
IV se používá pro CBC kódování kódu použitého. To se liší od paketu do paketu, ale není náhodně generované. Vzhledem k perfomance důvodů, jen počáteční IV při startu systému je náhodně, všechny následující IVs jsou generovány postupně ty předchozí.
Crypted Seppl Hlavička se skládá ze tří uložených polí původní hlavičky IP (číslo protokolu, fragment offset, celková délka) a bajtu, který je vždy 0 pro odhalování unmatching klíčů.
Užitečné zatížení je původní IP-playload, od TCP / UDP / jinou hlavičkou do konce.
Omezení:
· Seppl narušuje sledování připojení Netfilter je nějakým způsobem. Takto nebude moci použít NAT ve spojení s Seppl. Pokud používáte sledování připojení nějakým jiným způsobem, spolu s Seppl vaše najetých kilometrů se mohou lišit.
· Seppl je testován s Linuxem 2.6.1. Použijte verzi 0.3 pro Linux 2.4.
Požadavky:
· Seppl byl vyvinut a testován na Debian GNU / Linux "testování" od listopadu 2003 by měl fungovat na většině ostatních linuxových distribucí, a Unix verze, protože používá GNU Autoconf a GNU libtool pro konfiguraci zdrojových kódů a sdíleného řízení knihovny.
· Seppl vyžaduje Linux 2.6. {0,1} (nainstalován nakonfigurovány zdroje) a iptables 1.2.8 nebo novější.
· Kompletní sada userspace nástroj vyžaduje Python 2.1 nebo novější. Rozebraná set v C je také k dispozici.
Instalace:
Protože je tento balíček vyrobena s autotools GNU byste měli spustit ./configure uvnitř distribuční adresář pro konfiguraci zdrojového stromu. Po tomto byste měli spustit udělat pro kompilaci a make install (jako root) pro instalaci Seppl.
Co je nového v této verzi:
· Port pro Linux 2.6, žádné jiné změny. Verze 0.4 je již kompatibilní s jádrem 2.4. Použijte verzi 0.3 pro jádro 2.4, to je funkčně ekvivalentní.
Komentáře nebyl nalezen