seppl er både en protokoll definisjon og en programvare implementering av en ny krypterings lag for IPv4. seppl prosjektet gjør bruk av symmetrisk kryptografi for å kryptere hele trafikken i et nettverk. Gjennomføringen er designet rundt Linux netfilter / iptables.
seppl introduserer to nye netfilter mål: CRYPT og dekryptere. En brannmur regelen kan således anvendes for kryptering / dekryptering av innkommende og utgående nettverkstrafikk. Dette gjør seppl usedvanlig enkel å bruke, siden ingen nisser må kjøre for sikker kommunikasjon.
seppl bruker kryptering motoren på Linux Cryptographic API som er tilgjengelig i kernel 2.4.22 og nyere.
seppl er primært beregnet for kryptering av trådløse lokalnett (som sikker utskifting av ødelagte WEP kryptering) og lokale Ethernet-nettverk, men kan brukes for storskala VPN-løsninger i tillegg.
Protokollen seppl er avhengig av er ikke kompatibel med annen programvare. Protokollen er åpen og godt definert, men det er ingen implementering annet enn dette referanse programvaren.
Hvorfor Seppl, er det allerede IPSEC, CIPE, ...?
CIPE kan benyttes for punkt-til-punkt-forbindelser bare. Det har tunnel struktur og således introduserer nye IP-adresser. Dette er ikke alltid ønskelig. Det krever en user space daemon.
IPSEC / FreeSwan er svært komplisert å bruke. På grunn av sin merkelig routing-ordningen er det nesten umulig å bruke sammen med ruting daemons. IPSEC er tungvekter.
seppl er virkelig peer-to-peer. Den krypterer sømløst all utgående trafikk, og det dermed kompatibel med ruting daemons. Det er svært enkelt å bruke, så vel som det gjør ingen endring i normal routing atferd. seppl er ekstremt lett.
Gjennomføring
Gjennomføringen består av tre Linux kernel moduler: seppl.o, ipt_CRYPT.o og ipt_DECRYPT.o. Førstnevnte er i-kernel nøkkelbehandleren, sistnevnte er de to nye netfilter mål. Begge er avhengige av seppl.o.
seppl.o må settes inn i kjernen i første omgang. Nøkkelen leder kan nås med filen / proc / net / seppl_keyring. Den inneholder binære nøkkeldata, og er i utgangspunktet tom. Du kan legge til en ny nøkkel ved å skrive det i denne filen.
De to Python-skript Seppl-ls og Seppl-gen-taste meg brukes for nøkkelhåndtering. Seppl-ls kan brukes til å konvertere Seppl nøkler mellom det binære formatet som brukes av / proc / net / seppl_keyring og en lesbar XML-basert format. Bare ring Seppl-ls for en liste over alle aktive nøkler. seppl-gen-key genererer en ny nøkkel fra / dev / urandom. Som standard vil den bruke XML format. Den parameter -x krefter binær modus. Du kan generere og aktivere to taster "Linus" og "Alan" ved utstedelse av følgende kommandolinjene:
seppl-gen-key -n linus -x> / proc / net / seppl_keyring
seppl-gen-key -n alan -x> / proc / net / seppl_keyring
seppl-ls uten argument viser de nye nøkler lagret i kjernen nøkkelring. Du kan fjerne alle (for tiden ubrukte) tastene ved utstedelse:
ekko klart> / proc / net / seppl_keyring
Siden seppl er basert på symmetrisk kryptografi bruker delte tastene du må kopiere nylig genererte nøkler til hver vert du vil koble til din seppl infrastruktur. (Fortrinnsvis via SSH eller annen sikker filoverføring) Du får en binær kopi av ditt nåværende nøkkelring ved utstedelse:
cat / proc / net / seppl_keyring> keyring.save
Nå kopierer denne filen keyring.save til alle andre verter og gi følgende kommando der:
cat keyring.save> / proc / net / seppl_keyring
Det er enkelt, er det ikke?
Etter å ha gjort slik at du kan konfigurere brannmurinnstillingene på hver verts:
iptables-tl mangle -En POSTROUTING -o eth0 -j CRYPT --key linus
iptables -t mangle -En PREROUTING -i eth0 -j dekryptere
Dette vil kryptere all utgående trafikk på eth0 med nøkkelen "Linus". All innkommende trafikk dekrypteres med enten "Linus" eller "Alan", avhengig av nøkkelnavnet som er angitt i den spesifikke nettverkspakke. Ukrypterte innkommende pakker er stille droppet. Bruk
iptables -t mangle -En PREROUTING -p 177 -i eth0 -j dekryptere
for å tillate både kryptert og ukryptert innkommende trafikk.
Det er det. Du er ferdig. All trafikk på det lokale nettverket er nå kryptert med seppl.
