fwknop

fwknop står for "Firewall Knock Operator", og gennemfører en tilladelsesordning baseret omkring Netfilter og libpcap, som kun kræver en enkelt krypteret pakke for at kunne kommunikere forskellige oplysninger, herunder ønsket adgang via en Netfilter politik og / eller fuldstændige kommandoer at udføre på målet systemet.
Ved at bruge Netfilter at opretholde en "default drop" holdning, den vigtigste anvendelse af dette program er at beskytte tjenester såsom OpenSSH med et ekstra lag af sikkerhed for at gøre udnyttelse af sårbarheder (både 0-dag og unpatched kode) meget vanskeligere.
Tilladelsen server passivt overvåger pakker tilladelse via libcap og derfor er der ingen "server" til at forbinde i traditionel forstand . Adgang til en beskyttet tjeneste gives kun efter en gyldig krypteret og ikke-afspilles pakke overvåges.
Denne metode svarer til det indre Packet godkendelsesordning foreslået af Simple Nomad og folk på NMRC

fwknop projektet var også det første værktøj til at kombinere traditionel krypteret port banker med passiv OS fingeraftryk. Dette gør det muligt at gøre ting som kun tillader, siger, Linux-2.4 / 2.6 systemer til at oprette forbindelse til din SSH-dæmonen

Hvad er nyt i denne udgivelse:.

• (Radostan Riedel) Tilføjet en AppArmor politik for fwknopd, der er kendt for at arbejde på Debian og Ubuntu-systemer. Politikken fil er tilgængelig på ekstra / AppArmor / usr.sbin / fwknopd.
• [libfko] Nikolay Kolev rapporterede et build problem med Mac OS X Mavericks hvor lokale fwknop kopier af strlcat () og strlcpy () blev i konflikt med dem, der allerede leveres med OS X 10.9. Lukker # 108 på GitHub.
• [libfko] (Franck Joncourt) Konsolideret FKO sammenhæng dumping funktion i lib / fko_util.c. Ud over at tilføje en delt nyttefunktion til udskrivning af en FKO sammenhæng denne ændring gør også FKO sammenhæng output lidt lettere at parse ved at udskrive hver FKO attribut på en enkelt linje (denne ændring påvirkede trykning af den endelige pakkedata SPA). Testen suite er blevet opdateret for at tage højde for denne ændring også.
• [libfko] Bug fix til ikke forsøge SPA pakke dekryptering med GnuPG uden et FKO objekt med encryption_mode sat til FKO_ENC_MODE_ASYMMETRIC. Denne fejl blev fanget med Valgrind validering mod perl FKO udvidelse sammen med sæt SPA fnugdannelse pakker i test / fnugdannelse / fuzzing_spa_packets. Bemærk, at denne fejl ikke kan udløses via fwknopd fordi supplerende kontrol sker inden fwknopd selv at tvinge FKO_ENC_MODE_ASYMMETRIC når en access.conf strofe indeholder GPG centrale oplysninger. Denne rettelse styrker libfko sig til selvstændigt at kræve, at brugen af ​​FKO objekter uden GPG centrale oplysninger ikke resulterer i forsøg GPG dekryptering operationer. Derfor denne rettelse gælder for det meste til fest brug tredjedel af libfko
• dvs.. lager installationer af fwknopd berøres ikke. Som altid, anbefales det at bruge HMAC autentificeret kryptering når det er muligt selv for GPG tilstande, da dette også giver et værk rundt selv for libfko forud for denne rettelse.
• [Android] (Gerry Reno) Opdateret Android klient til at være kompatibel med Android-4.4.
• [Android] Lagt HMAC support (aktuelt ekstraudstyr).
• [server] Opdateret pcap_dispatch () standard pakke tælle fra nul til 100. Denne ændring blev foretaget for at sikre bagudkompatibilitet med ældre versioner af libpcap per den pcap_dispatch () man-side, og også fordi nogle af en rapport fra Les Aker af en uventet nedbrud på Arch Linux med libpcap-1.5.1, der er fastsat af denne ændring (lukker # 110).
• [server] Bug fix for SPA NAT tilstande på iptables firewalls til at sikre, at skik fwknop er genskabt hvis de bliver slettet ud under rindende kæder fwknopd eksempel.
• [server] Lagt FORCE_SNAT til access.conf filen, så per-adgang stanza SNAT kriterier kan angives for SPA adgang.
• [test suite] tilføjet --gdb-test for at tillade en tidligere gennemført fwknop eller fwknopd kommando, der skal sendes gennem gdb med de samme kommandolinje args som test suite anvendes. Dette er for nemheds skyld til hurtigt tillade gdb til at blive lanceret, når de efterforsker fwknop / fwknopd problemer.
• [klient] (Franck Joncourt) Tilføjet --stanza-liste argument for at vise stanza navne fra ~ / .fwknoprc.
• [libfko] (Hank Leininger) bidrog en patch i høj grad at udvide libfko fejlkode beskrivelser på forskellige steder for at give bedre oplysninger om, hvad visse fejltilstande betyder. Lukker # 98.
• [test suite] Tilføjet muligheden for at køre perl FKO modul indbyggede tests i t / mappen under CPAN Test :: Valgrind modul. Dette giver Valgrind hukommelse kontrol, der skal anvendes på libfko funktioner via perl FKO-modulet (og dermed rapid prototyping kan kombineres med hukommelse lækagesøgning). En kontrol for at se, om Test :: Valgrind modul er installeret, og --enable-Valgrind kræves også (eller --enable-alle) på test-fwknop.pl kommandolinjen.

