Yavipind

Yavipind je bezpečný tunel aka 2 vrstevníci bezpečně předávání paketů směrem k sobě. To přeposílá jakýkoliv druh paketu (IPv4, IPv6 nebo jiné) odeslané přes virtuální point-to-point zařízení (např tun0). Plně běží v uživatelském prostoru linux.
yavipin bylo napsáno, protože jsem nebyla spokojena stávajícími alternativami. jsem publikoval některé bezpečnostní díry Vím, že v alternativách, aby povědomí uživatelů a pomoci jim udělat informovaný choise:
    Bezpečnostní analýza VTun: Tento text je analýza zabezpečení VTun. To zahrnuje popis bezpečnosti založené na zdroji, a uvádí možné útoky. Útočník může modifikovat pakety, přehrávat je, naučit se vzor prostý text, nebo snadno uhodnout nízkou entropie heslo.
    Bezpečnostní nedostatky v tinc: Tento text popisuje bezpečnostní chyby v Tinc. To zahrnuje popis bezpečnosti a uvádí možné útoky. Útočník může modifikovat pakety, přehrávat je a naučit se vzor prostý text.
Při navrhování protokol a psaní software, autor používá následující kritéria: bezpečnost musí tak silný, jak je to rozumně možné, yavipin by měla být síť efektivní, snadno použitelný a instalaci.
Účinnost Network:
    malý paket režie: 26bytes (např ESP s DES + MD5 je 32byte)
    Packet komprese: Předáno pakety mohou být komprimovány pomocí deflate (gzip). (WORK: přidat stat o efektivitě)
    NAT kompatibilita: tunel yavipin může být zřídit přes NAT jako všechny pakety tunelu jsou odesílány přes jediné připojení UDP / IPv4. Navíc detekce peer nedostupnosti pravidelně posílat pakety, které brání NAT motor z časového limitu stav připojení.
    Peer unreachabilty detekce: Pokud druhý peer nedostupná, bude detekována. To se děje ala IPv6 sousedů objevu (rfc2461.7).
    Gracefull vypnutí: Pokud peer úmyslně zastaví, bude informovat druhý, který je ihned si toho vědomi.
Využití je jednoduchost:
    pracuje v uživatelském prostoru a nemusíte překompilovat jádro
    znovu použít stávající nástroje: Jako yavipin použít virtuální zařízení, je možno aplikovat do tunelu jakýkoliv nástroj určený pro síťové zařízení. Například, je možné nastavit firewall pomocí ipchains / Netfilter nebo dělat dopravní shapping pomocí řízení provozu jádrem (viz TC).
Security síla:
   bezpečnostní paket: každý paket vyměnili během připojení je šifrována pomocí blowfish CFB a ověřeným s HMAC-MD5 96bits.
   ochrana proti paketu přehrání: používá přísné anti-replay a žádný paket může být přijata dvakrát. Eavedropper nemůže vzít paket, udržovat ji na chvíli a dělat to přijmout podruhé cíli.
Efektivní klíč relace obnovení: Používá hash řetězy pro efektivitu. To umožňuje plynulé klíčový přechod nesmí způsobit žádnou ztrátu paketů během obnovy. Poskytuje Forward Secrecy uvnitř připojení.
    Chraňte DoS ala TCP SYN: Používá výměna cookie (rfc2522.3) během připojení establishement.
    Forward tajemství: I v případě, že útočník praskliny box, nebude schopen dešifrovat síťového provozu starší než dané zpoždění (default 10 min). Diffie-Hellman soukromý klíč a klíč relace jsou periodicky obnovována a bezpečně vymazal z paměti.