Yavipind

Yavipind là một đường hầm an toàn aka 2 đồng nghiệp an toàn chuyển tiếp các gói tin với nhau. Nó sẽ chuyển tiếp bất kỳ loại gói (IPv4, IPv6 hoặc khác) được gửi qua các thiết bị ảo point-to-point (ví dụ như tun0). Nó chạy hoàn toàn trong không gian người dùng Linux.
yavipin đã được viết bởi vì tôi đã không hài lòng bởi sự lựa chọn hiện tại. i công bố một số lỗ hổng bảo mật tôi biết về các phương án để mang lại nhận thức cho người dùng và giúp họ làm một choise hiểu biết:
    Phân tích bảo mật của VTun: Văn bản này là một phân tích an ninh của VTun. Nó bao gồm một mô tả về sự an toàn dựa vào nguồn và liệt kê các cuộc tấn công có thể. Một kẻ tấn công có thể sửa đổi các gói dữ liệu, phát lại chúng, học hỏi mô hình của đồng bằng văn bản hoặc dễ dàng đoán mật khẩu thấp entropy.
    Lỗi bảo mật trong tinc: văn bản này mô tả lỗi bảo mật trong Tinc. Nó bao gồm một mô tả về an ninh và liệt kê các cuộc tấn công có thể. Một kẻ tấn công có thể sửa đổi các gói dữ liệu, phát lại họ và tìm hiểu mô hình của đồng bằng văn bản.
Khi thiết kế các giao thức và writting các phần mềm, các tác giả sử dụng các tiêu chí sau: an ninh phải mạnh mẽ như lý nhất có thể, yavipin NÊN có mạng lưới hiệu quả, dễ sử dụng và cài đặt.
Hiệu quả mạng lưới:
    overhead gói nhỏ: 26bytes (ví dụ như ESP với DES + MD5 là 32byte)
    Nén gói: chuyển tiếp các gói tin có thể được nén bằng deflate (gzip). (WORK: thêm stat về hiệu quả)
    NAT tương thích: đường hầm yavipin của có thể được thiết lập trên NAT như tất cả các gói tin của một đường hầm được gửi qua kết nối UDP / IPv4 duy nhất. Hơn nữa việc phát hiện unreachability ngang hàng định kỳ gửi các gói tin mà ngăn chặn các cơ NAT từ thời điểm ra ngoài trạng thái kết nối.
    Peer phát hiện unreachabilty: Nếu các peer khác trở nên không thể truy cập, nó sẽ được phát hiện. Nó được thực hiện ala IPv6 hàng xóm phát hiện (rfc2461.7).
    Shutdown gracefull: Nếu một đồng đẳng cố dừng lại, nó sẽ thông báo cho người kia mà là lập tức nhận thức được nó.
Cách sử dụng của sự đơn giản:
    nó hoạt động trong không gian người dùng và bạn không cần phải biên dịch hạt nhân
    tái sử dụng các công cụ hiện: Như yavipin sử dụng một thiết bị ảo, nó có thể áp dụng cho các đường hầm bất kỳ công cụ thiết kế cho các thiết bị mạng. Ví dụ, nó có thể thiết lập một bức tường lửa sử dụng ipchains / netfilter hoặc làm shapping giao thông bằng cách sử dụng điều khiển giao thông của hạt nhân (xem tc).
Sức mạnh an ninh của:
   an ninh gói: mỗi gói tin trao đổi trong các kết nối được mã hóa bằng cách sử dụng CFB blowfish và xác thực với HMAC-MD5 96bits.
   bảo vệ chống lại các gói tin phát lại: Nó sử dụng nghiêm ngặt chống phát lại và không có gói tin có thể được chấp nhận hai lần. Một eavedropper không thể lấy một gói, giữ nó trong một thời gian và làm cho nó chấp nhận một lần thứ hai bởi đích đến.
Đổi mới chính phiên hiệu quả: Nó sử dụng chuỗi hash cho hiệu quả. Nó cho phép chuyển đổi chính mịn không gây ra bất kỳ tổn thất gói tin trong quá trình đổi mới. Nó cung cấp về phía trước bí mật bên trong kết nối.
    Bảo vệ DoS ala TCP syn: Nó sử dụng giao lưu cookie (rfc2522.3) trong establishement kết nối.
    Chuyển tiếp bí mật: Ngay cả khi các vết nứt kẻ tấn công hộp, anh ta sẽ không thể giải mã lưu lượng mạng lớn hơn một sự chậm trễ nhất định (10min mặc định). Các khóa riêng Diffie-Hellman và khóa phiên được định kỳ đổi mới và an toàn bị xóa khỏi bộ nhớ.