Hvad er nyt i version 2.5.1:

• En bugfix i fwknop klienten at nulstille terminal indstillinger at originalkilden værdier efter indtastning nøgler via stdin.
• En bugfix i fwknopd dæmonen for ikke at udskrive en PID-fil eksistens advarsel.
• En test suite Bugfix at ikke køre en iptables Rijndael HMAC test på ikke-Linux-systemer.

Hvad er nyt i version 2.5:

• Denne version tilføjet understøttelse af HMAC SHA-256 autentificeret kryptering i den kryptere-så-autentificering model.
• Mange fejl opdaget af Coverity statiske analysator blev fastsat.
• OpenSSL Partner test blev tilføjet til test suite.
• Client strofe besparelse evne blev tilføjet til ~ / .fwknoprc fil, forenkle fwknop klient brug.
• Evnen til automatisk at generere både Rijndael og HMAC nøgler med --key generations tilsat.

Hvad er nyt i version 2.0.4:

• På serversiden, denne udgivelse tilføjer et chain_exists () kontrollere, SPA regel skabelse, så hvis nogen af ​​fwknop kæder slettes ud fra under fwknopd, vil de blive genskabt i farten.
• Det tilføjer nye spa pakke fnugdannelse evne til test suite til at hjælpe med validering af SPA operationer.
• Det tilføjer opkomling config for systemer, der kører den opkomling dæmonen.
• En OpenBSD ndbm / gdbm forbrug Bugfix.
• ICMP type / kode klient kommandolinjeargumenter er blevet tilføjet til når SPA-pakker sendes over ICMP.

Hvad er nyt i version 2.0.3:

• Flere DoS / kode sårbarheder for ondsindede fwknop klienter der formår at komme forbi autentificering etape (så sådanne kunder skal have en gyldig krypteringsnøgle) er blevet rettet.
• Tilladelser og kontrol ejerskab er blevet tilføjet til alle filer, der forbruges i fwknop klient og server.
• RPM bygger blevet fastsat ved herunder $ (målkat) præfiks for afinstallere-lokale og installere-exec-hook stadier i Makefile.am.

Hvad er nyt i version 2.0.2:

• Bedre håndtering af GnuPG til SPA pakke dekryptering på server side (regnskab for nogen løsen gpg tasterne, når gpg-agent eller pinentry ellers er påkrævet).
• En bugfix i SPA pakke replay afsløring kode.
• En check på eksistensen af ​​de iptables 'kommentar' match, når tjener er indsat på Linux.
• Flere andre fejlrettelser.

Hvad er nyt i version 2.0:.

• Dette er produktion frigivelse af fwknop C omskrive
• Det bringer Single Packet Bemyndigelse til tre forskellige Open Source firewalls (iptables, ipfw, og pf), indlejrede systemer, og mobile enheder.
• fwknopd serveren kører på Linux, Mac OS X, FreeBSD og OpenBSD.
• Klienten kører på alle disse platforme samt Android, iPhone, og Cygwin under Windows.
• Derudover kunden er bærbare, og kan opgøres som en indfødt Windows binær.

Hvad er nyt i version 2.0 RC5:

• Denne version tilføjer OpenBSD PF support, tilføjer en ny FORCE_NAT tilstand til en gennemsigtig tvinge godkendte forbindelser til specificerede interne systemer, tilføjer en omfattende test suite, og tilføjer evnen til automatisk udløbe SPA nøgler.
• Flere hukommelse håndtering fejlrettelser blev foretaget.

Hvad er nyt i version 1.9.12:

• FKO-modul, der er en del af libfko biblioteket var fuldt integreret i alle spa rutiner:. kryptering / dekryptering, fordøje beregning, replay angreb afsløring osv
• Evnen til at komme sig grænseflade fejltilstande blev tilføjet, såsom når fwknopd snuser en ppp-interface (sige, der er forbundet med en VPN), der går væk og så er genskabt.
• fwknop klient blev opdateret til at omfatte SPA destination før DNS opløsning, når du sender en SPA pakke over en HTTP-anmodning.