seppl

seppl là cả một định nghĩa giao thức và một phần mềm thực hiện một lớp mã hóa mới cho IPv4. dự án seppl làm cho sử dụng mật mã đối xứng để mã hóa toàn giao thông trên một mạng. Thực hiện của nó được thiết kế xung quanh Linux netfilter / iptables.
seppl giới thiệu hai mục tiêu netfilter mới: crypt và giải mã. Một quy tắc tường lửa do đó có thể được sử dụng để mã hóa / giải mã lưu lượng mạng vào và ra. Điều này làm cho seppl cực dễ sử dụng, vì không cần phải chạy daemon giao tiếp an toàn.
seppl sử dụng các công cụ mã hóa của Linux Cryptographic API có sẵn trong kernel 2.4.22 và mới hơn.
seppl chủ yếu được dùng để mã hóa các mạng LAN không dây (như thay thế an toàn của các mã hóa WEP tấm) và mạng ethernet địa phương nhưng có thể được sử dụng cho các giải pháp VPN quy mô lớn là tốt.
Các seppl giao thức dựa trên là không tương thích với bất kỳ phần mềm khác. Các giao thức được mở và được xác định rõ nhưng không có thực hiện khác so với phần mềm tham khảo này.
Tại sao SEPPL, đã có IPSEC, CIPE, ...?
CIPE có thể được sử dụng cho điểm-điểm duy nhất kết nối. Nó có cấu trúc đường hầm và do đó giới thiệu các địa chỉ IP mới. Đây không phải là luôn luôn mong muốn. Nó đòi hỏi một daemon không gian sử dụng.
IPSEC / FreeSwan là cực kỳ phức tạp để sử dụng. Do chương trình định tuyến lạ của nó là gần như không thể sử dụng cùng với daemon định tuyến. IPSEC là nặng.
seppl là thật sự peer-to-peer. Nó mã hóa liên tục tất cả các lưu lượng gửi đi và vì thế nó tương thích với daemon định tuyến. Nó là vô cùng dễ dàng để sử dụng là tốt, vì nó làm cho không thay đổi hành vi định tuyến bình thường. seppl là rất nhẹ.
Việc Thực Hiện
Việc thực hiện bao gồm ba Linux kernel module: seppl.o, ipt_CRYPT.o và ipt_DECRYPT.o. Điều thứ nhất là người quản lý chủ chốt trong hạt nhân, sau này là hai mục tiêu netfilter mới. Cả hai phụ thuộc vào seppl.o.
seppl.o phải được đưa vào hạt nhân ở nơi đầu tiên. Người quản lý chủ chốt có thể được truy cập với các tập tin / proc / net / seppl_keyring. Nó chứa dữ liệu quan trọng nhị phân, và ban đầu trống. Bạn có thể thêm một khóa mới bằng cách viết nó vào tập tin đó.
Hai kịch bản Python seppl-ls và seppl-gen-key tôi được sử dụng để quản lý chủ chốt. seppl-ls có thể được dùng để chuyển các phím seppl giữa các định dạng nhị phân được dùng bởi / proc / net / seppl_keyring và có thể đọc định dạng XML nhân dựa. Đơn giản chỉ cần gọi seppl-ls cho một danh sách của tất cả các phím hiện đang hoạt động. seppl-gen-key tạo ra một khóa mới từ / dev / urandom. Theo mặc định sẽ sử dụng định dạng XML. Các tham số -x lực lượng chế độ nhị phân. Bạn có thể tạo ra và kích hoạt hai phím "Linus" và "alan" bằng cách phát hành các dòng lệnh sau:
seppl-gen-key -n Linus -x> / proc / net / seppl_keyring
seppl-gen-key -n alan -x> / proc / net / seppl_keyring
seppl-ls mà không tranh luận liệt kê các phím mới lưu trong keyring hạt nhân. Bạn có thể loại bỏ tất cả (hiện chưa sử dụng) các phím bằng cách phát hành:
vang vọng rõ ràng> / proc / net / seppl_keyring
Kể từ seppl dựa vào mật mã đối xứng bằng khóa chia sẻ, bạn phải sao chép chìa khóa mới được tạo ra cho mỗi máy chủ mà bạn muốn kết nối đến cơ sở hạ tầng seppl của bạn. (Tốt nhất là thông qua SSH hoặc bất kỳ tập tin chuyển giao an toàn khác) Bạn nhận được một bản sao nhị phân của vòng khoá hiện tại của bạn bằng cách phát hành:
cat / proc / net / seppl_keyring> keyring.save
Bây giờ sao chép tập tin đó keyring.save cho tất cả các máy chủ khác và ban hành các lệnh sau đây có:
mèo keyring.save> / proc / net / seppl_keyring
Đó là đơn giản, phải không?
Sau khi làm như vậy bạn có thể cấu hình các thiết lập tường lửa của bạn trên mỗi máy chủ:
iptables -t mangle -A POSTROUTING -o eth0 -j Crypt --key Linus
iptables -t mangle -A PREROUTING -i eth0 -j giải mã
Điều này sẽ mã hóa tất cả lưu lượng gửi đi trên eth0 với phím "Linus". Tất cả lưu lượng truy cập đến được giải mã với một trong hai "Linus" hoặc "alan", tùy thuộc vào tên chính được quy định trong các gói dữ liệu mạng cụ thể. Gói dữ liệu vào không được mã hóa được âm thầm rơi. Dùng
iptables -t mangle -A PREROUTING -p 177 -i eth0 -j giải mã
cho phép lưu lượng gửi đến cả crypted và không được mã hóa.
Đó là nó. Bạn đã hoàn tất. Tất cả lưu lượng truy cập của bạn trên mạng con địa phương hiện đang crypted với seppl.
