seppl على حد سواء تعريف بروتوكول وتنفيذ البرامج من طبقة تشفير جديدة ل IPv4. مشروع seppl يجعل من استخدام التشفير متماثل لتشفير حركة المرور كله على الشبكة. تم تصميم تنفيذها في جميع أنحاء لينكس netfilter / إيبتبلس.
seppl يدخل اثنين من أهداف netfilter جديدة: السرداب وفك تشفير. وبالتالي يمكن استخدام قاعدة جدار الحماية لتشفير / فك تشفير حركة المرور الواردة والصادرة. وهذا يجعل من السهل للغاية seppl للاستخدام، لأنه لا الشياطين تحتاج إلى تشغيل للاتصال آمن.
seppl يستخدم محرك تشفير API لينكس التشفير الذي يتوفر في نواة 2.4.22 وأحدث.
والمقصود seppl في المقام الأول لتشفير الشبكات المحلية اللاسلكية (كبديل آمن للتشفير WEP كسر) وشبكات إيثرنت المحلية، ولكن يمكن استخدامها لحلول الشبكات الافتراضية الخاصة على نطاق واسع أيضا.
يعتمد seppl البروتوكول على غير متوافق مع أي برنامج آخر. بروتوكول مفتوح واضحة المعالم ولكن لا يوجد تطبيق آخر من هذا البرنامج إشارة.
لماذا SEPPL، وهناك بالفعل IPSEC، CIPE، ...؟
CIPE يمكن استخدامها لنقطة إلى نقطة الاتصالات فقط. لديها بنية النفق، وبالتالي يدخل عناوين IP الجديدة. هذا غير مرغوب فيه دائما. فإنه يتطلب الخفي الفضاء المستخدم.
IPSEC / FreeSwan أمر معقد للغاية لاستخدام. بسبب مخططها التوجيه الغريب أنه من المستحيل تقريبا لاستخدام جنبا إلى جنب مع الشياطين التوجيه. IPSEC هو من الوزن الثقيل.
seppl هو حقا الند للند. انه يرمز بسلاسة كل حركة المرور المنتهية ولايته وبالتالي فإنه متوافق مع الشياطين التوجيه. فمن السهل للغاية لاستخدام كذلك، لأنه يجعل أي تغيير في سلوك التوجيه العادي. seppl خفيفة الوزن للغاية.
تنفيذ
يتكون تنفيذ ثلاث وحدات النواة لينكس: seppl.o، ipt_CRYPT.o وipt_DECRYPT.o. الأول هو مدير رئيسي في النواة، وهذه الأخيرة نوعان من الأهداف netfilter جديدة. كلا تعتمد على seppl.o.
seppl.o بد من إدراجه في النواة في المقام الأول. ويمكن الوصول إلى مدير رئيسي مع الملف / proc / صافي / seppl_keyring. أنه يحتوي على البيانات الرئيسية الثنائية، وفارغة في البداية. يمكنك إضافة مفتاح جديد عن طريق الكتابة إلى هذا الملف.
