Yavipind je bezpečný tunel aka 2 vrstevníci bezpečně předávání paketů směrem k sobě. To přeposílá jakýkoliv druh paketu (IPv4, IPv6 nebo jiné) odeslané přes virtuální point-to-point zařízení (např tun0). Plně běží v uživatelském prostoru linux.
yavipin bylo napsáno, protože jsem nebyla spokojena stávajícími alternativami. jsem publikoval některé bezpečnostní díry Vím, že v alternativách, aby povědomí uživatelů a pomoci jim udělat informovaný choise:
Bezpečnostní analýza VTun: Tento text je analýza zabezpečení VTun. To zahrnuje popis bezpečnosti založené na zdroji, a uvádí možné útoky. Útočník může modifikovat pakety, přehrávat je, naučit se vzor prostý text, nebo snadno uhodnout nízkou entropie heslo.
Bezpečnostní nedostatky v tinc: Tento text popisuje bezpečnostní chyby v Tinc. To zahrnuje popis bezpečnosti a uvádí možné útoky. Útočník může modifikovat pakety, přehrávat je a naučit se vzor prostý text.
Při navrhování protokol a psaní software, autor používá následující kritéria: bezpečnost musí tak silný, jak je to rozumně možné, yavipin by měla být síť efektivní, snadno použitelný a instalaci.
Účinnost Network:
malý paket režie: 26bytes (např ESP s DES + MD5 je 32byte)
Packet komprese: Předáno pakety mohou být komprimovány pomocí deflate (gzip). (WORK: přidat stat o efektivitě)
NAT kompatibilita: tunel yavipin může být zřídit přes NAT jako všechny pakety tunelu jsou odesílány přes jediné připojení UDP / IPv4. Navíc detekce peer nedostupnosti pravidelně posílat pakety, které brání NAT motor z časového limitu stav připojení.
Peer unreachabilty detekce: Pokud druhý peer nedostupná, bude detekována. To se děje ala IPv6 sousedů objevu (rfc2461.7).
Gracefull vypnutí: Pokud peer úmyslně zastaví, bude informovat druhý, který je ihned si toho vědomi.
Využití je jednoduchost:
pracuje v uživatelském prostoru a nemusíte překompilovat jádro
znovu použít stávající nástroje: Jako yavipin použít virtuální zařízení, je možno aplikovat do tunelu jakýkoliv nástroj určený pro síťové zařízení. Například, je možné nastavit firewall pomocí ipchains / Netfilter nebo dělat dopravní shapping pomocí řízení provozu jádrem (viz TC).
Security síla:
bezpečnostní paket: každý paket vyměnili během připojení je šifrována pomocí blowfish CFB a ověřeným s HMAC-MD5 96bits.
ochrana proti paketu přehrání: používá přísné anti-replay a žádný paket může být přijata dvakrát. Eavedropper nemůže vzít paket, udržovat ji na chvíli a dělat to přijmout podruhé cíli.
Efektivní klíč relace obnovení: Používá hash řetězy pro efektivitu. To umožňuje plynulé klíčový přechod nesmí způsobit žádnou ztrátu paketů během obnovy. Poskytuje Forward Secrecy uvnitř připojení.
Chraňte DoS ala TCP SYN: Používá výměna cookie (rfc2522.3) během připojení establishement.
Forward tajemství: I v případě, že útočník praskliny box, nebude schopen dešifrovat síťového provozu starší než dané zpoždění (default 10 min). Diffie-Hellman soukromý klíč a klíč relace jsou periodicky obnovována a bezpečně vymazal z paměti.
Podrobnosti Software:
Verze: 0.9.6
Datum uploadu: 3 Jun 15
Licence: Volný
Popularita: 3
Komentáře nebyl nalezen