Standard chiffer er AES-128. Hvis du ikke oppgir navnet bruktnøkkel den velger "def".
En SysV init script /etc/init.d/seppl er gitt. Det vil laste Seppl for kjernemoduler og skrive alle nøkler fra katalogen / etc / seppl til kjernen nøkkelring. Det vil ikke legge noen brannmurregler, men.
Ytelsesproblemer
Opp pakkene øker i størrelse når de er kryptert, siden to nye overskrifter og IV er lagt til. (36 bytes i gjennomsnitt) Dette konflikter på noen måte med MTU styring av Linux-kjernen og resultater i å ha alle store pakker (som er: pakke størrelse nærheten MTU) fragmentert i en stor og en annen svært liten pakke. Dette vil skade nettverksytelsen. En work-around for denne begrensningen er å bruke TCPMSS målet for netfilter å justere MSS verdien i TCP header til mindre verdier. Dette vil øke TCP-ytelsen, ettersom TCP pakker av størrelsen på MTU er ikke lenger generert. Således ingen fragmentering er nødvendig. Imidlertid er TCPMSS TCP bestemt, det vil ikke hjelpe på UDP eller andre IP-protokoller.
Legg til følgende linje før kryptering til brannmuren setup:
iptables-tl mangle -En POSTROUTING -p tcp --tcp-flagg SYN, RST SYN -o eth0 -j TCPMSS --set-mss $ ((1500-40-8-16-6-15))
Protokollen
For kryptering hver kryptert pakke er tatt og omdannes til en kryptert en. Ikke en eneste ytterligere pakke noen gang sendt.
Original seppl motstykke
+ ------------ + + ----------------------- +
| IP-Header | | Modifisert IP-Header | |
+ ------------ + + ----------------------- + |
| Payload | | seppl-Header |> ukryptert
+ ------------ + + ----------------------- + |
| Initialiseringsvektor | |
+ ----------------------- + /
| Seppl-Header |
+ ----------------------- + | Kryptert
| Payload | |
+ ----------------------- + /
Den opprinnelige IP-hodet holdes så langt som mulig. Bare tre felter erstattet med nye verdier. Protokollen meret settes til 177, blir forskjøvet fragment satt til 0 og den totale lengden er korrigert til den nye lengden. Alle andre felt blir holdt som er, inkludert IP valg.
Den ukryptert seppl header består av en one-byte chiffer nummer og et nøkkelnavn. Foreløpig bare 0 og 1 er definert som chiffer tall for AES med 128bit nøkkel, resp. AES med 192bit nøkkel. Nøkkelnavnet (7 bytes) kan brukes til å velge en bestemt nøkkel i en større nøkkelring.
IV blir anvendt for CBC koding av chiffer anvendes. Den skiller seg fra pakke til pakke, men er ikke tilfeldig generert. På grunn av perfomance grunner er bare den innledende IV på system oppstart randomisert, alle følgende IVs genereres ved å øke de forrige.
Den kryptert seppl header består av tre lagrede felt av den opprinnelige IP header (protokoll nummer, fragment offset, total lengde) og en byte som alltid er 0 for å oppdage unmatching nøkler.
Nyttelasten er den opprinnelige IP-playload, fra TCP / UDP / annen header til slutten.
Begrensninger:
· Seppl forstyrrer netfilter tilknytning sporing på en eller annen måte. Dermed vil du ikke kunne bruke NAT i forbindelse med seppl. Hvis du bruker tilkobling sporing på annen måte sammen med seppl din kjørelengde kan variere.
· Seppl er testet med Linux 2.6.1. Bruk versjon 0.3 for Linux 2.4.
Krav:
· Seppl ble utviklet og testet på Debian GNU / Linux "testing" fra november 2003 skal det fungere på de fleste andre Linux-distribusjoner og Unix-versjoner siden den bruker GNU Autoconf og GNU libtool for kildekoden konfigurasjon og delt bibliotek ledelse.
· Seppl krever Linux 2.6. {0,1} (konfigurerte kilder installert) og iptables 1.2.8 eller nyere.
· Den komplette userspace verktøyet sett krever Python 2.1 eller nyere. En strippet ned sett i C er også tilgjengelig.
Installasjon:
Ettersom denne pakken er laget med én GNU Autotools bør du kjøre ./configure inne i distribusjonskatalogen for konfigurering kilden treet. Etter det bør du kjøre gjøre for kompilering og make install (som root) for installasjon av seppl.
Hva er nytt i denne versjonen:
· Port til Linux 2.6, ingen andre endringer. Versjon 0.4 er ikke lenger forenlig med kjerne 2.4. Bruk versjon 0.3 for kernel 2.4, er det tilsvarende funksjonalitet.
Kommentarer ikke funnet