seppl

Seppl er både en protokol definition og en software implementering af en ny kryptering lag til IPv4. Seppl projekt gør brug af symmetrisk kryptografi til kryptering hele trafikken på et netværk. Gennemførelsen er designet omkring Linux netfilter / iptables.
Seppl introducerer to nye netfilter mål: CRYPT og dekryptere. En firewall regel kan således anvendes til kryptering / dekryptering af indgående og udgående netværkstrafik. Dette gør Seppl ekstraordinært let at bruge, da der ikke daemons nødt til at køre til sikker kommunikation.
Seppl bruger kryptering motor i Linux kryptografisk API, der er tilgængelig i kernel 2.4.22 og nyere.
Seppl er primært beregnet til kryptering af trådløse lokalnetværk (som sikker udskiftning af knækkede WEP kryptering) og lokale Ethernet-netværk, men kan anvendes til store VPN-løsninger så godt.
Protokollen Seppl påberåber er ikke kompatibel med nogen anden software. Protokollen er åben og veldefineret, men der er ingen anden end denne reference software implementering.
Hvorfor Seppl, der allerede IPSEC, CIPE, ...?
CIPE kan anvendes til punkt-til-punkt kun forbindelse. Det har tunnel struktur og dermed introducerer nye IP-adresser. Dette er ikke altid ønskeligt. Det kræver en bruger plads dæmon.
IPSEC / FreeSwan er ekstremt kompliceret at bruge. På grund af sin mærkelige routing ordning er det næsten umuligt at bruge sammen med routing daemons. IPSEC er sværvægter.
Seppl er truely peer-to-peer. Det krypterer problemfrit al udgående trafik, og det derfor kompatibel med routing daemons. Det er ekstremt nemt at bruge så godt, som det gør ingen ændring til den normale routing adfærd. Seppl er ekstremt let.
Gennemførelsen
Implementeringen består af tre Linux-kernemoduler: seppl.o, ipt_CRYPT.o og ipt_DECRYPT.o. Førstnævnte er den in-kernel nøgle manager, sidstnævnte er de to nye netfilter mål. Begge er afhængige af seppl.o.
seppl.o skal indsættes i kernen på førstepladsen. Nøglen Manager kan tilgås med filen / proc / net / seppl_keyring. Den indeholder binære nøgledata, og er i første omgang tom. Du kan tilføje en ny nøgle ved at skrive det til den pågældende fil.
De to Python scripts Seppl-LS og Seppl-gen-indtaste mig bruges til central styring. Seppl-ls kan anvendes til konvertering Seppl nøgler mellem binært format der bruges af / proc / net / seppl_keyring og en læsbar XML baseret format. Blot ringe Seppl-ls for en liste over alle aktuelt aktive taster. Seppl-gen-nøgle genererer en ny nøgle fra / dev / urandom. Som standard vil den bruge XML-format. Den parameter -x kræfter binært. Du kan generere og aktivere to nøgler "Linus" og "Alan" ved at udstede følgende kommando linjer:
Seppl-gen-key-n Linus -x> / proc / net / seppl_keyring
Seppl-gen-nøgle -n alan -x> / proc / net / seppl_keyring
Seppl-ls uden argument viser de nye nøgler, der er gemt i kernen nøglering. Du kan fjerne alle (for tiden ubrugte) nøgler ved at skrive:
echo klart> / proc / net / seppl_keyring
Da Seppl er baseret på symmetrisk kryptering ved hjælp af delte taster, du nødt til at kopiere nyligt genererede nøgler til hver vært, du ønsker at forbinde til din Seppl infrastruktur. (Helst via SSH eller anden sikker filoverførsel) Du får en binær kopi af din nuværende nøglering ved at skrive:
cat / proc / net / seppl_keyring> keyring.save
Nu kopierer denne fil keyring.save alle andre værter og udstede følgende kommando der:
cat keyring.save> / proc / net / seppl_keyring
Der er enkel, er det ikke?
Efter at gøre det, kan du konfigurere firewall-indstillinger på hver host:
iptables -t mangle -A POSTROUTING -o eth0 -j CRYPT --key Linus
iptables -t mangle -A PREROUTING -i eth0 -j dekryptere
Dette vil kryptere alle udgående trafik på eth0 med nøglen "Linus". Al indgående trafik dekrypteres med enten "Linus" eller "alan", afhængigt af nøglen er angivet i den specifikke netværkspakke. Ukrypterede indkommende pakker lydløst droppet. Brug
iptables -t mangle -A PREROUTING -p 177 -i eth0 -j dekryptere
for at tillade både krypteret og ukrypteret indgående trafik.
Det er det. Du er færdig. Al din trafik på det lokale undernet er nu krypteret med Seppl.