Các mật mã mặc định là AES-128. Nếu bạn không chỉ định tên của nó mặc định được sử dụng chìa khóa để "def".
An SysV init script /etc/init.d/seppl được cung cấp. Nó sẽ nạp kernel module seppl và viết tất cả các phím từ thư mục / etc / seppl vào keyring hạt nhân. Nó sẽ không thêm bất kỳ quy tắc tường lửa, tuy nhiên.
Vấn đề hiệu suất
Các gói dữ liệu mạng đang gia tăng kích thước khi họ đang crypted, kể từ khi hai tiêu đề mới và IV được thêm vào. (36 byte trong trung bình) xung đột này trên một số con đường với quản lý MTU của hạt nhân Linux và kết quả trong việc có tất cả các gói dữ liệu lớn (có nghĩa là: gói kích thước gần MTU) phân mảnh trong một lớn và một gói rất nhỏ. Điều này sẽ làm tổn thương đến hiệu suất mạng. Một công việc xung quanh các hạn chế này được sử dụng đích TCPMSS của netfilter để điều chỉnh giá trị MSS trong tiêu đề TCP để các giá trị nhỏ hơn. Điều này sẽ làm tăng hiệu suất hoạt động TCP, vì các gói tin TCP của kích thước của MTU không còn tạo ra. Do đó không có sự phân mảnh là cần thiết. Tuy nhiên, TCPMSS là TCP cụ thể, nó sẽ không giúp đỡ trên UDP hoặc các giao thức IP khác.
Thêm dòng sau đây trước khi mã hóa để thiết lập tường lửa của bạn:
iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN, RST SYN -o eth0 -j TCPMSS --set-Hội quần $ ((1500-40-8-16-6-15))
Nghị định thư
Đối với mã hóa tất cả các gói tin được mã hóa duy nhất được lấy và chuyển đổi sang một crypted. Không phải là một gói thêm duy nhất là bao giờ gửi.
   Original SEPPL đối tác
+ ------------ + + ----------------------- +
| IP-Header | | thay đổi IP-Header | |
+ ------------ + + ----------------------- + |
| Payload | | SEPPL-Header |> không mã hóa
+ ------------ + + ----------------------- + |
                            | Khởi Vector | |
                            + ----------------------- + /
                            | SEPPL-Header |
                            + ----------------------- + | Crypted
                            | Payload | |
                            + ----------------------- + /
Các tiêu đề IP gốc được giữ càng nhiều càng tốt. Chỉ có ba lĩnh vực được thay thế bằng các giá trị mới. Số giao thức được thiết lập để 177, đoạn bù đắp được thiết lập là 0 và tổng chiều dài được sửa chữa với chiều dài mới. Tất cả các lĩnh vực khác được lưu giữ như là, bao gồm tùy chọn IP.
Các tiêu đề seppl không được mã hóa bao gồm một số thuật toán mã hóa một byte và một tên khóa. Hiện nay chỉ có 0 và 1 được định nghĩa là số mật mã cho AES với khóa 128 bit, resp. AES với khóa 192bit. Tên khóa (7 byte) có thể được sử dụng để chọn một phím cụ thể trong một vòng khoá lớn hơn.
IV được sử dụng để mã hóa CBC của thuật toán mã hóa được sử dụng. Nó khác với các gói để gói, nhưng không được tạo ngẫu nhiên. Vì lý do Biến, chỉ IV ban đầu khi khởi động hệ thống là ngẫu nhiên, tất cả IVs sau đây được tạo ra bằng cách tăng trước những người thân.
Các tiêu đề seppl crypted bao gồm ba lĩnh vực lưu của tiêu đề IP ban đầu (số giao thức, fragment offset, tổng chiều dài) và một byte mà luôn luôn là 0 để phát hiện phím unmatching.
Tải trọng là bản gốc IP-playload, từ TCP / UDP / tiêu đề khác cho đến cùng.
Hạn chế:
· Seppl cản trở theo dõi kết nối netfilter trong một số cách. Vì vậy bạn sẽ không thể sử dụng NAT kết hợp với seppl. Nếu bạn sử dụng theo dõi kết nối trong một số cách khác nhau với seppl mileage của bạn có thể thay đổi.
· Seppl được thử nghiệm với Linux 2.6.1. Sử dụng phiên bản 0.3 cho Linux 2.4.
Yêu cầu:
· Seppl đã được phát triển và thử nghiệm trên Debian GNU / Linux "thử nghiệm" từ tháng 11 năm 2003, cần làm việc trên hầu hết các bản phân phối Linux khác và các phiên bản Unix vì nó sử dụng GNU Autoconf và GNU libtool cho cấu hình mã nguồn và quản lý thư viện chia sẻ.
· Seppl đòi hỏi Linux 2.6. {0,1} (nguồn cấu hình cài đặt) và iptables 1.2.8 hoặc mới hơn.
· Các bộ công cụ hoàn chỉnh không gian người dùng đòi hỏi Python 2.1 hoặc mới hơn. Một tập rút gọn trong C có sẵn là tốt.
Cài đặt:
Như gói này được thực hiện với sự autotools GNU bạn nên chạy ./configure bên trong thư mục phân phối cho việc cấu hình nguồn cây. Sau đó bạn nên chạy làm cho biên soạn và thực hiện cài đặt (như root) để lắp đặt seppl.
Có gì mới trong phiên bản này:
· Cổng để Linux 2.6, không có những thay đổi khác. Phiên bản 0.4 là không còn tương thích với hạt nhân 2.4. Sử dụng phiên bản 0.3 cho kernel 2.4, nó có chức năng tương đương.