البرامج النصية بيثون اثنين seppl ليرة سورية وseppl جنرال مفتاح لي أن تستخدم لإدارة الرئيسية. ويمكن استخدام seppl-ليرة سورية لتحويل مفاتيح seppl بين تنسيق ثنائي المستخدمة من قبل / بروك / صافي / seppl_keyring وقراءة تنسيق XML الإنسان القائمة. مجرد دعوة seppl-ليرة سورية للحصول على قائمة من كافة مفاتيح النشطة حاليا. seppl جنرال مفتاح بإنشاء مفتاح جديد من / ديف / urandom. بشكل افتراضي، يتم استخدام تنسيق XML. القوات المعلمة -x الوضع الثنائي. تستطيع توليد وتفعيل مفتاحين "لينوس" و "آلان" بإصدار خطوط الأمر التالي:
seppl جنرال المفتاح -n لينوس -x> / بروك / صافي / seppl_keyring
seppl جنرال المفتاح -n آلان -x> / بروك / صافي / seppl_keyring
seppl-ليرة سورية دون حجة يسرد المفاتيح الجديدة التي تم توفيرها في حلقة مفاتيح النواة. قد قمت بإزالة كافة (غير مستخدمة حاليا) مفاتيح بإصدار:
صدى واضحا> / بروك / صافي / seppl_keyring
منذ يستند seppl على التشفير المتناظر باستخدام مفاتيح المشتركة لديك لنسخ مفاتيح ولدت حديثا إلى كل المضيف الذي تريد الاتصال به البنية التحتية seppl الخاص بك. (يفضل أن يكون ذلك عن طريق SSH أو أي تأمين نقل الملفات الأخرى) يمكنك الحصول على نسخة من ثنائي كيرينغ الحالية الخاصة بك عن طريق إصدار:
القط / إجراءات / صافي / seppl_keyring> keyring.save
الآن نسخ هذا الملف keyring.save لجميع المضيفين الآخرين وإصدار الأمر التالي هناك:
القط keyring.save> / بروك / صافي / seppl_keyring
هذا هو بسيط، أليس كذلك؟
بعد ذلك يمكنك تكوين إعدادات جدار الحماية على كل مضيف:
إيبتبلس -t فسد لينوس -A POSTROUTING -o ETH0 -j السرداب --key
إيبتبلس -t فسد -A PREROUTING -i ETH0 -j فك تشفير
وهذا تشفير كل حركة المرور الصادرة على ETH0 مع المفتاح "لينوس". يتم فك كل حركة المرور الواردة مع أي "لينوس" أو "آلان"، اعتمادا على اسم المفتاح المحدد في الحزمة شبكة معينة. يتم إسقاط الحزم الواردة غير مشفرة بصمت. استعمال
إيبتبلس -t فسد -A PREROUTING -p 177 -i ETH0 -j فك تشفير
للسماح لحركة المرور الواردة على حد سواء crypted وغير مشفرة.
هذا كل شيء. الانتهاء من ذلك. وcrypted كل ما تبذلونه من حركة المرور على الشبكة الفرعية المحلية الآن مع seppl.
والشفرات الافتراضي هو AES-128. إذا لم تقم بتحديد اسم المستخدمة التخلف هو المفتاح إلى "صفر".
يتم توفير SysV النصي الحرف الأول /etc/init.d/seppl. فإنه سيتم تحميل وحدات النواة seppl وكتابة كل المفاتيح من الدليل / الخ / seppl إلى كيرينغ النواة. انها لن تضيف أي قواعد جدار الحماية، ولكن.
مشاكل الأداء
وزاد حزم الشبكة في حجم عندما crypted أنها، منذ اثنين من رؤوس جديدة ويتم إضافة IV. (36 بايت في المتوسط) هذه الصراعات في بعض الطريق مع إدارة MTU من نواة لينكس والنتائج في وجود كافة الحزم الكبيرة (التي هي: حجم العبوة قرب MTU) مجزأة في واحدة كبيرة ومجموعة صغيرة للغاية أخرى. وهذا يضر أداء الشبكة. A عمل حول هذا القيد يستخدم الهدف TCPMSS من netfilter لضبط قيمة MSS في رأس TCP إلى القيم أصغر. سيؤدي هذا إلى زيادة TCP برفومنس، منذ الحزم TCP من حجم MTU لم تعد لدت. وبالتالي ليس هناك حاجة إلى تجزئة. ومع ذلك، TCPMSS هو TCP محددة، فإنه لن يساعد على UDP أو بروتوكولات IP الأخرى.
إضافة السطر التالي قبل التشفير لإعداد جدار الحماية الخاص بك:
إيبتبلس -t فسد -A POSTROUTING -p tcp و--tcp-الأعلام SYN، RST SYN -o ETH0 -j TCPMSS --set-MSS $ ((1500-40-8-16-6-15))
بروتوكول
لتشفير يؤخذ كل حزمة واحدة غير مشفرة وتحويلها إلى واحدة crypted. لم يتم إرسال المزيد من حزمة واحدة من أي وقت مضى.