Standarden cipher er AES-128. Hvis du ikke angiver navnet på de anvendte vigtigste it standard "def".
En SysV init-script /etc/init.d/seppl tilbydes. Det vil indlæse Seppl s kernemoduler og skrive alle nøgler fra mappen / etc / Seppl til kernen nøglering. Det vil ikke tilføje nogen firewall regler, dog.
Problemer med ydeevnen
De netværkspakker er vokset i størrelse, når de er krypteret, da to nye overskrifter og IV er tilføjet. (36 bytes i gennemsnit) Denne konflikter på anden måde med MTU forvaltning af Linux-kernen og resulterer i at have alle store pakker (dvs.: pakke størrelse nær MTU) fragmenteret i en stor og en anden meget lille pakke. Dette vil skade netværkets ydeevne. En work-around af denne begrænsning er at bruge TCPMSS mål for netfilter at justere MSS-værdi i TCP header til mindre værdier. Dette vil øge TCP performance, idet TCP-pakker af størrelsen af ​​MTU ikke længere genereret. Således er der ikke behov fragmentering. Men TCPMSS er TCP specifik, det vil ikke hjælpe på UDP eller andre IP-protokoller.
Tilføj følgende linje, før kryptering til din firewall opsætning:
iptables-t Mangle -A POSTROUTING -p tcp --tcp-flag SYN, RST SYN -o eth0 -j TCPMSS --set-mss $ ((1500-40-8-16-6-15))
Protokollen
Til kryptering hver enkelt ukrypteret pakke er taget, og omdannes til en krypteret én. Ikke en eneste yderligere pakke nogensinde sendt.
   Original Seppl modstykke
+ ------------ + + ----------------------- +
| IP-Header | | Modificeret IP-Header | |
+ ------------ + + ----------------------- + |
| Payload | | Seppl-Header |> Ukrypteret
+ ------------ + + ----------------------- + |
                            | Initialisering Vector | |
                            + ----------------------- + /
                            | Seppl-Header |
                            + ----------------------- + | Krypteret
                            | Payload | |
                            + ----------------------- + /
Den oprindelige IP header holdes så vidt muligt. Kun tre felter er erstattet med nye værdier. Protokollen nummer er sat til 177, er fragmentet offset sat til 0, og den samlede længde er korrigeret til den nye længde. Alle andre felter holdes så er, herunder IP-indstillinger.
Den ukrypteret Seppl header består af en en-byte cipher nummer og en nøgle navn. I øjeblikket kun 0 og 1 er defineret som cipher tal for AES med 128bit nøgle, hhv. AES med 192bit nøgle. Nøglen navn (7 bytes) kan bruges til at vælge en bestemt nøgle i en større nøglering.
IV anvendes til CBC kodning af cipher anvendes. Den adskiller sig fra pakke til pakke men er ikke tilfældigt genereret. På grund af performance grunde er det kun den indledende IV ved system start randomiseret, alle følgende IVs genereres ved at inkrementere de tidligere.
Den krypteret Seppl header består af tre gemte felter i den oprindelige IP header (protokol nummer, fragment offset, samlet længde) og en byte som altid er 0 til påvisning unmatching nøgler.
Nyttelasten er den oprindelige IP-nyttelast, fra TCP / UDP / andet header til enden.
Begrænsninger:
· Seppl forstyrrer netfilter tilslutning tracking i en eller anden måde. Således vil du ikke være i stand til at bruge NAT i forbindelse med Seppl. Hvis du bruger sporing forbindelse på anden måde sammen med Seppl din kilometertal kan variere.
· Seppl testes med Linux 2.6.1. Brug udgave 0,3 til Linux 2.4.
Krav:
· Seppl blev udviklet og testet på Debian GNU / Linux "test" fra Nov 2003, bør det arbejde på de fleste andre Linux-distributioner og Unix-versioner, da den bruger GNU Autoconf og GNU libtool for kildekode konfiguration og delt forvaltning bibliotek.
· Seppl kræver Linux 2.6. {0,1} (konfigurerede kilder installeret) og iptables 1.2.8 eller nyere.
· Det komplette userspace værktøjssæt kræver Python 2.1 eller nyere. En skrabet sæt i C er tilgængelig som godt.
Installation:
Da denne pakke er lavet med GNU autotools skal du køre ./configure inde distributionsmappen til konfiguration kilden træet. Derefter skal du køre gør for udarbejdelse og make install (som root) til installation af Seppl.
Hvad er nyt i denne version:
· Port til Linux 2.6, ingen andre ændringer. Version 0.4 er ikke længere er forenelig med kerne 2.4. Brug udgave 0,3 for kerne 2.4, er det funktionelt tilsvarende.