Yavipind هو نفق آمن الملقب 2 أقرانهم إعادة توجيه آمن الحزم تجاه بعضهما البعض. ذلك توجيه أي نوع من حزمة (عناوين IPv4 و IPv6 أو غيرها) التي يتم إرسالها عبر الجهاز الظاهري من نقطة إلى نقطة (على سبيل المثال tun0). تشغيله بالكامل في لينكس userspace.
لقد كتب yavipin لأنني لم أكن راضيا عن طريق البدائل الموجودة. نشرت بعض الثغرات الأمنية وأنا أعلم في بدائل لتحقيق الوعي للمستخدمين ومساعدتهم على القيام كويس دراية:
تحليل أمن VTun: هذا النص هو تحليل أمن VTun. وهو يتضمن وصفا للأمن استنادا إلى مصدر ويسرد هجمات محتملة. يمكن للمهاجم تعديل الحزم، اعادتها لهم، وتعلم نمط نص عادي أو تخمينها بسهولة منخفضة الكون.
ثغرات أمنية في tinc: هذا النص يصف ثغرات أمنية في Tinc. وهو يتضمن وصفا للأمن ويسرد هجمات محتملة. يمكن للمهاجم تعديل الحزم، واعادتها لهم وتعلم نمط النص العادي.
عند تصميم البروتوكول وريتينغ البرنامج، استخدم المؤلف المعايير التالية: الأمن يجب قويا كما كان الحد المعقول، yavipin يجب أن تكون فعالة الشبكة، وسهلة الاستخدام والتركيب.
كفاءة الشبكة:
صغير فوق حزمة: 26bytes (مثل ESP مع DES + MD5 هو 32byte)
قد تكون مضغوطة توجيهها الحزم باستخدام فرغ (GZIP): ضغط الحزمة. (WORK: إضافة الرقم عن الكفاءة)
وترسل نفق yavipin قد يتم إنشاء أكثر NAT حيث أن جميع الحزم من نفق عبر اتصال UDP / عناوين IPv4 واحد: NAT متوافقة. وعلاوة على ذلك كشف unreachability نظير ترسل بشكل دوري الحزم التي تمنع محرك NAT من انتهاء المهلة في حالة الاتصال.
لند كشف unreachabilty: إذا أصبح النظير الآخر لا يمكن الوصول إليه، سوف يتم الكشف عن ذلك. يتم ذلك علاء الإصدار IPv6 الجيران اكتشاف (rfc2461.7).
اغلاق كياسه: إذا كان أحد الزملاء يتوقف عمدا، فإنه سيتم إخطار الطرف الآخر الذي هو على بينة من ذلك على الفور.
البساطة في الاستخدام:
يعمل في userspace وأنت لا تحتاج إلى إعادة ترجمة النواة
إعادة استخدام الأدوات الموجودة: كما yavipin استخدام جهاز الظاهري، فمن الممكن أن تنطبق على نفق أي أداة مصممة لجهاز الشبكة. على سبيل المثال، فمن الممكن لاقامة جدار الحماية باستخدام ipchains / netfilter أو للقيام shapping المرورية باستخدام مراقبة الحركة نواة (انظر ح).
قوة الأمن:
الأمن حزمة: كل علبة تبادل خلال مشفرة باستخدام CFB السمكة المنتفخة وموثق مع 96bits HMAC-MD5 الاتصال.
حماية ضد حزمة إعادة: ويستخدم صارمة لمكافحة اعادتها ويمكن قبول أي حزمة مرتين. A eavedropper لا يمكن أن حزمة، ويبقيه لفترة من الوقت وجعلها قبول مرة الثانية من قبل جهة.
تجديد مفتاح جلسة الكفاءة: ويستخدم سلاسل التجزئة للكفاءة. لأنها تتيح الانتقال السلس رئيسيا لا يسبب أي فقدان حزمة أثناء التجديد. أنه يوفر السرية إلى الأمام داخل الصدد.
حماية دوس علاء TCP SYN: ويستخدم تبادل ملفات تعريف الارتباط (rfc2522.3) خلال التأسيس الصدد.
سرية إلى الأمام: حتى لو الشقوق المهاجم مربع، وقال انه لن تكون قادرة على فك تشفير حركة مرور الشبكة أقدم من تأخير معين (10min الافتراضي). يتم تجديد المفتاح الخاص ديفي-هيلمان ومفتاح جلسة دورية وتمحى من الذاكرة بشكل آمن.
لم يتم العثور على التعليقات