الأصلي SEPPL نظيره
+ ------------ + + + -----------------------
| IP-رأس | | التعديل IP-رأس | |
+ ------------ + + + ----------------------- |
| الحمولة | | SEPPL-رأس |> غير المشفرة
+ ------------ + + + ----------------------- |
| تهيئة المتجهات | |
+ ----------------------- + /
| SEPPL-رأس |
+ ----------------------- + | Crypted
| الحمولة | |
+ ----------------------- + /
يتم الاحتفاظ رأس IP الأصلي قدر الإمكان. يتم استبدال الحقول الثلاثة فقط مع القيم الجديدة. تم تعيين عدد البروتوكول إلى 177، تم تعيين جزء تعويض ل0 ويتم تصحيح الطول الإجمالي لطول الجديد. يتم الاحتفاظ كافة المجالات الأخرى كما هو، بما في ذلك خيارات IP.
يتكون رأس seppl غير مشفرة عدد الشفرات بايت واحد واسم مفتاح. حاليا فقط 0 و 1 تعرف بأنها أرقام التشفير AES لمع مفتاح 128bit، التركيب. AES مع مفتاح 192bit. يمكن استخدام اسم المفتاح (7 بايت) لتحديد مفتاح معين في كيرينغ أكبر.
يتم استخدام الرابع لCBC ترميز الشفرات المستخدمة. وهو يختلف عن حزمة لحزمة، ولكن لم يتم إنشاؤه بشكل عشوائي. لأسباب برفومنس، والعشوائية فقط IV الأولي عند بدء تشغيل النظام، يتم إنشاء جميع مراكز التحقيق التالي عن طريق زيادة سابقاتها.
يتكون رأس seppl crypted من ثلاثة حقول حفظها من رأس IP الأصلي (رقم البروتوكول، جزء تعويض، يبلغ الطول الإجمالي) والبايت الذي هو دائما 0 للكشف عن مفاتيح unmatching.
الحمولة الأصلي IP-playload، من / UDP / TCP رأس الآخر حتى النهاية.
القيود:
· seppl يتداخل مع تتبع اتصال netfilter في بعض الطريق. وبالتالي فإنك لن تكون قادرا على استخدام NAT بالتزامن مع seppl. إذا كنت تستخدم تتبع اتصال بطريقة أخرى جنبا إلى جنب مع seppl قد تختلف المسافة المقطوعة.
· يتم اختبار seppl مع لينكس 2.6.1. استخدام الإصدار 0.3 لينكس 2.4.
المتطلبات:
· تم تطوير seppl واختبارها على ديبيان جنو / لينكس "اختبار" من نوفمبر 2003، فإنه يجب أن تعمل على معظم توزيعات لينكس الأخرى وإصدارات يونكس لأنه يستخدم GNU Autoconf وGNU libtool لتكوين شفرة المصدر وإدارة المكتبات المشتركة.
· يتطلب seppl لينكس 2.6. {0،1} (مثبتة مصادر تكوين) وإيبتبلس 1.2.8 أو أحدث.
· ومجموعة كاملة أداة userspace يتطلب بيثون 2.1 أو أحدث. وهناك مجموعة جردت أسفل في C متاح أيضا.
التركيب:
كما يرصد هذه الحزمة مع autotools GNU يجب تشغيل ./configure داخل الدليل التوزيع لتكوين شجرة المصدر. بعد ذلك يجب تشغيل تجعل لتجميع وتقديم وتركيب (كجذر) لتركيب seppl.
ما هو الجديد في هذا الإصدار:
· الميناء لينكس 2.6، أية تغييرات أخرى. الإصدار 0.4 لم تعد متوافقة مع النواة 2.4. استخدام الإصدار 0.3 للنواة 2.4، وهو ما يعادل وظيفيا.
لم يتم العثور على التعليقات