Yavipind

Yavipind er en sikker tunnel aka 2 jævnaldrende sikkert videresendelse pakker mod hinanden. Den sender nogen form for pakke (IPv4, IPv6 eller andet) sendes over den virtuelle punkt-til-punkt-enhed (f.eks tun0). Det kører helt i linux userspace.
yavipin er blevet skrevet, fordi jeg ikke var tilfreds med de eksisterende alternativer. Jeg offentliggjorde nogle sikkerhedshuller jeg kender i alternativer til at bringe opmærksomhed til brugerne og hjælpe dem til at gøre en kyndig valg:
    Sikkerhed analyse af VTun: Denne tekst er en sikkerhed analyse af VTun. Det omfatter en beskrivelse af sikkerhed baseret på kilden og angiver de mulige angreb. En hacker kan ændre pakker, replay dem, lære mønster af almindelig tekst eller let gætte lav entropi adgangskode.
    Sikkerhedshuller i Tinc: Denne tekst beskriver sikkerhedshuller i Tinc. Det indeholder en beskrivelse af den sikkerhed og viser de mulige angreb. En hacker kan ændre pakker, replay dem og lære mønster af almindelig tekst.
Ved udformningen af ​​protokollen og writting softwaren, forfatteren anvendt følgende kriterier: sikkerhed SKAL så stærk som rimeligt muligt, yavipin bør netværket effektivt, let at bruge og installere.
Nettets effektivitet:
    lille pakke hovedhøjde: 26bytes (f.eks ESP med DES + MD5 er 32byte)
    Packet kompression: Videresendt pakker kan komprimeres ved hjælp Deflate (gzip). (WORK: tilføje stat om effektivitet)
    NAT kompatibel: yavipin s tunnel kan etablere i NAT som alle pakker i en tunnel sendes over en enkelt UDP / IPv4-forbindelse. Desuden peer utilgængelig afsløring periodisk sende pakker, der forhindrer NAT motor fra timing ud tilslutningen staten.
    Peer unreachabilty detektion: Hvis den anden peer bliver utilgængelig, vil det blive detekteret. Det sker ala IPv6 naboer opdagelse (rfc2461.7).
    Gracefull lukning: Hvis en peer bevidst stopper, skal den underrette den anden, som er aflukket klar over det.
Anvendelse enkelhed:
    det fungerer i userspace og du behøver ikke nødt til at rekompilere kernen
    genbruge eksisterende værktøjer: Som yavipin bruge en virtuel enhed, er det muligt at anvende til tunnelen enhver værktøj designet til netværksenhed. For eksempel er det muligt at oprette en firewall ved hjælp ipchains / netfilter eller at gøre trafikken shapping hjælp kernens trafikkontrol (se tc).
Sikkerhed styrke:
   pakke sikkerhed: hver pakke, der udveksles under forbindelsen er krypteret med blowfish CFB og autentificeret med HMAC-MD5 96bits.
   beskyttelse mod packet replay: Det bruger en streng anti-replay og ingen pakke kan accepteres to gange. En eavedropper kan ikke tage en pakke, holde det i et stykke tid og gøre det acceptere en anden gang ved destinationen.
Effektiv sessionsnøgle fornyelse: Det bruger hash kæder for effektivitet. Det giver glat nøgle overgang ikke at forårsage nogen pakketab under fornyelse. Det giver frem hemmeligholdelse inde forbindelsen.
    Beskyt DoS ala TCP SYN: Det bruger cookie udveksling (rfc2522.3) under tilslutningen indf.
    Hemmeligholdelse frem: Selv hvis angriberen revner kassen, vil han ikke være i stand til at dekryptere netværkstrafik ældre end en given forsinkelse (standard 10min). Den Diffie-Hellman privat nøgle og nøglen session periodisk fornyet og sikkert slettet fra hukommelsen.